[collect]个人隐私的永恒价值

本文最后更新于2016年11月26日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

在逛博客时发现的一篇文章,该文章记录于2012.12.30,当时正直「人大常委通过《关于加强网络信息保护的决定》」,作者想起了著名安全专家 Bruce Schneier 在 2006 年写下的文章并将其译为中文,我读了之后比较感概,所以转载至此,希望你也能有一点点触动。

正文:

“假如你没有做过什么坏事,那还有什么好遮掩的吗?”

这是那些赞成身份检查,赞成安装监控摄像头,赞成建立用于居民监控用户的数据库,赞成数据挖掘以及其他各种旨在对民众实施监控的人们最常见的为自己辩护——同时也希望借此驳斥旨在保护个人隐私的行动者——的一句话。

对此,也许我们可以想到一些聪明的回答:“假如我没有做过任何错事,那你没有任何理由监控我。”“因为什么是对与错是由政府定义的,而且这样的定义不断的在发生改变。”“因为也许你会拿我的个人隐私资料做一些不见得人的事情。”这样的回答虽然都是正确的,但是,这些回答似乎都默认了一个判断,即只有在我们做了错事的时候我们才需要隐私。事实不是。隐私是一种与生俱来的人权,它也是我们得以保持作为人之尊严的必要条件。

有两句谚语说得最合适了:“谁来监视监视者?”“绝对的权力导致绝对的腐败。

Cardinal Richelieu曾说过,“假如有人递给我一张纸,上面有全世界最老实的那个人写的六行字,我一样可以在字里行间找到破绽从而让他接受被吊死的刑罚。”假如你跟踪一个人足够长的时间,你必然可以找到某种借口去逮捕这个人,或者是敲诈和勒索这个人。隐私之所以重要,是因为假如没有隐私,那么通过监控所获得的资料将会被滥用:会被用于窥视,或者是被卖给市场行销人员,或者是用来暗中跟踪敌对的政治力量——被跟踪的可能是任何人。

隐私可以使得我们免于由于拥有权力者滥用权力而受到伤害,哪怕我们在受到监控的时候并没有做任何坏事。

当我们跟恋人做爱或者是在浴室洗澡时,我们并没有做什么坏事。当我们去寻找一些较为隐私的地方去静修或者是与朋友对谈时,我们并没有刻意去隐藏什么东西。我们有自己的日记本,我们在洗澡的时候唱歌,我们给亲爱的人写信而后烧掉那些信。隐私就是作为人的一种基本的需要。

对于撰写我们这个国家的宪法的祖先来说,他们很难想象未来会有一天,这个国家的公民的隐私会受到如此经常的冲击,因而他们当年没有把隐私当成是一种必要的权利写进宪法。对于他们来说,隐私是生而获得的一种东西。在你自己家里被监视当然是不可理喻的。对于他们那个年代的人来讲,要对国民做到监视是非常难以想象的,甚至是不可想象的。那个时候,他们只会对罪犯进行监视,而绝不会对自由的公民进行监视。只要是你在自己家里,你就是主人。这是自由(liberty)这个词本身固有的含义。

假如我们因为不管任意一种理由而受到监视,那么我们就会时时刻刻都处在被修正,被判断,被批评,甚至是被认为是抄袭我们自身的行为。我们就会变成小孩子,时刻都在大人的眼皮之监视底下,并且无时无刻不在提心吊胆,因为我们害怕我们此刻的行为有可能在将来的某个时候给我们自己带来灾难,不管那个决定监视我们行为的政府是怎样一个政府。我们就会失去我们的个性,因为我们所做的每一件事都是可以被监视以及记录的。

过去的四年半的时间里,我们有多少人在与朋友对谈的中间会突然停下来,意识到我们有可能被监听?也许我们正在通电话,也许正在写电子邮件,或者是与朋友进行即时通讯交谈,甚或是在公共地方的一个交谈。也许那一刻我们在谈一些关于恐怖主义或政治或伊斯兰的话题。我们突然停止了谈话,并且猛然间意识到也许我们的谈话会被抽出语境使用(作为加害我们的证据),然后我们对自己的这一偏执行为大笑一番之后继续谈话。但我们的态度却已经发生了变化,我们的用语也发生了变化。

这就是当隐私被剥夺之后我们会面对的一个失去自由的局面。这是生活在前东德或者是生活在萨达姆·候赛因掌权时期的伊拉克人民的生活。而假如我们任由这些监控设备无处不在的渗透到我们个人生活的方方面面,这也将会成为我们的生活。

有很多人将这一场辩论定性为“安全与隐私”之辩论。而实际上却是自由与控制之角力。不管是因为受到外国力量的武力威胁而采取的暴政,还是针对本国公民的监控,其实都是暴政。要实现自由,就需要保证安全,同时确保不受侵害,就是要做到安全与隐私二者兼备。而由警方实施的全面监控实际上就完全符合了一个警察国家的定义。这也就是为什么我们一定要倡导个人隐私,哪怕我们没有什么东西要隐藏。

— 布鲁斯·施奈尔(Bruce Scheneier)

参考链接:
更多参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/2968.html

《[collect]个人隐私的永恒价值》上的29个想法

  1. 邮件安全
    http://www.zhangzheng.wang/%E9%82%AE%E4%BB%B6%E5%AE%89%E5%85%A8
    `
    邮箱账号的泄露可能有以下几种途径:
    1. 用户所在的网络不安全
    2. 用户使用的电脑、手机或平板等用于收发邮件的设备不安全
    3. 用户邮箱密码为弱密码,容易被猜到
    4. 用户邮箱密码被明文记录在某些容易看到的地方
    5. 有”仇家”,被盯上。被人肉,被社工

    如何避免账号泄露呢?
    1. 自建邮箱服务器,再加上强悍的邮件网关,做好安全策略
    2. 邮箱登录采用双因素认证,避免暴力破解
    3. 邮件接收使用一次性密码或APP密码(有些邮件厂商有这功能)
    4. 设置登录提醒,时刻了解登录动态
    5. 使用pops, smtps等协议接收邮件,让网络中的所有邮件数据加密传输
    6. 使用强密码
    7. 登录源限制,将登录许可允许在一定范围内,前提是你要有能力保证你能控制登录源
    8. 最最最重要的一点是,时刻保持强烈的安全意识。
    `

