個人信息保衛(wèi)戰(zhàn)

前言

現(xiàn)代化的小玩意兒為什么背叛我們在彭布羅克郡—斯旺西列車飛馳而來之前，保拉?西利就已經(jīng)感覺到事情有些不妙。黃昏剛過，這位20歲的大學生在傾盆大雨中離開了車子，打開擋在前方的一扇門。西利使用借來的TomTom移動GPS設(shè)備導(dǎo)航，從英國伍斯特郡的雷迪奇鄉(xiāng)間小路向位于威爾士卡馬森郡的男朋友父母家行駛了將近150英里。這是她第一次拜訪男朋友的父母。根據(jù)儀表板上明亮的GPS顯示判斷，西利離她的最終目標只有幾英里了，而前方的路應(yīng)該已經(jīng)很清楚了。西利認為面前的這扇門是英國鄉(xiāng)間常見的農(nóng)場主的家門，正當她要打開它時，并沒有意識到腳下是鐵路軌道，直到列車呼嘯著撞上她身后的雷諾克萊奧小汽車。不久，西利告訴BBC：“我能感覺到一陣風刮過來，然后我的車子在鐵軌上轉(zhuǎn)了360°，被撞向了另一邊?！蔽骼⒉皇莾H有的例子。在2006年年末和2007年年初，全世界的頭條新聞上充滿著與移動GPS相關(guān)的事故報道：德國布萊梅的一位43歲的男士在GPS指示下左轉(zhuǎn)，把他的奧迪汽車開上了電車軌道；2英國的另一位20歲女性按照儀表板上GPS的指示，將她的奔馳SL500小轎車開到了Sheepy Magna村莊外的一條封閉的道路，沖進了森斯河邊漲起的大水中，3而澳大利亞的一位男性過早地在高速公路上轉(zhuǎn)向，穿過一個建筑工地之后，將他的SUV停在了一座新建筑物的混凝土臺階上。看到這些報道，人們可能會總結(jié)道，消費級的儀表板GPS系統(tǒng)都有問題。實際上并非如此。5從20世紀90年代中期起，不同的供應(yīng)商已經(jīng)銷售了幾百萬臺用于私人飛機、汽車和船只的具有GPS功能的小型設(shè)備。ABI Research預(yù)測到2013年為止，將會有超過9億人通過儀表板設(shè)備以及手機使用GPS導(dǎo)航程序。隨著這些商用的GPS設(shè)備更加流行，世界發(fā)生了一些更根本的改變。我們中的一些人不再像幾千年來一樣，抬起頭、環(huán)顧四周、獨自思考，而是簡單地接受這些小玩意所告訴我們的信息。了解自己所在的位置是基本的需求，移動設(shè)備給我們帶來在人類過去的歷史上不可能出現(xiàn)的一種手段。對于許多人，包括我自己來說，現(xiàn)在的人沒有技術(shù)就無法生存這種說法都只能算輕描淡寫。技術(shù)令人癡迷。但是為了得到大眾的接受，技術(shù)供應(yīng)商走了捷徑。軟件向?qū)б龑?dǎo)我們快速忽略復(fù)雜的配置，今天的界面上高級設(shè)置選項越來越少，消費品被制造成最終用戶不了解其內(nèi)部結(jié)構(gòu)的魔盒。順著這條道路發(fā)展，我們已經(jīng)造成了一些預(yù)期之外的后果。如果儀表板GPS設(shè)備蓄意誤導(dǎo)我們，該怎么辦？我們車上的GPS設(shè)備不只提供導(dǎo)航；還警告我們即將出現(xiàn)的道路封閉或者事故，如果它們?nèi)隽酥e，又該怎么辦？2007年春天，在加拿大溫哥華舉行的CanSecWest安全會議上，安德雷?巴里薩尼和丹尼爾?比安科展示了一段視頻，視頻中巴里薩尼的2006年產(chǎn)本田思域汽車的GPS顯示了一段文字，警告他在意大利的里雅斯特市的家附近有恐怖主義威脅。7這段警告信息不是來自于地球同步軌道上的衛(wèi)星，交通警告是通過一種具有十年歷史的廣播協(xié)議從本地發(fā)送的，衛(wèi)星廣播站利用這種協(xié)議填寫儀表板娛樂系統(tǒng)屏幕上的歌曲名稱和詳細情況。人們很快就知道如何操縱這種協(xié)議。研究人員的試驗在很有限的范圍內(nèi)進行，以免打擾附近公路上的其他車輛。該項目也并非都那么令人恐懼或者嚴重。由于路上的GPS警告沒有加密，因此任何具有合適的設(shè)備并了解儀表板設(shè)備使用信號的人都可以做到這一點。反之亦然：人們可以阻止緊急信息，這稱為拒絕服務(wù)攻擊。因此，任何擁有低功率無線電發(fā)射裝置并知道GPS使用頻率的人，都可以向路過的旅行者廣播（真實或者虛假的）信息。在美國這種臨時廣播是合法的，而在其他國家并非如此。較新的GPS設(shè)備使用基于衛(wèi)星的警報，這更難以偽造，但是它們?nèi)匀皇褂梅羌用艿男l(wèi)星信號。較老的GPS設(shè)備仍然依賴容易遭到這種攻擊的FM信號?？