gtxyzz

警惕中国的“棱镜门”

gtxyzz 安全防护 2022-12-28 370浏览 0

警惕中国的“棱镜门”

随着思科的卷入,“棱镜门”事件再次升级。斯诺登揭露美国国家安全局通过思科路由器监控中国网络和电脑,而除了以思科为代表的基础设施外,微软、Google和苹果则掌握了中国的操作系统份额,这让中国的互联网显得脆弱甚至不堪一击。

更值得警惕的是,中国网民处于内忧外患的隐私环境之中。笔者日前已撰文《中国的“棱镜计划”会叫啥》分析国内潜在的监控问题。但也是点到为止,无法深入。中国的斯诺登还未出现,估计也永远不会出现。

在斯诺登的爆料里,谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司遭到参与间谍行为的指控,这些公司涉嫌向美国国家安全局开放其服务器,使政府能轻而易举地监控全球上百万网民的邮件、即时通话及存取的数据。

从涉事互联网公司的情况来看,国内也有大量公司因为掌握着中国网民的核心数据,值得警醒。将九互联网公司与棱镜门相关的产品分门别类,可以分为IM聊天工具(PalTalk、Skype、Gtalk、MSN、iMessage,Yahoo!Messager)、邮箱(雅虎、美国在线、GMAIL、HOTMAIL、AOL)、社交网络(Facebook)、存储分享服务(Youtube、iCloud等)。他们都具备以下特征:

1、掌握海量用户。除了PalTalk外,其他公司都具有亿级别的用户。Paltalk因为国际化和跨平台的特征,虽然只有300万用户,也被卷入其中;

2、掌握个人数据。IM、邮箱、社交网络、存储分享服务等都涉及到大量的与人和账户关联的私密信息。相关部门对隐私数据的觊觎正是互联网公司卷入棱镜门的根源;

3、全球化的市场。由于棱镜门的监视的主要目标是境外用户。因此九大互联网公司无一不是国际化颇为成功的公司。

看回国内的互联网公司,具有海量用户的互联网巨头屈指可数。

老三大门户新浪、网易和搜狐;新三大被称为BAT即百度、阿里巴巴和腾讯;360依靠安全业务强势崛起成为与QQ对立的另一个桌面帝国。不过社交网络Facebook在中国的对应产品也依然是QQ,存储分享服务在中国也是对应这几个巨头。

优酷土豆与Youtube不同,优酷土豆更多是一个视频媒体,而不是分享社区。因此优酷土豆不太需要考虑。

还有一个产品无法缺席:YY语音。在多次社会热点事件中起到聚集的作用而崭露头角。例如淘宝卖家集会声讨等。YY语音拥有4亿注册用户,是一个不小的体量。

再看第二点隐私的个人数据。

新浪的微博一直是重点监控对象;

网易有占有率极高的邮箱和新闻评论系统;

搜狐旗下的搜狗则具备输入法、浏览器等最靠近用户的客户端,搜狐自身也有邮箱、微博(基本可忽略)。

百度因为账号体系建设不够完善进而缺少个人私密数据,但仍然有大量的用户行为数据,你搜索过什么,点击过什么,搜索一下,百度知道。另外百度云的发力则让其拥有更多的云存储数据,包括文件、照片。

阿里巴巴则拥有涉及到国计民生的电商购物数据和信用数据,你买过什么,阿里知道。但从美国九大涉事公司不包括Amazon以及eBay,也可以看出电子商务数据的监控价值没有其他几类数据大。但一个人的购买情况、支付宝账号、关联银行卡和收货地址,也是可以追溯到人的极度私密数据。

而腾讯则是极为恐怖的掌握用户极度核心私密数据的公司。你什么时候上过网、与谁沟通过视频过、沟通的内容是啥、你的好友关系、你感兴趣的群、甚至你有几个QQ马甲,QQ比你记得还清楚。除了QQ这一基础IM外,与新浪微博已成抗衡之势的腾讯微博、中国最大的社交网络QQ空间、足有对传统通信业务取而代之的微信、与QQ号天然绑定的QQ邮箱、与拍拍易迅等关联的电商数据,都足以定位一个人并清查其历史,分析其特征、了解其喜好。远不止已于,QQ的账号开放策略已让其成为最大的第三方账号体系。你在腾讯的生活被记录,你在腾讯之外的生活,至少你何时通过QQ账号登录了什么网站,QQ也知道。QQ强大的账号体系,让其为用户提供一站式生活的同时,也掌握了最多最私密的用户数据。