  2. “隐私和安全”的7大关键冲突
    https://paper.tuisec.win/detail/600bc73c1ba66d7
    http://www.4hou.com/info/news/12397.html
    https://www.darkreading.com/operations/7-places-where-privacy-and-security-collide/d/d-id/1332110
    `
    1.收集一切 VS 限制收集
    2.加密性 VS 可见性
    3.长期存储 VS 短期存储
    4.本地 VS 远程
    5.结构化链条 VS 单点链接
    6.匿名化 VS 可识别
    7.已知 VS 未知

    用户的行为正处于政府监视之中。对于这种监视行为,安全部门回应称,
    ——如果你没有做错什么,你不应该介意被监视。

    而隐私部门则争辩称,
    ——如果我没有做什么错事,那么我做什么都与你无关。
    `

  3. 个人隐私保护大时代:至暗时刻将逝,一丝曙光在即
    https://mp.weixin.qq.com/s/Gzz7AtZgH0JuNa7U_9yb4w
    `
    If we can’t protect ourselves, ultimately we can’t be ourselves.

    我们人类的祖先也是如此,他们必须隐藏自己的行踪来躲避猛兽的攻击。所以对隐私的需求,是深深地刻在你我基因里的。

    我们可以来看看安全工程师们是怎么保护自己的:
    严格使用密码管理器生成所有密码,从不重复;
    过海关随身设备刷成出厂设置;
    电脑的摄像头上都贴着黑塑料,用的时候才打开;
    密码提示问题都是假答案、也都靠密码管理器来记录;
    所有硬盘都加密;
    明文个人数据不上云;
    熟人之间邮件缺省加密;
    多个虚拟机,不同的事情在不同的虚机里面操作,特别是点击链接,下载软件这种;
    一般两部手机,一部安装的app极少,一般装信任度高的app 。另一部相对随意,经常恢复出厂设置;
    出门至少带自己的手机充电线,只能充电的那种;
    使用公共Wi-Fi的话,一直连着自己公司的VPN;
    经常需要通过代理来访问服务器,包括网站;
    住酒店先仔细查一遍摄像头;
    密码之类的敏感信息,要分享给别人的话,一定是通过点对点加密的传输渠道,比如GPG;
    和亲人之间有特定暗号,关键操作比如需要打钱之类一定是通过暗号表达;
    `

  4. 过度收集个人信息如何破解
    https://mp.weixin.qq.com/s/EQrW5yYGHNuboaSfwqR4RA
    `
    在移动互联时代,如果单从收集环节来看个人信息保护来看,最突出的问题应是大众应用程序(app)过度收集用户的个人信息。开发、经营app的网络运营者如违反了《网络安全法》关于“不得收集与其提供的服务无关的个人信息”的规定,掌握了本不该获得的个人信息,一旦发生信息的滥用、误用,或发生了信息的泄露、毁损、丢失,对用户合法权益造成的损害将成倍地放大。

    另一方面,数据即石油、数据是黄金,已经成为数字经济的常识。在经济利益的驱使下,网络运营者有着天然的冲动最大程度地收集个人信息,用于自己的经营活动中。现实中,他们往往采取以下两条路径:

    一是隐瞒收集个人信息的功能、类型、范围等,偷偷地收集个人信息。这方面不仅直接面向用户的网络运营者会这么做(即直接欺瞒用户),那些给app提供功能模块或组件的第三方开发者也会偷偷嵌入收集个人信息的指令或功能,试图“搭便车”收集个人信息(即同时欺瞒app开发者和用户)。

    二是强迫用户同意授权其收集个人信息,即通过“一揽子协议”强制用户授权。如果细究起来,“一揽子协议”还可分为两个方面:服务或功能捆绑,以及故意扩大服务或功能所必需的个人信息。面对这样的“一揽子协议”,用户要么只能全盘接受,要么只能退出走人。

    那现有的法律提出了应对之策吗?目前,在《个人信息保护法》还未出台前,《网络安全法》提出了对个人信息最为完整、全面的保护设计。
    `

  5. 如何防止自己被人肉搜索到?
    https://mp.weixin.qq.com/s/ZE045w-Z94K4F5OqxPRj_g
    `
    防止人肉,我们该做些什么?

    1、个人信息不要轻易外泄;
    2、手机的定位服务不用时尽量关闭,以免自己的行踪被窃取;
    3、网络账号IP及密码设置复杂多样化,避免出现拖库、撞库的情况;
    4、拒绝添加不认识的人为社交好友,不给潜伏的作恶黑客提供机会;
    5、尽可能使用授权登录,包括社交工具和各类相关网站;
    6、不要在社交媒体随意公开自己及家人的隐私信息,避免被不法黑客进行社工诈骗;
    7、不使用的各类重要账号,及时注销、处理掉姓名、电话等个人重要信息绑定;
    8、重要证件照片用完即删,尽量不要留存在手机或网盘内。

    如被人肉,我们该如何处理?

    第一,将目前已知网络社交媒体的个人信息清除或者设置权限,包括社交工具、求职网站、论坛社区等;
    第二,修改个人信息,因个别网站不能清除个人信息,或者无法设置隐私,被人肉者可以修改个人信息,以此减少人肉危害;
    第三,及时联系网站版主或负责人,假如无法在网站上修改个人信息,可以通过该网站的联系方式联系网站负责人或者客服人员说明情况,以此进行修改或者注销;
    第四,如果被人肉危害不断发酵扩散,必要时,第一时间求助警察叔叔。
    `

  6. 个人信息保护的本质是一种资源再分配
    http://www.ftchinese.com/story/001082660?adchannelID=&full=y
    `
    傅蔚冈:在某种程度上,中国互联网企业的后发优势也是得益于中国并未构建起像欧盟和日本那般严苛的隐私权。