紤]到現(xiàn)在我們有放棄常識而信任這些微型硅晶片的傾向，如果本書只能實現(xiàn)一個目標，我希望是使你更多地對這些新的時尚玩意保持懷疑。1人們不僅可以向我們的設(shè)備發(fā)送虛假信息，還可以在不為人知的時候獲取我們的個人數(shù)據(jù)。例如，iPhone不使用GPS作為其定位服務(wù)，蘋果公司確定，跟蹤電話到一個實際位置的Wi-Fi互聯(lián)網(wǎng)連接比GPS更有前途。8Microsoft和Google都有自己的Wi-Fi定位服務(wù)。但是，Wi-Fi在地理定位上不一定能超越GPS，只是更加方便。2008年，瑞士蘇黎世的一個研究團隊發(fā)現(xiàn)了入侵蘋果公司W(wǎng)i-Fi定位網(wǎng)絡(luò)的方法。9iPad、iPhone和iPod Touch設(shè)備查詢最近的無線訪問點（比如互聯(lián)網(wǎng)咖啡屋、公司或者本地住宅）并將信息傳遞給一個數(shù)據(jù)庫，在數(shù)據(jù)庫中與物理地址（經(jīng)度和緯度）關(guān)聯(lián)。但是瑞士研究人員為這個服務(wù)提供了不正確的信息，告訴蘋果公司服務(wù)這臺iPhone在紐約，而實際上它仍然在蘇黎世。如果有人惡意利用這一漏洞會怎么樣呢？兩年前，安全研究人員特里?斯滕沃德在著名的流行黑客雜志《2600》上發(fā)表了相似的研究結(jié)果。10斯滕沃德發(fā)現(xiàn)，他可以竊取其他人的硬件規(guī)格——例如，手機的唯一ID或者便攜式電腦的唯一硬件ID——然后將該信息上傳給定位服務(wù)，使該服務(wù)告訴他這個人的當前位置。11這種技術(shù)可以用于跟蹤。第三方已經(jīng)能夠捕捉我們的位置信息，并且無限期地存儲。我們有沒有考慮過長期的后果？隨意經(jīng)過的一個破舊的小鎮(zhèn)十年以后會是什么樣子？如果不是隨意的地點呢？有了足夠的數(shù)據(jù)，會出現(xiàn)什么精心計劃的秘密行動？或者，如果我們可以偽裝自己的當前位置，使人覺得我們似乎始終在工作中，而實際上卻不是那么回事，這又會有什么后果？我們應(yīng)該信任這種位置數(shù)據(jù)嗎？如果本書能完成第二個目標，我希望它能夠建立一種意識：常見的設(shè)備可能以各種方式泄露個人信息。2本書的其中一個主旨就是硬件破解——一個值得研究和關(guān)注的相對新穎的領(lǐng)域：我們的車子有多么容易遭到攻擊，我們的手機對話是如何被竊聽的，我們的非接觸式信用卡、駕照和護照是怎樣在遠離我們的地方被復(fù)制的。在大部分硬件上添加基本驗證和強加密能夠顯著地降低本書描述的漏洞；但是硬件制造商目前對加強設(shè)備安全還沒有表現(xiàn)出濃厚的興趣。消費者只有加強風險意識，才能做出明智的選擇。我們的智能手機、MP3播放器、數(shù)碼相機以及新的無線便攜式電腦都有隱秘的陰暗面，而在出現(xiàn)糟糕的事情之前，我們大部分人都沒有注意到這一點。我們從不在開機之前閱讀說明書；我們要求直觀的界面立即出現(xiàn)和運行，而往往屏蔽了重要的安全設(shè)置。研究顯示，消費者需要復(fù)雜性，認為具有更多功能的設(shè)備更有價值，盡管我們并不理解它們的工作原理。但是，如何使用我們的設(shè)備只是問題的一半；另一半是硬件本身。我們沒有認識到這些相同的設(shè)備可能出現(xiàn)故障。它們也可能說謊，或者跟蹤我們的每一個行動?！拔也恍湃卧S多硬件設(shè)備，它們太可怕了，”喬?格蘭德說道，他是舊金山的Grand Idea Studio公司總裁及發(fā)現(xiàn)頻道《Prototype This》節(jié)目的共同主持人。“現(xiàn)代人在使用產(chǎn)品時往往沒有思考這些小玩意實際上在做什么。這些產(chǎn)品可以幫助你做所希望的任何事情，但是它也可以監(jiān)視你，或者做一些壞事?！?2格蘭德年輕時曾經(jīng)是位黑客，現(xiàn)在成為了硬件設(shè)計師，這使他看到了問題的兩個方面。例如，我們的臺式機在連接到互聯(lián)網(wǎng)之前不會泄露個人數(shù)據(jù)?！耙坏┠阕屜到y(tǒng)連接到網(wǎng)絡(luò)，”格蘭德說，“接著它就為所有攻擊打開了大門。你甚至不必是個硬件黑客。你可能是個網(wǎng)絡(luò)黑客或者軟件黑客?，F(xiàn)在你身處在一個全新的世界里?！