距去年6月的棱镜门事件已经过去一年了,密码学已然从计算机科学的角落一跃登上了舞台中央。用户隐私团体和日益壮大的加密技术企业开始向大众宣告,给一切事物——电子邮件、信息甚至极限运动的GIF图——进行加密,是有可能实现的。
当然,我们仍需要一步一个台阶地来建立起真正的个人在线隐私系统,但至少我们现在正在靠近这个目标。仅仅依靠加密来隐藏信息内容,却将信息发布者暴露在外是不够的。相反,如果用匿名密码工具完全隐藏自己的身份,成为畅游于网络里的“黑影人”,那么监听者可能都不知道上哪儿去找你的交流信息,更别提偷看了。“在网络森林里隐藏好自己。”安全专家布鲁斯·施耐尔(Bruce Schneier)给出了躲避国家安全局的贴心小提示,“越隐蔽,越安全。”
如何化身“黑影人”?
Tor(The Onion Router)或许不是网络匿名访问的唯一手段,但毫无疑问它是目前最流行、最受开发者欢迎的。这个免费、开源的程序可以给网络流量进行三重加密,并将用户流量在世界各地的电脑终端里跳跃传递,这样就很难去追踪它的来源。大部分的Tor用户只把它作为一个匿名浏览网页的工具,不过实际上它潜力十足:Tor软件可以在操作系统后台运行,创建一个代理链接将用户连接到Tor网络。随着越来越多的软件甚至操作系统都开始允许用户选择通过Tor链接发送所有流量,这使得你几乎可以用任何类型的在线服务来掩盖自己的身份。
Tor的logo。由于Tor可以通过层层保护将用户信息包裹起来,因此被形象地比作洋葱。图片来源:torproject.org
有些用户甚至会尝试把Tor用在他们所有的通信中。“这就像素食主义,”隐私活动家、前开发者鲁纳·山德维克(Runa Sandvik)说道,“你只吃特定的食物,我只用Tor。我上网的时候不会被定位,也不会被追踪,我喜欢这主意。”那具体操作过程应该是什么样的呢?这儿给出了各种保护你在线生活的“黑影人斗篷”。
浏览器
Tor浏览器是非盈利性质的Tor项目开发的一款免费应用。它是火狐浏览器的安全强化版,可以把你所有的网络流量都通过Tor的匿名网络加密。得益于三重加密系统和让流量在全球的电脑上传递,Tor浏览器可能是最接近真正的网络匿名的工具。
不过,坏消息是,它会很慢。
“浏览器的速度正在变快。”隐私专家米加·李(Micah Lee)说。在过去的一个多月里,除了浏览需要flash或者其他插件的网页,李已经将Tor当成了主要的浏览器。
在开始尝试一星期后,李表示换一个浏览器还没什么感觉。“虽然并非完全必须,不过也没什么不方便。”他说,“而且确实对我的个人隐私保护有好处。只要在网上,任何人在任何地方都会被追踪到,但你可以选择隐藏好自己。”
电子邮件
想发送匿名邮件?最简单的方法是使用Tor浏览器的电子邮件服务。不过首先你需要在Tor Mail申请一个新邮箱(该服务已于2013年8月10日下线)。不同于其他需要提供手机号码才能申请的邮箱(比如Gmail),申请Tor邮箱无需提供任何个人信息。
山德维克同时推荐了一款一次性的电子邮件服务:Guerrilla Mail。只需轻轻一点,你就可以建立一个新的、随机生成的邮箱。如果和Tor浏览器结合使用则效果拔群:没人(包括Guerrilla Mail本身)能通过这个临时邮箱追踪到你的IP地址。
然而对电子邮件进行信息加密可不是件容易的事儿。用户通常需要通过复制和粘贴来把信息弄进文本框,然后还要使用PGP(Pretty Good Privacy,一个隐私保护程序)来加密和解密。为了避免这一麻烦,李建议使用有隐私保护的邮件服务商,比如Riseup.net,或者使用 Mozilla开发的邮件程序Thunderbird、隐私插件Enigmail或者可以通过Tor发送信息的插件TorBirdy。
《名侦探柯南》中的“黑影人”一直是全剧中最神秘莫测(误)的角色。现在Tor技术可以让你在网上也做一个“黑影人”。图片来源:cswomen.cn
即时通讯工具
Adium和Pidgin是Mac以及Windows上最常用的支持加密协议OTR的即时通讯客户端,Tor也同样支持该软件。不过Tor现在正在打造一款更安全的匿名即时通信软件,Instant Bird。该软件预计将于在七月中旬面世。
大文件传输