    既然隐私是一种资源,那么,和其他的任何资源一样,社会福利最大化是其应有之义,这也是波斯纳为代表的法律经济学的一贯主张。把隐私作为一种资源重新分配最有效率的结果,即把追求社会福利的最大化作为隐私保护的目标的意义在于:(1)它不仅可以使目标更清晰可量化、可操作,同时还让法律上的“隐私的合理期待”有了比较明确的准则;(2)把个人隐私保护当做一种资源,而不是一成不变和绝对保护,能够满足数字经济发展的需要,有利于国家的整体利益,避免保护过度;(3)这个框架的建立有利于不同背景、不同人群对隐私问题达成共识。

    更进一步,隐私保护本质上是个人数据保护与分享、收益与成本之间的权衡,隐私保护的核心就是一个成本和收益的平衡问题。当我们讨论隐私保护的收益时,不仅包括个人收益也包括外部性,即通过有效使用个人信息,可以促进就业、发展金融市场、维护公共安全和保持健康卫生等社会收益。同时隐私保护还有成本,它包括由于隐私让渡导致的个人安全感和尊严的心里损失和因为侵犯隐私导致个人经济损失;为了保护隐私而发生的社会、企业和个人支出等都是隐私保护的成本等。在社会收益最大化的原则下,隐私保护的政策制定就是上述各类收益和成本的权衡。

    本文强调个人信息保护的本质是一种资源的再分配,应该以市场作为重要的配置主体,从而让数据更好地服务消费者和促进社会福利提高。而对数据的监管政策应当以社会福利的提高为目标,保护隐私的同时也要允许合法的个人数据交换。同时还必须看到的是,隐私在不同环境下、语境下及对不同人有很大差别,因此隐私保护政策要有弹性,避免一刀切。
    `

  7. 日常生活中的企业监控
    https://mp.weixin.qq.com/s/z_xDmOdPxzj-aES0tS-DHw
    `
    不是小说,这是一份3年前的调研报告,不知是否影响了GDPR。或许,“Matrix”已经走到了身边,福祸未知!

    近年来,各种各样的公司已经开始在人们生活的各个方面进行监控、跟踪和跟踪。数十亿的行为、运动、社会关系、利益、弱点和大多数私人数据都被不断地实时记录、评估和分析, 个人信息开发已经成为一个数十亿的产业。然而,今天无处不在的数字追踪只是冰山一角; 大多数数字追踪对我们大多数人来说仍然是不透明的。

    Cracked 实验室的Wolfie Christl于2017年6月发布了这个报告,分析了个人数据行业的实际操作和内幕。贡献者有Katharina Kopp和Patrick Urs Riechert, Pascale Osterwalder创作了插图。基于多年的研究和2016年的一份报告,这项调查揭示了企业之间隐藏的数据流动。它描绘了当今数字跟踪生态系统的结构和范围,探索了相关的技术、平台和设备以及主要的发展。

    1. 人的分析
    2. 金融、保险和医疗领域中人的分析
    3. 大规模收集和使用消费者数据
    4. 数据经纪人和个人数据业务
    5. 实时监控人们的日常行为
    6. 数字化档案的连接,匹配和合并
    7. 管理消费者和行为,个性化以及测试
    8. 天罗地网-日常生活,营销数据和风险分析
    9. 绘制商业跟踪和档案版图
    10. 一个无处不在被数字控制的社会?
    `
    https://crackedlabs.org/dl/CrackedLabs_Christl_CorporateSurveillance.pdf

  8. 苹果服务器宕机导致无数应用停止响应
    https://www.solidot.org/story?sid=66084
    `
    大批苹果用户在社交媒体上报告,他们的应用程序失去响应或需要数分钟时间才能启动运行。受影响的服务还包括 Apple Pay、Messages 和 Apple TV 设备。导致这一大规模故障的罪魁祸首是苹果验证应用可信的公证服务器 ocsp.apple.com。ocsp 代表 Online Certificate Status Protocol stapling,从 MacOS Catalina 起,苹果用户每次打开或执行一个程序,系统都会将其哈希值发送到该服务器(苹果知道你运行的任何程序),在获得回应前应用程序会保持冻结状态。如果苹果设备没有联网,那么系统将会认为你离线,允许程序执行。今天发生的问题是 ocsp.apple.com 能 ping 通但无回应,于是系统一直尝试验证然后超时。对这一问题苹果尚未发表声明。
    `
    https://medium.com/@acecilia/apple-is-sending-a-request-to-their-servers-for-every-piece-of-software-you-run-on-your-mac-b0bb509eee65

    苹果 OCSP 事故暴露出它的不道德
    https://www.solidot.org/story?sid=66351

    https://www.fsf.org/news/the-problems-with-apple-arent-just-outages-they-are-injustices

  9. Your Computer Isn’t Yours
    https://sneak.berlin/20201112/your-computer-isnt-yours/
    https://sneak.berlin/i18n/2020-11-12-your-computer-isnt-yours.zh/
    `
    你的电脑不属于你
    事实就是这样,你注意到了吗?

    用现代的 macOS,即使你只是想简单地接通电源开机,启动一个文本编辑器或者电子书阅读器,然后随便读读写写,也没法避免你的行动记录被传输和存储。

    在当前版本的 macOS 中,当你运行每一个程序时,系统都会给苹果公司发送一个哈系值(hash,唯一标识符)。很多人并没有意识到这一点,因为它是无声无息的,看不见的,而且当你离线时它马上就会悄悄地失效。不过今天的服务器速度是真的很慢,以至于它没办法走那条快速失效的路径,导致大家如果连着网就无法启动应用。

    因为这件事是联网的,服务器自然就会看到你的 IP 地址,并且知道请求是什么时间进来的。有了 IP 地址,服务器就可以在城市级或者 ISP 级粗略地得到你的地理定位,而且可以做个这样的数据表:
    日期,时间,计算机,ISP,城市,州,应用哈系值

    当然,苹果(或其他任何人)可以计算这些常见程序的哈希值:App Store、Creative Cloud、Tor 浏览器、破解或逆向工程用的工具等一切程序。

    这意味着,苹果知道你什么时候在家,什么时候在工作。也知道你在哪里打开什么应用,以及打开的频率。他们知道你在朋友家的 Wi-Fi 上什么时候打开了 Premiere,也知道你在去别的城市旅行途中的什么时候在某个酒店里打开了 Tor 浏览器。
    `