痹诳久姘鼨C中有一塊幫助制作出完美的烤面包片的小芯片，這是非常方便的，但是當我們?yōu)榭久姘鼨C增加連接到互聯(lián)網(wǎng)訂購更多面包的功能時，我們就要面對不可預(yù)知的后果。你的烤面包機某天可能成為拒絕服務(wù)攻擊的受害者，因為某些遠程方對它的固件重新編程，使其無法操作。這聽起來很有趣，但是同樣的情況如果發(fā)生在植入式的醫(yī)療設(shè)備等其他設(shè)備上，就不是這么回事了。格蘭德引用了另一個例子：“汽車制造商監(jiān)控你的駕駛活動可以改進汽車的性能和安全性，但是這種監(jiān)控也可以讓保險公司用來驗證你撞上樹時有沒有超速。”格蘭德不是妄想狂，他是對的?！拔艺J為你的微波爐可能不會記錄你的使用頻率，”他說，“但是你的汽車可能會?！庇布I(yè)界反駁說，本書描述的攻擊超出了一般犯罪分子擁有的資源，但是情況不再是如此。技術(shù)變得越復(fù)雜，設(shè)備就越容易破解。網(wǎng)絡(luò)犯罪分子對于某種技術(shù)所了解的并不一定要比我們多；他們只需要知道如何戰(zhàn)勝這種技術(shù)。例如，今天在布拉格街頭使用帶有從互聯(lián)網(wǎng)下載的軟件的便攜式電腦偷車的流氓，實際上并不比十年前使用螺絲刀和剪刀發(fā)動汽車的偷車賊更能干。感謝摩爾定理（每兩年芯片上的晶體管數(shù)量將翻一番）以及時間的推移，硬件攻擊的成本顯著下降了。13例如，用Dell便攜式電腦上所具備的現(xiàn)代雙核處理器，加載合適的軟件，可以在幾分鐘（而不是幾天）內(nèi)就挫敗沿用20年的加密算法。硬件行業(yè)的另一個回應(yīng)是堅稱來自安全研究人員的公開漏洞曝光有助于犯罪。但是不管這些漏洞是否曝光，硬件缺陷都可能已經(jīng)為犯罪集團所知。我們以前談到的計算機軟件供應(yīng)商所不知曉的漏洞——“零日漏洞”——就被犯罪分子在互聯(lián)網(wǎng)黑市上公開交易；沒有一個善意的安全研究團體發(fā)現(xiàn)和報告這些零日漏洞，硬件方面也是如此。但是，硬件制造商有時候威脅本書提到的研究人員：如果他們的工作曝光，就要采取法律措施。為了保護我們大家，應(yīng)該改變這種態(tài)度。最后，硬件行業(yè)提到挫敗他們的網(wǎng)絡(luò)需要相當多的資源。但是今天的攻擊者并不需要高級的計算機編碼技巧；莫名其妙的代碼也可能使設(shè)備出現(xiàn)故障，在起搏器中這種故障可能致命。安全研究人員德維安?奧拉姆是一位開鎖專家和物理安全顧問，他對其他人的擔心予以贊同，認為現(xiàn)在的硬件制造商正如20年前的軟件供應(yīng)商一樣需要關(guān)注安全性。鎖具制造商對他這樣的研究人員很不以為然，他們認為：“如果你能夠制造一種無法破解的產(chǎn)品當然很好，但是沒有人能做到這一點。每個人都有弱點，你仍然必須接受?！睂嵱门c惡意的破解之間僅有一線之隔，這模糊了本書中“好”與“壞”的區(qū)別。像喬?格蘭德或者德維安?奧拉姆這樣的人，會依靠破解你我每天使用的設(shè)備來謀生的，這種看法似乎很荒唐；不過，非常有必要進行研究和公開討論各種網(wǎng)絡(luò)犯罪活動的安全會議。如果本書能夠完成第三個目標，我希望是啟動制造商和安全研究團體之間的建設(shè)性對話。3在現(xiàn)實世界中，我們相當習慣于感知危險。我們豎起耳朵聆聽奇怪的聲音；我們的皮膚在某些情況不妙時會有刺痛感；我們會注意到可疑的陌生人微妙的肢體語言。我們通過對視或者握手來確認另一個人的可靠性；但是，今天大部分的驗證都是按照以光速移動的亞原子微粒傳送的聲音、文本或者電子郵件，以數(shù)字的方式進行的。我們不知道何時會有人嘗試從我們這里提取個人信息或者竊聽我們的手機。不論何時，我們都使用技術(shù)去驗證另一個人，太多的時候我們投資于簡單的過濾器或者造成許多假陽性的不健全生物測定設(shè)備。在最極端的情況下，這些有缺陷的生物測定系統(tǒng)甚至會以莫須有的罪名把無辜的人投進監(jiān)獄。人們由于自信掌握了技術(shù)，而沒有提高生存技能。我們常常根據(jù)很少的幾條準則，盲目地相信新技術(shù)。當今的設(shè)備是如此復(fù)雜，以至于我們常常只是高興地啟用新的產(chǎn)品——不敢去改變其默認的設(shè)置。然而，我們應(yīng)該改變這些配置。設(shè)備制造商對復(fù)雜技術(shù)的簡化只給了我們一種控制的假象，這進一步地向更大的風險打開了大門。記得保拉?