Google Drive和Dropbox在用户隐私方面做得并不好,所以李开发了Onionshare,一个可以让任何人通过Tor传送大文件的开源软件。当你使用它时,程序会通过“Tor隐藏服务(Tor Hidden Service)”,创建一个本地的、临时的匿名网站。文件接收方需要得到一个以.onion为后缀的文件地址,然后就可以通过Tor浏览器安全、匿名地下载文件了。
移动设备
手机以及平板电脑上的匿名工具开发还远远落后于电脑,不过好在它们正在迎头赶上。“守卫项目(The Guardian Project)”开发了一个叫Orbot的APP,这样就能在Android系统上使用Tor了。手机上的浏览器、电子邮件和信息都能通过Orbot设置成使用Tor代理。
iOS设备目前还没有这类服务。不过iOS的应用程序商店里有Onion浏览器,这可以帮助iPhone和iPad用户匿名访问网络。Tor的开发者在今年4月修补了一些程序漏洞,不过目前该APP还不完善,山特维克建议用户再等待一段时间。实际上她建议敏感用户应当坚持使用更成熟的Tor桌面端服务:“如果我需要匿名,那么我可不会去考虑手机平台”。
其他
即使你使用Tor软件来在互联网中变身“黑影人”,你的电脑仍然会有少量信息泄露到网上。美国国家安全局甚至可以从未加密的Windows错误信息来辨别、追踪用户。攻击者也能通过你访问的网页来攻击你的电脑,突破你的浏览器,并发送未受保护的信息来暴露你的位置。
对于真正的偏执狂来说,使用鲜少有人知道、基于Tor匿名网络的Whonix操作系统是个好主意。这个系统会在本地创建多重虚拟主机,作为真实主机的映像。任何试图攻破计算机的攻击者将会被限制在虚拟主机中。
虚拟化是希望“黑影化”的用户的有力工具。李曾表示:“如果你的电脑被黑了,那一切都玩儿完了。而在线上交流时创建虚拟沙盒将会是保护你的电脑安全的有效方法。如果想要在网上真正的匿名,你还要做许多许多的安全工作。”(编辑:球藻怪)
Tor Browser是一款可实现匿名访问互联网的工具,由于Tor技术基于将用户流量在世界各地的电脑终端里跳跃式进行传递,这样使得访问很难被追踪到。通常用于翻墙上国外网站,以及一些受限制的网站。下面就具体来了解一下Tor Browser洋葱浏览器的具体使用方法。
http://jingyan.baidu.com/article/335530da8b170419cb41c30c.html
Tor 隐藏服务使用 .onion 域名。我将向你演示如何创建一个安全配置以阻止信息泄露、隐藏服务的 .onion 网站。
注意:这是严肃的话题。本向导目标是乐于运行 Linux 服务器的人群。注意安全。
一些基本提示:
- 不要在这台服务器上运行或做其它事情。
- 在新服务器或 VPS 上进行全新安装。
- 不要保留或运行来自 VPS 提供商那儿的任何服务。
- 用 Paypal 支付你的 VPS 服务,不过最好使用 Bitcoin。
- 不要向 VPS 提供关于你的任何身份信息。
- 不要在这台服务器上运行 Tor 中继,因为 Tor 中继在真实世界的公开 IP 是公开的。
- 不要从这台服务器发送电子邮件。
- 不要运行讨厌的或卑鄙的 web 软件。如果你的 web 软件有管理员登陆或管理员账号,把密码改成复杂的 26 个字符组成的密码。很多 Tor 网站被攻破只是某人猜到了管理员登陆密码。
- 避免使用任何 JavaScript 之类脚本的 web 软件。
- 确保你的 web 应用不会泄露任何错误信息或身份信息,比如在错误信息中的真实公开 IP。
- 审查 web 前端代码,确保它不会从 jquery.com、Google Fonts 或任何外部服务拉取资源。
- 及时做好 VPS 的安全更新。
本向导使用 nginx 为使用 Debian Wheezy 的 Tor 提供网站文件服务。nginx 将被配置为只监听 Tor,只可通过 Tor 访问。
nginx
如果你还没有它,请安装 nginx:
$ sudo apt-get install nginx
nginx默认会发送一个当前运行的版本信息广播。通过设置下面文件中的 server_tokens 为 off,以关闭 nginx 版本信息:
/etc/nginx/nginx.conf:
http {
…
server_tokens off;
…