    The Right to Read
    https://www.gnu.org/philosophy/right-to-read.en.html

  10. 房地产公司利用人脸识别识别客户身份
    https://www.solidot.org/story?sid=66163
    `
    南方都市报报道,多家房地产公司的售楼处利用人脸识别识别客户身份,并据此给出不同的报价。一位中介称,每当新楼盘上市时,房企一方面会花大量费用做营销宣传,吸引潜在购房者,另一方面也会找各种卖房平台作为“分销渠道”,让渠道帮忙招徕客户。如果购房者是看了房企宣传前来买房,叫做“自然到访客户”,说明房企的营销费没白花;如果购房者被渠道中介带上门,就属于“渠道客户”,房企要给予中介一定的“好处费”,即提成佣金。过去,房企销售与渠道中介抢客户的“混战”经常发生。而人脸识别,就是为了帮助房企判断某个购房者是什么类型、是谁的客户,佣金应该发给谁。报道称,没有被系统记录下来的首次到访客户其下单的房屋售价最低可以便宜数十万元。
    `
    被售楼处人脸识别拍到,买房多花30万?有人被迫戴头盔看房
    http://m.mp.oeeee.com/a/BAAFRD000020201122382884.html

  11. #脉脉回应拼多多员工匿名发贴被辞退#
    https://s.weibo.com/weibo?q=%23%E8%84%89%E8%84%89%E5%9B%9E%E5%BA%94%E6%8B%BC%E5%A4%9A%E5%A4%9A%E5%91%98%E5%B7%A5%E5%8C%BF%E5%90%8D%E5%8F%91%E8%B4%B4%E8%A2%AB%E8%BE%9E%E9%80%80%23
    `
    脉脉匿名区安全使用指南:
    1. 使用iPhone,全程使用数据网络
    2. 同一个id下不要发表太多个人信息关联内容(会被爬虫分析)
    3. 使用网上接码平台注册账号,注意自己的设备名( 不要是 xxx的iPhone这种 )

    人民应当有免于恐惧的权力,只要做到以上这些,就是安全的。他们没有什么黑科技,纯粹靠人海战术,这个还是清楚的。
    `

  12. 网络安全的经济学“原罪”:利润私有化,亏损社会化
    https://mp.weixin.qq.com/s/iVUYGbYrWOV1Hox2DcpFTA
    `
    近日,网络安全大咖施奈尔(Bruce Schneier)在纽约时报撰文指出,后资本主义时代私营企业们之所以不愿意在网络安全上花钱,是“市场经济”的必然结果,因为企业可以把风险转嫁给纳税人和用户。

    美国历史上最严重的黑客事件——SolarWinds供应链攻击暴露出的诸多问题中,SolarWinds自身的网络安全防御形同虚设,已经到了令人发指的地步。施奈尔认为SolarWinds作为一家垄断性的行业巨头,以“一己之力”给美国全社会带来不可估量的安全灾难,值得深刻反思。

    施奈尔认为,资本和市场奖励公司的这种冒险精神,也就是所谓的“利润私有化,亏损社会化”。重视网络安全和隐私保护的企业会在竞争中处于不利地位,而不重视网络安全甚至侵犯用户隐私的企业,更有可能“野蛮生长”,并最终给国家网络安全带来系统性风险。
    `

    National Security Risks of Late-Stage Capitalism
    https://www.schneier.com/blog/archives/2021/03/national-security-risks-of-late-stage-capitalism.html

  13. 看了Chrome收集的个人数据,我发现谷歌被控涉嫌垄断不亏
    https://www.freebuf.com/articles/database/267254.html
    `
    姓名、通讯地址、邮箱、通讯录、位置、搜索历史、浏览历史、流量使用、用户信息、设备信息、支付信息。

    这不是在填个人信息表,而是你使用Chrome浏览器和谷歌应用程序时被收集的个人数据。

    最近,谷歌终于公布其在Chrome和谷歌应用程序中收集了哪些用户数据,这些数据会被用来进行用户画像,展开有针对性的个性化广告营销。

    谷歌这一举动遭到竞争对手DuckDuckGo(隐私浏览器)嘲讽“难怪不想披露”。

    谷歌被嘲讽是因为它在过去三个月一直在试图对抗苹果的隐私标签政策,拖延在应用商店中更新iOS应用。

    去年12月8日,苹果更新了隐私政策,要求苹果应用商店中的应用添加“隐私标签”。该标签会告诉用户应用正在收集哪些数据,是否用于跟踪以及将如何使用这些数据。并且,苹果还希望用户在打开App时,给用户提供“允许追踪”和“不允许追踪”的选项。

    自苹果宣布更新隐私政策以后,媒体们观察到,谷歌自12月8日以来,其应用商店中的iOS应用没有更新。例如Gmail、YouTube等数十款超人气应用的iOS版本的更新时间停在了12月8日之前,而这些应用的安卓版本却一直在更新。

    还有报道指出,在苹果“隐私标签”实施的前一天,也就是12月7日,谷歌应用程序进行过大规模更新。

    谷歌一直采取拖延的态度来应对更新。谷歌还曾表示,一旦苹果的隐私新政生效,它将停止收集目前用于广告目的的iOS应用的IDFA(IDFA是苹果的广告标识符,开发者获取用户的IDFA后可以跟踪广告效果)。

    拖延更新一个月后,谷歌才公开回应,称公司正计划在应用程序目录中添加隐私标签,但并未公布具体时间。

    最后,谷歌拖延了3个月才开始更新iOS应用程序的“隐私标签”。正是这一行为被DuckDuckGo影射。
    `
    https://policies.google.com/privacy?hl=en-US#infocollect

    https://twitter.com/DuckDuckGo/status/1371509053613084679?s=20

  14. 给互联网人的反侦查手册
    https://mp.weixin.qq.com/s/2PuDoFcXvqVETvj8-TRgvw
    `
    “理论上说,公司没有权利在办公网络下监控员工私人聊天信息、要求核查微信聊天记录,以及叫到密闭的小会议室问话。”中国政法大学民商经济法学院助理教授任启明表示,“但公司在做这些的时候,都能以员工已经同意为基础。”
    任启明说,所谓“同意”可以是公司刊发员工手册、可以是员工单次表示同意,也可以只是行为在发生时,员工没有直接拒绝被认定为配合。