西利嗎？我們可能從沒有意識到這種危險，就信任這些大大簡化了現(xiàn)實世界的電子設(shè)備，把我們的命運或者曾經(jīng)鎖在保險箱里的個人信息托付給這些設(shè)備?？墒?，其他人會利用我們的天真。有了這些設(shè)備，我們相信新的技術(shù)（例如車輛里的防盜保護電路）在某些方面勝過我們多年以來獲得的所有現(xiàn)實世界中的經(jīng)驗。我們不應(yīng)如此輕信，而應(yīng)該加強防御的層次——例如在燈光明亮的空間停車，在方向盤或者剎車踏板上使用物理鎖，并且應(yīng)用防盜保護技術(shù)——增加而不是減少安全性。但是人的天性就是如此，我們喜歡方便，不愿意費事。我們只鎖住房子最外面的一道門，因為90%的威脅來自那里。傳感器可以告訴我們窗戶是否關(guān)上，但是它們不會告訴我們：犯罪分子是否可以利用它們的損壞進入房間。同樣，我們只因為聽到“嗶嗶”聲就相信我們的車子（除了房子以外我們所購買的最貴的東西）是安全的。在無鑰匙進入和遙控點火的車子里，物理鑰匙已經(jīng)變形為通過一個觸碰按鈕就能開鎖并啟動車子的設(shè)備。但是這種裝置能使車子更難被竊賊偷走嗎？雖然我們能修補計算機中的軟件缺陷，但是我們還不習慣于修補電視和DVD播放器中的安全性軟件缺陷。我們不斷要求使用的手機提供更多的服務(wù)——更快的互聯(lián)網(wǎng)連接、文本消息、應(yīng)用程序、電子郵件和Web瀏覽。然而，重復(fù)利用在過去已經(jīng)遭到攻擊的老式網(wǎng)絡(luò)協(xié)議和標準來滿足未來的要求，我們?nèi)匀环浅４嗳?。我們是否修補手機的新漏洞？我們是否將手機當做小計算機看待？我們應(yīng)該意識到的不僅僅是這些攻擊。我們錯誤地信任這些設(shè)備的結(jié)果是，丟棄了一堆的電子面包屑，把這些蛛絲馬跡集中起來，就能為其他人提供攻擊我們的模式。復(fù)印機記憶我們的敏感文檔，張貼到互聯(lián)網(wǎng)上的照片泄露了拍照時我們所在的位置，在我們渾然不知時侵犯了我們的隱私。我們大部分人可能都不在意，讓過路收費亭的無線發(fā)射器監(jiān)控我們?nèi)粘３鋈肟赡茉斐傻暮蠊钡揭晃浑x婚的律師用那些相當枯燥無味的數(shù)據(jù)，編造了我們在某個下午4：00～6：00有不正當行為的一個故事時，我們才大夢初醒。為我們的工作牌、駕照和護照添加非接觸的廣播系統(tǒng)，能夠加速驗證的過程——但是我們也造成了新的身份盜竊方式。復(fù)制無線信號很容易。由于這種信號沒有驗證、經(jīng)常沒有加密或者使用簡單的加密，我可以在和你本人、你的文件及財物沒有物理接觸的情況下變成你。此外，零售商在我們購買的產(chǎn)品上嵌入RFID標記。雖然沒有泄露個人信息，這個標記本身也只是序列號，但是這些產(chǎn)品標記共同建立了一個獨特的電子代理，它可以代表一位實際的消費者，而且現(xiàn)在可以在不同商店跟蹤它。這些電子代理有時候是在不為我們所知的情況下采用的，然而，它們并不比我們的生物學信息表示的內(nèi)容精確，這有時候是故意為之。指紋通常被認為能夠提供一對一的匹配——但是指紋匹配是個神話。15正如GPS設(shè)備無法考慮到所有現(xiàn)實世界的路況，生物測定也可能錯判許多我們的獨特數(shù)據(jù)。處理所有這些技術(shù)上的更改的方法之一可能是將所有完全不同的電子設(shè)備合并成一個——即使在這樣一個設(shè)備上，我們也應(yīng)該首先構(gòu)建安全措施，而不是在以后進行補救。我們似乎從來沒有忘記自己的手機；但是，我們有時候會忘記車鑰匙和錢包。這些手機如果設(shè)計得安全，可能可以保存我們的私人聯(lián)系人、工作安排、信用卡、音樂、照片等。當今的智能手機就是這樣一種移動設(shè)備。和實體的錢包不同，如果丟失或者被盜，智能手機能夠用附加的軟件遠程鎖定或者刪除，使其對竊賊顯得沒有用處。但是在我們成功地將技術(shù)完全集成到我們的日常生活之前，必須改變我們圍繞設(shè)備的行為，總的來說，要更加了解設(shè)備的工作原理及其各種漏洞。在接下來的7章中，我們將從柏林的大街開始旅行，去往布拉格、約翰內(nèi)斯堡、洛杉磯、紐約和其他地方。我們將看到因技術(shù)設(shè)備而受傷的人們。我們的目的不是要大家驚恐地遠離技術(shù)，而是推動技術(shù)在我們?nèi)粘Ｉ钪械暮侠硎褂?，并且采取明智的措施使個人的風險降到最低。