在同样的文件,彻底关闭来自 nginx 的日志:
http {
…
##
# Logging Settings
##
#access_log /var/log/nginx/access.log;
#error_log /var/log/nginx/error.log;
error_log /dev/null crit;
配置 nginx 监听 localhost 8080 端口
下面是你可以找到的、一个完整的可获取的默认文件。
网站 html 文件的位置在 /usr/share/nginx/www,这是 Debian 默认位置(可以随意修改网站根目录!)。
/etc/nginx/sites-available/default
server {
listen 127.0.0.1:8080 default_server;
server_name localhost;
root /usr/share/nginx/www;
index index.html index.htm;
location / {
allow 127.0.0.1;
deny all;
}
}
重启 nginx
$ sudo service nginx restart
关闭 rsyslog 以关闭任何系统日志。
$ sudo apt-get remove –purge rsyslog
关闭所有可被用来发送邮件的 email MTA 软件。
$ sudo apt-get remove –purge exim
$ sudo apt-get remove –purge postfix
$ sudo apt-get remove –purge sendmail
删除 wget,如果被连累了,它可通过恶意脚本识别你的主机。
$ sudo apt-get remove wget
如果开启 ssh,关闭 Debian 版本信息,这可用于从公开 IP 识别出 Debian 版本。
/etc/ssh/sshd_config
DebianBanner no
安装 Tor
按照 torproject.rog 文档,像这里所演示的去添加 Debian repo,然后你可以从 Tor 项目代码库,通过 sudo apt-get install tor 来安装。
编辑 /etc/tor/torrc
现在 Tor 安装好了,编辑 /etc/tor/torrc 确保下面的几行是正确的:
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8080
保持上面的文件,然后启动(或重启)Tor。
$ sudo service tor start
当 Tor 启动时,它仍然在你的 HiddenServiceDir 文件夹创建了私钥,也创建了你唯一的 .onion 主机名。
下面是这些文件的样子。当然,你应该永远不要暴露或显示你的私钥!保密。下面的密钥是供演示和学习之用。
root@starbuck:~# cd /var/lib/tor/hidden_service/
root@starbuck:/var/lib/tor/hidden_service# ls
hostname private_key
root@starbuck:/var/lib/tor/hidden_service# cat private_key
—–BEGIN RSA PRIVATE KEY—–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—–END RSA PRIVATE KEY—–
root@starbuck:/var/lib/tor/hidden_service# cat hostname
juyy62wplbkk7gzy.onion
root@starbuck:/var/lib/tor/hidden_service#
配置并使用防火墙
启用防火墙,有选择地允许 22 端口。如果稍微偏执些,根本不要允许 22 端口,仅仅从提供商的控制面板控制台来管理。
$ sudo apt-get install ufw
$ sudo ufw allow ssh
$ sudo ufw enable
运气好的话,你现在应该看到基于 .onion 地址的默认 nginx 页面了!