    一位在两家互联网巨头工作过的员工表示,他认为大部分公司不会真的在 24 小时实时监控自己的所有员工——公司没有这个资源和人力。但是当公司要大裁员,或者有更高序列的管理层想针对自己的时候,确实有可能小题大作。这时,监控会成为一种手段。

    员工当然有自己选择一份工作的自由,而当他加入一家公司后,员工相较于公司天然是弱势的,面临着各种制约和考量——股票期权、升职空间、职场声誉。这种处境之下,当公司采取各种手段监控员工、获取信息,个体往往要面对一些曾经没有想到过的不便与不快。

    “所以比较好的办法是提高行为动作的基础标准,保护好自己。”阿番说。但他也清楚,“你不可能去上个班,还要花很大精力去做反刑侦的谈话应对措施,而且这种事本身就是小概率事情。”
    所谓互联网大厂都是中国经济里最有活力、最创新的公司,往往也是给员工最多财务回报的公司。员工选择加入这些公司,往往能创造最大价值,为自己的利益也为社会的前进。

    互联网公司也不是一开始就施加如此多的监控手段,都是在遇到问题后设立规则,层层叠加。如果追溯最初的目的,公司有两个无可厚非的理由:一个是保护商业机密,打击腐败行为;另一个是提升员工效率,做出更成功的产品。

    但无论一开始的初衷多么合理,在执行中,这些公司用的手段越来越多、覆盖的范围越来越大,已经成为了一种颇具时代特色的独特商业现象。最终,这些缺少制约的权力成为了公司管理层的工具,本质上都在帮助公司加强控制、维护少部分人利益。

    2021 年元旦起实行的《中华人民共和国民法典》第一次详细规定了人格权保护制度,将个人隐私保护纳入其中。

    员工在成为一家公司的员工之前,首先是一个人,应当拥有基本的权利。

    入职前:
    * 了解你的工作环境
    * 准备专门的工作微信号

    在职期间:
    * 工作和私人设备完全隔离,不在工作电脑或手机上存储个人信息
    * 不要用私人的电脑或者手机连接公司网络
    * 勿以恶小而为之
    * 访问内部信息都留下记录
    * 泄露你隐私的不只是数据
    * 极端情况下,不要默许公司的行为
    一个人很难为刑侦式的问询做什么心理准备,但拒绝不合理的要求是可以做的——对面并不是警察,没有强制权。

    离职:
    * 离职前谨慎更新简历、查询信息
    * 关于竞业协议,我们也找不到什么好建议
    一些公司的 HR 甚至建议不要在手机上安装任何前公司的应用——哪怕是针对消费者的应用,以避免技术手段监控。并且入职后新公司不要收来路不明的快递、上下班戴口罩、出门前取下工牌。
    这些听上去神经兮兮的建议并不是没由来。

    “现有的公司法和劳动法,更多是以福特生产线以来的现代大型产业公司为模型,并在此基础上形成了相关的法律制度。这些法律制度,未必能够适应当下的互联网公司的发展,这也是为何关于互联网公司的争议不断。”任启明教授表示。
    他认为解决这些矛盾,法律需要随数字经济发展而更新。员工也需要通过集体谈判、争取社会公众,以获得更大力量,才能改变目前的不对等地位。
    互联网平台公司的兴起,一定程度上改变了传统劳动法理论对于企业形态的假设,也改变了企业与员工的力量平衡。

    平等关系,从来都是需要争取的。
    `

  15. 我家电视机正在监视所有连网设备
    https://www.v2ex.com/t/772523?p=1
    `
    之前觉得电视有点慢,看了一下都有什么后台服务开着。发现有个东西叫”勾正数据服务”,完全不知道是干什么的。

    电视是安卓系统,抓包研究了一下,发现这东西每隔 10 分钟扫一遍我全家连网的设备,把 hostname 、mac 、ip 甚至网络延迟时间全传回去了,还探测周围的 wifi SSID 名称、mac 地址也打包传到这个 gz-data .com 的域名。

    也就是说,家里有什么智能设备、手机在不在家、谁来家里连网了、周围邻居 wifi 叫什么名,随时采集上传,确定这不是间谍服务???

    代码分析如下:

    这个勾正数据服务 app 对应 TVAC.apk ,解开看功能基本都在这个动态加载的 jar 里面。

    里面代码挺多,有个逻辑是 arp 扫描局域网、上报所有联网设备信息。
    `

  16. 世界上有两种密码:一种是防止你的小妹妹偷看你的文件;另一种是防止当局阅读你的文件.
    https://github.com/ffffffff0x/Digital-Privacy
    `
    项目起因 : 为了保护自己的隐私,慢慢的开始学习与收集各种手段方法、网站、工具,我把这种行为称作数字洁癖.这些手段方法藏着掖着也不能当传家宝,那干脆就分享出来造福大众.
    涉及内容 : 个人敏感信息查询,保护措施,开源信息收集(OSINT)对抗
    事件集合 : 还不清楚严重性?进来了解近年来的数据泄露、供应链污染事件:Dork-Admin

    # Tips

    1. 对于各类平台尽量使用不同昵称、头像.
    2. 多平台不要使用统一、相似的密码,请建立一套自己的密码管理方式,推荐使用密码管理器.对于密码管理器本身的安全性,可以参考这个报告 https://www.securityevaluators.com/casestudies/password-manager-hacking/
    3. 管住自己的炫耀欲.
    4. 不要相信哪个公司不作恶、重视隐私.(感觉和2有冲突啊 XD)
    5. 尽量少用部分浏览器 “记住密码” 的功能, 针对浏览器的取证工具不少, 很容易就可以提取出 Cookie、浏览记录、保存的密码等。
    6. 不要以为开虚拟机、挂 vpn 就很安全,webRTC 泄露 IP,浏览器指纹,通过 DNS 判断(参考网飞),系统时间,浏览器 0day,等等等等.
    7. 定时清空你的邮件、短信、通话记录、回收站.
    8. 所以不要干坏事、不要干坏事、不要干坏事。
    `