內(nèi)容概要

　　隨著手機、MP3播放器、汽車和數(shù)碼相機的功能越來越高級，我們對其工作原理和鮮為人知的一面了解得越來越少。本書深入分析了現(xiàn)代技術(shù)如何在毫不知情的情況下采集個人信息，揭示數(shù)字功能和便捷性的陰暗面，旨在教會人們合理地利用現(xiàn)代設(shè)備，并采取明智的措施保護個人信息。通過發(fā)生在世界各地的具體案例，本書講述了各種設(shè)備的硬件原理和安全漏洞，包括：汽車防盜如何遭到盜車賊的濫用，手機通話如何無形中被竊聽，汽車以及數(shù)碼相機、復(fù)印機和高速公路收費站中的“黑盒”數(shù)據(jù)記錄技術(shù)如何用于秘密采集個人信息。
　　本書適合所有使用現(xiàn)代設(shè)備的讀者閱讀，也適合對信息安全感興趣的讀者閱讀。

作者簡介

作者:（美國）羅伯特·瓦摩西（Robert Vamosi） 譯者：姚軍 等  Robert Vamosi（羅伯特·瓦摩西）是一位屢獲殊榮的記者和分析家，他近20年來一直堅持報道數(shù)字安全問題，他的專攻方向是：計算機安全、網(wǎng)絡(luò)犯罪和計算機病毒。他發(fā)表了大量關(guān)于計算機安全、犯罪偵查、漏洞分析、數(shù)據(jù)流失預(yù)防、僵尸網(wǎng)絡(luò)、惡意軟件、跨站點腳本攻擊的文章。他在無線網(wǎng)絡(luò)安全、攻擊者如何概述和利用社交工具和數(shù)字取證受過專業(yè)培訓。他是Mocana（一家智能設(shè)備創(chuàng)業(yè)公司）的一名高級分析員，還是《PCWorld》的特約編輯，曾擔任CNET網(wǎng)站的高級編輯，其博客是Forbes.com。

書籍目錄

譯者序
前言 現(xiàn)代化的小玩意兒為什么背叛我們
第1章 虛假的安全感
第2章 方便性的黑暗面
第3章 看不見的威脅
第4章 電子面包屑
第5章 我，我不是
第6章 指紋的神話
第7章 0和1
結(jié)語 希望永存
注解