  17. 大数据安全与隐私保护
    http://cjc.ict.ac.cn/online/onlinepaper/fdg-2014115105559.pdf
    `
    大数据(BigData)是当前学术界和产业界的研究热点,正影响着人们日常生活方式、工作习惯及思考模式。但目前大数据在收集、存储和使用过程中面临着诸多安全风险,大数据所导致的隐私泄露为用户带来严重困扰,虚假数据将导致错误或无效的大数据分析结果。该文分析了实现大数据安全与隐私保护所面临的技术挑战,整理了若干关键技术及其最新进展。分析指出大数据在引入安全问题的同时,也是解决信息安全问题的有效手段。它为信息安全领域的发展带来了新的契机。

    目前大数据的发展仍然面临着许多问题,安全与隐私问题是人们公认的关键问题之一。当前,人们在互联网上的一言一行都掌握在互联网商家手中,包括购物习惯、好友联络情况、阅读习惯、检索习惯等等。多项实际案例说明,即使无害的数据被大量收集后,也会暴露个人隐私。事实上,大数据安全含义更为广泛,人们面临的威胁并不仅限于个人隐私泄漏。与其它信息一样,大数据在存储、处理、传输等过程中面临诸多安全风险,具有数据安全与隐私保护需求。而实现大数据安全与隐私保护,较以往其它安全问题(如云计算中的数据安全等)更为棘手。这是因为在云计算中,虽然服务提供商控制了数据的存储与运行环境,但是用户仍然有些办法保护自己的数据,例如通过密码学的技术手段实现数据安全存储与安全计算,或者通过可信计算方式实现运行环境安全等。而在大数据的背景下,Facebook等商家既是数据的生产者,又是数据的存储、管理者和使用者,因此,单纯通过技术手段限制商家对用户信息的使用,实现用户隐私保护是极其困难的事。

    2.2 大数据分析目标
    目前大数据分析应用于科学、医药、商业等各个领域,用途差异巨大.但其目标可以归纳为如下几类:
    (1)获得知识与推测趋势
    (2)分析掌握个性化特征.
    (3)通过分析辨识真相.
    错误信息不如没有信息.由于网络中信息的传播更加便利,所以网络虚假信息造成的危害也更大.

    3.2 大数据的可信性

    关于大数据的一个普遍的观点是,数据自己可以说明一切,数据自身就是事实。但实际情况是,如果不仔细甄别,数据也会欺骗,就像人们有时会被自己的双眼欺骗一样。

    大数据可信性的威胁之一是伪造或刻意制造的数据,而错误的数据往往会导致错误的结论。若数据应用场景明确,就可能有人刻意制造数据、营造某种“假象”,诱导分析者得出对其有利的结论。由于虚假信息往往隐藏于大量信息中,使得人们无法鉴别真伪,从而做出错误判断。例如,一些点评网站上的虚假评论,混杂在真实评论中使得用户无法分辨,可能误导用户去选择某些劣质商品或服务。由于当前网络社区中虚假信息的产生和传播变得越来越容易,其所产生的影响不可低估。用信息安全技术手段鉴别所有来源的真实性是不可能的。

    大数据可信性的威胁之二是数据在传播中的逐步失真。原因之一是人工干预的数据采集过程可能引入误差,由于失误导致数据失真与偏差,最终影响数据分析结果的准确性。此外,数据失真还有数据的版本变更的因素。在传播过程中,现实情况发生了变化,早期采集的数据已经不能反映真实情况。例如,餐馆电话号码已经变更,但早期的信息已经被其它搜索引擎或应用收录,所以用户可能看到矛盾的信息而影响其判断。

    因此,大数据的使用者应该有能力基于数据来源的真实性、数据传播途径、数据加工处理过程等,了解各项数据可信度,防止分析得出无意义或者错误的结果。

    密码学中的数字签名、消息鉴别码等技术可以用于验证数据的完整性,但应用于大数据的真实性时面临很大困难,主要根源在于数据粒度的差异。例如,数据的发源方可以对整个信息签名,但是当信息分解成若干组成部分时,该签名无法验证每个部分的完整性。而数据的发源方无法事先预知哪些部分被利用、如何被利用,难以事先为其生成验证对象。
    `

  18. 普通人的网络安全自保
    https://mp.weixin.qq.com/s/pVPwcUN_LSqOol9invQYOw
    `
    说起安全,朋友曾经跟武侠里的江湖做过类比:

    黑客、攻击者类似啸聚山林的山大王。公安干警可以类比大内高手。企业里的安全从业者类似大户人家的护院。安全公司则像镖局。平头老百姓,在江湖里要保平安,有些需要了解的基本常识,比如古龙在《碧玉刀》里写到,段玉出门前父亲交代他七大戒律:

    1. 不可惹事生非,多管闲事。
    2. 不可随意交结陌生的朋友。
    3. 不可和陌生人赌钱。
    4. 不可与僧道乞丐一类人结怨。
    5. 钱财不可露白。
    6. 不可轻信人言。
    7. 千万不可和陌生的女人来往。

    我也梳理一些我认知中,普通人在生活中需要具备的信息安全知识,虽是常识,估计还是会有很多人不知道,或者是知道了但是没做到——就像上面的“七大戒律”,段玉一条都没遵守。

    但,反正我不敢自大,尽量做了,减少掉坑的机率。

    1. 每个人都会是攻击目标。千万不要以为新闻里发生的那些事不会发生在自己头上,互联网时代,攻击很简单。
    2. 梳理清楚个人最在意的信息,并做好备份。确保在换手机、丢手机、换电话号码前,检查过这些信息可以恢复。(反例:换电话卡,但是银行绑定的手机号还是旧号码。换手机,但是谷歌验证器里的一次性口令没备份)。
    3. 保持电话卡安全。设置 PIN 码(小心不要反而锁卡了)。如果要更换号码时记得看上一条——微信、QQ、银行卡等重要密码解绑。
    4. 保持操作系统、应用软件更新到最新版本。不用的软件可以移除,尽量保持系统干净简洁。
    5. 安装软件必须从官方应用市场,或者软件的官网下载。要假定任何第三方网站都是不安全的。
    6. 对“钓鱼”保持警惕——目前常见形态是电话、邮件、微信、QQ 等渠道发来诈骗信息、攻击软件等,因此无论发来信息的人是否熟人,不安装发来的软件(参考条目 5),如果涉及财物,先当诈骗观察、跟进。
    7. 使用合适的密码管理方法,重要的信息、站点(比如 2 里列出的内容),密码不要和其他一样。如果有很多密码,可以使用类似 1Password 这样的密码管理工具。密码的设置有不少技巧,可以搜一搜适当学习,找一种适合自己的。
    8. 设备(电脑、手机、移动硬盘等)不让不可信的人接触。比如离开电脑的时候要锁屏。
    9. 数据要定期备份,并且定期数据恢复演习。比如可以同时备份到移动硬盘/NAS 和云盘里,这样即使遇到一些不可抗力,数据损失也不会太大。
    10. 旧设备出售、转让前,彻底清除数据。
    11. 有双因素认证的重要网站,可以打开双因素认证。一定记得做好备份——避免手机遗失带来的损失。
    12. 尽量少用外界的免费 Wi-Fi。不可避免地接入第三方 Wi-Fi 的时候,避免使用 2 里的信息——比如,就不登录银行账户了。
    13. 使用社交媒体软件时,检查社交软件里的隐私设置,减少隐私信息的泄漏。比如,不发涉及个人信息——居住的小区、身份证、家庭照片等的照片。
    14. 如果使用 Windows 系统,需要安装防病毒软件。

    这篇文章写得有点枯燥,起因是有位读者给我私信,聊起他换电话卡之后,带来了一些安全上的困扰。过往之事不可追,纠结无益。

    当前国家对个人信息安全保护越来越重视,立法、执行都有很多优化,但无论如何,这些常识,任何时候知道,任何时候开始做,对未来都是有好处的。
    `

  19. Apple 上线个人安全用户手册
    Personal Safety User Guide for Apple devices
    https://support.apple.com/zh-cn/guide/personal-safety/welcome/web
    `
    # Welcome

    # Personal safety at a glance

    # Review and take action
    * Intro to review and take action
    * Manage sharing settings
    * Block unknown sign-in attempts
    * Document suspicious activity
    * Share or stop sharing your location
    * Stay safe with AirTag
    * Store your data securely in iCloud
    * How to control who can access your location
    * Delete suspicious content
    * Manage Family Sharing settings
    * Avoid fraudulent requests to share info
    * Securely control your Home accessories
    * How to Erase all Content and Settings
    * Restore the data you backed up

    # Safety and privacy tools
    * Intro to privacy and safety tools
    * Update your software
    * Set a unique passcode or password on devices
    * Set up Face ID on iPhone and iPad
    * Set up Touch ID
    * Identify and delete unknown fingerprints on your iPhone or iPad
    * Add or delete fingerprints on your Mac
    * How to keep your Apple ID secure
    * Set up two-factor authentication
    * Set up an account recovery contact
    * See how apps are accessing your data
    * Manage your privacy settings
    * Block calls and messages
    * Clear your browsing history
    * Use Private Browsing mode
    * Emergency calls and emergency SOS on iPhone

    # Personal safety checklists
    * See who has access to your device or accounts
    * Stop sharing with someone
    * Control how someone else can see your location

    # Copyright

    ==
    # 欢迎

    # 个人安全一目了然

    # 审查并采取行动
    * 介绍审查和采取行动
    * 管理共享设置
    * 阻止未知的登录尝试
    * 记录可疑活动
    * 分享或停止分享您的位置
    * 使用 AirTag 保持安全
    * 将您的数据安全地存储在 iCloud 中
    * 如何控制谁可以访问您的位置
    * 删除可疑内容
    * 管理家庭共享设置
    * 避免欺诈性请求共享信息
    * 安全控制您的家居饰品
    * 如何删除所有内容和设置
    * 恢复您备份的数据

    # 安全和隐私工具
    * 隐私和安全工具简介
    * 更新您的软件
    * 在设备上设置唯一的密码或密码
    * 在 iPhone 和 iPad 上设置面容 ID
    * 设置触控 ID
    * 识别并删除 iPhone 或 iPad 上的未知指纹
    * 在 Mac 上添加或删除指纹
    * 如何保护您的 Apple ID 安全
    * 设置双重身份验证
    * 设置帐户恢复联系人
    * 了解应用程序如何访问您的数据
    * 管理您的隐私设置
    * 阻止电话和消息
    * 清除您的浏览历史
    * 使用隐私浏览模式
    * iPhone 上的紧急呼叫和紧急 SOS

    # 个人安全清单
    * 查看谁有权访问您的设备或帐户
    * 停止与某人分享
    * 控制其他人如何查看您的位置

    # 版权
    `

  20. 谈谈公司对员工的监控
    https://coolshell.cn/articles/22157.html
    `
    今天看到微博上有一个热点事件, 是一个关于某公司做的一个监控员工离职倾向的软件,从截图中可以看到员工访问招聘网站的次数,还有投递的简历以及搜索的关建词等等信息,通过这些信息分析员工的离职倾向。然后我发一个微博,说了一下,我以前工作过的公司无论外国公司还是中国公司都有这样的情况,收到一些人来问我相关的情况,所以,我想还是写篇文章详细地说一下,我对这种事情的看法。

    本文分成下面4个部分:

    # 1. 公司监控员工的技术手段有哪些?

    下面是我经历过的几个手段:

    1)通过网络嗅探的方式。也就是说,你只要上了公司的网络,你个人设备上的通讯信息就可以被人以网络抓包+分析的方式进行分析。当然,这样的手段已经不怎么好用了,因为现在的网络基本上都是HTTPS加密的,网络嗅探的方式只能知道你访问了什么IP,对于其中的数据是没有办法知道的。