章節(jié)摘錄

版權(quán)頁：   第1章 Chapter 1虛假的安全感對于大多數(shù)人來說，經(jīng)過停車場或者車庫時會聽到熟悉的“嗶嗶”聲，這足以讓我們確信自己的車上了鎖，并且是安全的。儀表板上閃爍的微光往往也能警告犯罪分子，該車是由最新的防盜安全裝置保護的。絕大多數(shù)情況下確實如此，車子里有高級的電子加密裝置。但是，如果你最新款的防盜保護汽車被盜也不足為奇。復(fù)雜的技術(shù)并不一定能提高網(wǎng)絡(luò)犯罪分子的進入門檻；有時候恰恰相反。只要調(diào)查捷克出生的、混跡于大城市的職業(yè)盜車賊拉德克?索西克，就會發(fā)現(xiàn)他不可能屬于那種高技術(shù)罪犯。索西克現(xiàn)在30多歲，從11歲開始在這個國家干起了偷車的勾當，根據(jù)國際車輛盜竊調(diào)查員聯(lián)合會的報告1，捷克的車輛盜竊現(xiàn)象十倍于其他歐洲國家。捷克官方將每年5.1萬起盜竊事件中的大部分歸因于結(jié)伙盜車、偽造牌照、拆卸零件的竊賊們——這又稱為團伙犯罪。索西克則獨來獨往，他告訴《布拉格郵報》：“當你離開你的車子，上鎖后繞過汽車回家，在這段時間里我就能把車偷走?！?20世紀90年代，越來越多的歐洲汽車制造商開始在昂貴的奔馳、寶馬、法拉利和保時捷汽車中加入了計算機技術(shù)，索西克意識到他可以破解制造商的防盜竊軟件。由于缺乏任何正式的計算機培訓，因此他使用互聯(lián)網(wǎng)提供的軟件，這種軟件很快可以在布拉格和其他地方找到。在布拉格的盧茨內(nèi)監(jiān)獄里，索西克說，在20年前，他只需要一把剪刀就可以偷走任何意大利跑車。“現(xiàn)在你需要更多的技術(shù)。”他說再也不使用廉價的工具了，現(xiàn)在使用一臺便攜式電腦。和在其他歐洲國家的街道上行竊一樣，罪犯往往尋找和偷竊特別高端品牌的汽車。經(jīng)過專門的研究，這些罪犯可以通過反復(fù)的試驗猜測無鑰匙門禁系統(tǒng)中的電子防盜碼。另一種可能是，罪犯可能已經(jīng)知道供應(yīng)商的專用編碼算法（這可能是內(nèi)部人員或者代理機構(gòu)人員盜竊、購買或者提供的）。這些防盜系統(tǒng)使用的編碼并不能讓我們更安全，卻讓我們沾沾自喜。我們非常相信它們，以至于連常識都忘了——比如要把車停在光線好的位置、隱藏貴重物品或者在輪子或者剎車上使用輔助鎖定機制。我們假設(shè)高技術(shù)的解決方案比過去的經(jīng)驗更好。我們對自己的車子和安全意識都滿不在乎。有層次的安全措施最有效。正如我們將要看到的，汽車的防盜技術(shù)實際上是退步的；制造商沒有增加安全性，而是為司機提供更大的方便，從而降低了安全性。而我們也有責任，我們過分相信高技術(shù)好過常識，以至于忽略了我們停車的周圍條件，也沒有利用Club防盜鎖和其他方向盤鎖定裝置。然而，汽車保險業(yè)不同意這一點。很明顯，某種因素導(dǎo)致近幾年美國的汽車盜竊案件減少。美國司法部2009年的初步估算數(shù)字顯示，汽車盜竊案件下降了17.9%。3而在2008年下降了12.7%，2007年下降了8.1%，2006年下降了3.5%，2005年下降了0.2%，2004年下降了1.9%。關(guān)注汽車盜竊的非盈利組織——美國國家保險犯罪局（National Insurance Crime Bureau，NICB）也發(fā)現(xiàn)了類似的連續(xù)6年的下降。NICB的數(shù)據(jù)顯示，在美國的366個大都市統(tǒng)計區(qū)域中，83%的地區(qū)2009年的盜竊事件都少于2008年。4我認為，這種減少是教育和執(zhí)法的結(jié)果，而不像保險業(yè)所聲稱的，是因為防盜裝置的增加。盡管無法精確地說出有多少起汽車盜竊案是用便攜式電腦模擬標準鑰匙牌發(fā)出的數(shù)字編碼的直接結(jié)果，但是肯定不在少數(shù)。5當索西克在2006年被捕時，他的便攜式電腦上有150部被盜車輛的數(shù)據(jù)。他說：“你可以從筆記本上刪除所有數(shù)據(jù)，但是這對你來說不好，因為擁有越多的數(shù)字，就有越大的潛力?！?所以，使用便攜式電腦盜竊一輛新車有什么困難？首先，我們必須了解，現(xiàn)在我們打開車門，把金屬鑰匙插入點火裝置啟動車輛時發(fā)生了什么。7大部分汽車使用無鑰匙的遙控門禁裝置：你按下一個按鈕，發(fā)出的無線電信號鎖上或者打開車門；在某些型號的車輛中，還會打開后備箱。使用一塊微型電池，遙控器就能夠向100英尺外發(fā)射編碼的信號，與車輛聯(lián)系，在擁擠的停車場產(chǎn)生從聽覺上和視覺上識別車輛的“嗶嗶”聲和車頭燈的閃爍。