    2)通过使用公司提供的软硬件工具。你使用公司的电子邮箱,浏览器(或是公司的代理服务器),通讯工具(包括语音电话),手机办公应用……等来处理你的个人事宜的时候,必然会被监控。这样,你只需要不要使用公司的软件来处理自己的私事就好了。

    3)通过安装一个监控程序。这个是最可怕的了,因为无论你加不加密都没用了。一般来说,你不安装这个程序,你就没有办法连上网络,包括公司内网和外网。这个监控程序,会收集你电脑或手机上能够收集的到的所有的信息,比如,你的网络信息,按键操作,录屏,软件数据……等等。

    4)办公区监控。我见过的还有使用摄像头,在会议室中安装声音和视频监控设备,对整个办公区内发生所有的事情进行监控。

    5)通过爬虫。通过爬虫分析员工的社交平台上的各种言论,包括招聘网站。除了公司需要分布和自己相关的舆情,同样也开始监控员工的行为和价值观等。这已经不是监控隐私信息了……

    # 2. 为什么要监控员工?

    所以,一般来说,公司监控的目的主要是为了自己的信息安全,还有员工的工作量评估,一般来说,不会涉及员工的隐私。

    但是,随着收集的数据越来越多,有些公司发现还可以做更多的事,比如,上述的员工离职倾向的分析。还有一些公司还会收集员工在外网的数据,比如你在社交平台上的各种言论,来分析你对公司的忠诚度和你的价值观取向……我个人觉得这些已经令人不耻了。

    # 3. 外企和国企有什么不一样?

    我经历过的公司中,外国公司和中国公司都有监控的经历,这里说一下他们的不一样之处。最大的不一样的地方是,外国公司会让你有知情权,而中国公司则完全没有。

    # 4. 我对此事的看法

    一方面,我对于公司通过使用监控软件监控员工的行为我是能够理解的,但是,应该让员工有知情权,并和员工明确一个监控的信息和范围,包括收集的数据的用途和安全措施,以及数据多长时间销毁的协议。如果没有这个协议的话,我觉得本质上就是一种流氓行为。

    另一方面,针对监控员离职的倾向来说,我实在不知道有什么意义?公司你知道了又能如何呢?你是要找员工作思想工作,还是要给员工更好的待遇,还是直接开掉?如果你对自己的企业有信心,你就不必担心员工会离开,如果你的企业有问题,你为什么不把心思花在建设自己的企业上来呢?安装这样的监控软件对于企业没有什么帮助,反而只会让你的企业的形象更low……

    再仔细想想,员工有一万种方法泄漏你公司的信息,无论你怎么监控,只要他想,他总是能够找到方法的,不是么?如何让找到或是培养有职业操守的员工,如何管理自己企业的商业信息,如何建立一个更好的企业文化让员工更有归属感,成为企业的共同体,一同维护共同利益,为企业着想,这不才是公司真正应该干的事吗?!监控员工充分暴露了这样的企业没有一个好的企业文化,不懂得高级的管理,所以,只能靠监控这样的手段来管理企业了……这样的企业不去也罢了。
    `

  21. 在macOS的命令行上如何快速加密/解密文件
    Simple built-in way to encrypt and decrypt a file on a Mac via command-line?
    https://superuser.com/questions/370388/simple-built-in-way-to-encrypt-and-decrypt-a-file-on-a-mac-via-command-line
    `
    # encrypt/decrypt args1 to args2 using 256-bit AES in CBC mode
    encx() {
    openssl enc -aes-256-cbc -salt -in “$1” -out “$2”
    }
    decx() {
    openssl enc -d -aes-256-cbc -in “$1” -out “$2”
    }

    # encrypt/decrypt args1 to args2 using 256-bit AES in CBC mode (output is base64 encoded)
    ency() {
    openssl enc -aes-256-cbc -a -salt -in “$1” -out “$2”
    }
    decy() {
    openssl enc -d -aes-256-cbc -a -in “$1” -out “$2”
    }
    `

  22. 微信聊天内容可以被监听吗??
    http://www.yunweipai.com/41296.html
    https://www.cnblogs.com/uncleguo/p/16203462.html
    `
    总结
    1.微信的聊天内容通过网络通信层次通常情况是无法被取得内容的。
    2.如果有迹象表明你具体的聊天内容,https浏览内容,被监听,99%的情况下,说明你的电脑被植入了监控软件(木马),尽快自查。
    3.及时进行系统安全更新,不要随意运行别人给你的软件,比如关系不好的老婆/老公,多数木马是通过这个途径引狼入室的。

    一、聊天软件应该保证的安全
    依旧是那个问题,当一款聊天通信软件宣传他是“安全”的,这里的安全的含义是什么?如果你作为产品经理,提几个基本的安全需求,可能应该包括:

    1.账号安全,不能被绕过,爆破等。就是保证用户的账号安全方面。
    2.传输安全,传输的内容,应该不能被窃听,不能被篡改。
    3.其他 :-)。

    二、上网行为管理审计原理
    安装监控程序,就相当于安装木马。微软windows系统是一个比较开放的系统,各进程间是没有隔离的,也不需要进行权限申请,一个运行的程序完全可以通过API对其他的进程窗体内容,内存内容进行抓取,拦截API调用。这类监控程序,本质就是木马,你在安装了监控程序的计算机上所进行的任何操作,都可以被木马服务器远程收集。

    应对这类监控,如果公司是明确要求,必须安装的,那你只能要么忍要么滚-_-||。如果公司是隐蔽进行的,你可以使用自己的设备,或者把公司的电脑彻底格式化,密码不要轻易泄漏,不要安装运行来历不明的程序。此外,监控程序也是运行于系统之上的,需要针对操作系统开发, 对一些小众系统可能支持不完善,或者受限于系统权限,不能实现监控功能,比如MacOS,Linux。这就是为啥MacOS的病毒,木马比较少。

    三、安全漏洞与系统补丁
    应对就是及时更新系统,及时更新补丁,当然也不要自己引狼入室,自己安装来源不明的程序(钓鱼文件),所以使用盗版软件,操作系统真的有风险!很多都被修改过,很可能有植入的木马。
    `

发表评论

您的电子邮箱地址不会被公开。