遙控器和車輛之間無線交換一系列納秒級的查詢和響應(yīng)。如果車輛接收到預(yù)期的編碼，它就執(zhí)行相應(yīng)的功能。為了增加安全性，這些編碼經(jīng)過反轉(zhuǎn)——或者業(yè)界所稱的跳躍編碼。無鑰匙遙控裝置和車子使用相同的遵循某種專用算法的偽隨機碼生成器。當你鎖上或者打開車門時，汽車和遙控器都在內(nèi)存中存入下一塊編碼。如果你遠離汽車時按下遙控器，汽車和遙控器將無法同步。汽車的接收器通過接受接下來的256種可能的編碼來解決這一問題。但是，如果你在遠離汽車的地方按下遙控器257次，你可能就沒辦法重新與汽車取得同步。重要的一點是，這種情況下遙控器只能控制車門。一旦進入汽車，第二種防盜技術(shù)——鑰匙塑料基板中嵌入的一塊靜態(tài)車輛防盜固定器芯片就變得重要了。美國的防盜固定器近年來已經(jīng)被認為是汽車盜竊案件急劇下降的原因。和無鑰匙門禁裝置不同，防盜固定器的無線射頻率識別（Radio Frequency IDentification，RFID）芯片必須由汽車從外部查詢或者“通電”。在你將固定器鑰匙插入點火裝置時，車子里的發(fā)射器（通?？拷{駛桿）通電并且查詢金屬鑰匙里的芯片。作為交換，通電的固定器芯片廣播一個低頻編碼。鑰匙和固定器之間的廣播距離只有幾英寸，所以鑰匙必須在點火裝置里。一旦物理鑰匙中的芯片得到驗證，防盜固定器系統(tǒng)解鎖車輛中的其他電子系統(tǒng)。老式的車輛使用所謂的固定鑰匙（每輛車一個編碼），而當今的車輛在每次使用后生成和存儲新的固定器編碼?，F(xiàn)在的防盜固定器系統(tǒng)不再是車輛的獨立組件，而是集成在電子子系統(tǒng)中。即使沒有防盜固定器芯片的驗證，車輛也可以在上鎖之前開出一段很短的距離。代理商提供的作為第三把鑰匙的遙控鑰匙缺少防盜固定器芯片。遙控鑰匙允許服務(wù)員將車停在近處，但不能開到快車道上去。這兩種技術(shù)——無鑰匙門禁和車輛防盜固定器芯片——形成了當今最高級的車輛防盜技術(shù)的基礎(chǔ)。兩種技術(shù)都依賴在空氣中交換的RFID編碼。缺陷就在于大部分車輛僅使用40位加密；在20世紀90年代時，這種加密已經(jīng)足夠了，但是現(xiàn)在它已經(jīng)不再適用。加密位數(shù)越多，猜測或者破解編碼就越難。位數(shù)越多，猜測或者破解所需要的處理時間和資源也就越多。40位加密曾經(jīng)需要花費數(shù)天才能破解，現(xiàn)在花費的時間則要少得多?，F(xiàn)在，256位加密被認為是強加密，但是你很難在街上找到一輛具有這種加密級別的汽車。對加密強度看法的改變是因為現(xiàn)在的芯片比以前快得多。早在1965年，Intel的戈登?摩爾在《Electronics Magazine》中寫下了著名的一段話：單塊芯片上的晶體管數(shù)量每兩年就會翻一番。8計算機處理能力的這種指數(shù)級增長已經(jīng)造就了今天我們所擁有的更強大但卻更便宜的計算機。而且，由于某些數(shù)字簽名轉(zhuǎn)發(fā)器（Digital Signature Transponder,DST）設(shè)備或者遙控鑰匙（制造商或者第三方提供的）的基礎(chǔ)設(shè)計中固有的缺陷，有些汽車比其他汽車更容易被擁有便攜式電腦的偷車賊盜走。正如索西克所闡述的那樣，做到這一點并不需要天才。在拉德克?索西克最喜歡的電影《極速60秒》（英文名《Gone in Sixty Seconds》）中，尼古拉斯?凱奇所扮演的人物有一個最高目標——他所渴望的卻永遠沒有被盜的一輛車。9對索西克來說，這輛車是奔馳邁巴赫。這種汽車單價接近50萬美元，在捷克只有少數(shù)幾輛。索西克知道在哪里能找到這種車。如果有機會，索西克無疑能夠破解邁巴赫中的防盜系統(tǒng)，但是他沒來得及。2006年，他因為半年內(nèi)在布拉格至少盜竊了150輛汽車而被判有罪。現(xiàn)在他正在服刑中?？紤]到索西克在便攜式電腦的硬驅(qū)上保存了所有以前的防盜鑰匙編碼，他的多產(chǎn)和成功就不令人驚訝了。每當他成功地破解一輛汽車的編碼，就使用以前成功的序列來計算來自相同制造商的下一輛車的編碼。對于索西克這樣獨立于團伙工作的職業(yè)罪犯來說，建立自己的數(shù)據(jù)庫，然后通過反復(fù)試驗預(yù)測每輛新車的單獨編碼序列，這是很聰明的做法。但是這種做法也非常危險，當局最終捉住索西克時，在他的便攜式電腦的硬盤上找到了足以逮捕他的證據(jù)。索西克對于出獄之后已經(jīng)有了計劃，他告訴《布拉格郵報》他在捷克已經(jīng)無法容身；他可能會到法國或者西班牙作案。他的目標也可能是美國。他說道：“我想到外國活動，讓他們見識一下我的手段?！?/pre>



媒體關(guān)注與評論
“本書揭露了人們一味信任電子設(shè)備的危險性。并且揭示了安全問題的普遍性。讀完本書之后，你絕不會再像過去一樣看待技術(shù)……你也不應(yīng)該像過去那樣！”    ——喬·格蘭德  電子工程師，《Hardware Hacking：Have Fun While Voiding’Your Warranty》的作者    “就像夢幻仙境一樣，各種設(shè)備有時以意想：；FYJJl的方式影響我們的生活。本書開闊你的眼界，并闡述了對設(shè)備的過分依賴會導(dǎo)致什么后果?！?   ——杰夫·摩斯  Black Hat和DEFCON創(chuàng)始人


編輯推薦
《個人信息保衛(wèi)戰(zhàn):高科技時代的隱私擔憂與防護策略》揭露大量鮮為人知的安全威脅，掌握個人信息保衛(wèi)戰(zhàn)的基本武器；獨特視角、專家經(jīng)驗，解讀日常生活中的信息安全準則?！秱€人信息保衛(wèi)戰(zhàn):高科技時代的隱私擔憂與防護策略》適合所有使用現(xiàn)代設(shè)備的讀者閱讀，也適合對信息安全感興趣的讀者閱讀。


名人推薦
是誰動了我們的個人信息？為何看似先進的電子設(shè)備卻會出賣我們？本書通過發(fā)生在世界各地的真實案例，講述了各種設(shè)備的原理和安全漏洞，揭示現(xiàn)代技術(shù)如何在我們毫不知情的情況下采集個人信息，危害我們的生活。本書旨在教會人們合理地利用現(xiàn)代設(shè)備，并采取明智的措施保護個人信息。 “本書揭露了人們一味信任電子設(shè)備的危險性，并且揭示了安全問題的普遍性。讀完本書之后，你絕不會再像過去一樣看待技術(shù)……你也不應(yīng)該像過去那樣！” ——喬·格蘭德 電子工程師，《Hardware Hacking:Have Fun While Voiding Your Warranty》的作者 “就像夢幻仙境一樣，各種設(shè)備有時以意想不到的方式影響我們的生活。本書開闊你的眼界，并闡述了對設(shè)備的過分依賴會導(dǎo)致什么后果?！?——杰夫·摩斯 Black Hat和DEFCON創(chuàng)始人




圖書封面



圖書標簽Tags
無




評論、評分、閱讀與下載



還沒讀過(94)
勉強可看(686)
一般般(117)
內(nèi)容豐富(4855)
強力推薦(398)


 


    個人信息保衛(wèi)戰(zhàn) PDF格式下載