360与QQ处于同等水平。如果说腾讯只是掌握了用户的上网情况,360则掌握了用户的一切数字生活。从你开机便殷勤地提醒你开机情况,上网有浏览器和360安全套装为你保驾护航,360也有推出搜索引擎并正在大力建设自己的账号体系鼓励用户登录。当然,360的数字野心远不止于此。最新消息则是360将发布其第一款硬件,有人说是360路由器,也有人说是360无线网卡。不论如何,360的数据野心已经从桌面延伸到设备了。一方面,360从设备层面保障用户的安全,一方面,360也从设备层面获得用户的数据。最要命的是,360也曾多次被爆出收集并上传用户数据、泄露用户隐私的行为。例如《每日经济新闻》对此便进行了长篇报道。此前其他媒体也曾曝光了360涉嫌泄露隐私的行为。笔者对此事持保留意见,但值得警醒的是:360具备这个能力。需要明确的是其有无动机和约束。

YY语音则有着大量的语音通信数据,与Skype相仿。而其聊天室功能带来的集会功能则会加大其被监控的几率。

层层剥开,可以看到国内在类似棱镜门事件中,对几大互联网公司进行一个排名的话,腾讯和360极有可能成为重点对象。其次便是新浪和网易。接下来可能是YY语音。而搜狐、百度、阿里数据的监控价值则会小一些。

当然,笔者自始自终都没说这些公司参与了类似棱镜门的计划。但互联网公司应该警醒的是:一边是强权,一边是用户;一边是集体利益(如国家安全、社会治安、维稳任务),一边是个人利益,企业的底线在哪里,又该如何守住底线?#p#

国外互联网公司虽然难脱干系,但部分做法仍然值得借鉴。

1、是时候修改用户协议了。数据的所有权和使用权的问题仍然很模糊。但至少用户应该具备数据使用的知情权:我的哪些信息被收集了、都被用在何处、我对数据有哪些控制权限、我的数据被可能被哪些人看到、我的数据究竟有多安全。但腾讯的注册协议仅仅包括“未经您的同意,腾讯不会向腾讯以外的任何公司、组织和个人披露您的个人信息,但法律法规另有规定的除外。”百度等公司的注册协议也是类似的简单说明。除了过于简单外,腾讯等公司自身如何使用和利用我们的数据,不得而知。而Google则在用户注册协议之外指定了专门的近五千字的《隐私权政策》。对于用户数据和隐私相关的政策进行了周到详尽的说明。

这背后体现的是Google等公司对用户隐私的敬畏之心。有人说这是矫揉造作,不值得。但这如同消防问题,当你被要求参加消防演练时,可能觉得小题大做极不情愿,但不出事则已,一出事则后果不堪设想。

2、你们真的需要那么多数据吗?有专家说用户向互联网公司贡献更多的数据将获得更好的服务。不无道理。可悲的是,用户很多时候根本不知道自己的哪些数据被互联网公司以何种方式收集了。例如Cookie、软件使用数据、浏览器历史记录、LBS获得的位置数据、手机通讯录等。往往都是悄无声息地被收集。连一个简单的电子书App也要贪婪地获得手机的所有权限并收集数据。你们真的需要那么多数据吗?就算需要,何不公布你们都收集了用户的哪些数据?

3、公布数据的分享和使用情况。我们的数据都给了谁?什么情况会给?这应该是所有用户关心的问题。Google会记录棱镜及其他政府组织的每一次请求,以及Google是否授予信息、授予的信息内容、影响到的账号数量。谷歌在每年出版两期的《透明度报告》中发布按照相关法规被要求提供的用户数据的相关情况。这一报告中,谷歌会列出它收到了多少要求其提交用户数据的请求。这些请求来自世界各国政府。棱镜门时间后,Google、Facebook和微软等公司还在推动政府允许他们空开更多信息。在国内,似乎并无相关的涉及到透明度的报告。若要摒弃猜疑获得信任,有且只有一种途径:透明。同样,也只有透明才可以起到监督的作用。

4、政府部门的双重身份。有趣的是,政府部门在这个过程中扮演的角色往往是亦正亦邪。棱镜门让奥巴马政府深陷舆论漩涡。但对企业的监管往往也需要政府相关部门出手。

期望以逐利为目标的企业的自我监管是天方夜谭。企业之间的互相监管、行业协会的第三方监管、社会媒体的舆论监管都不可或缺。例如360与金山便多次互相指责对方泄露或侵犯隐私,但除了引发口水战甚至官司,或者成为竞争手段外,似乎并未推动整个隐私保护体系的建立。政府的参与,通过顶层设计,通过不断完善法律法规,才可以从根本上起到监管的作用,避免企业对数据的收集、使用和分享太过膨胀。

例如美国加州早于2004年便已《网络隐私保护法》。去年美国加州总检察长卡马拉·哈里斯(Kamala Harris)还与亚马逊、苹果、谷歌、微软、RIM和惠普等6家大公司达成协议,以便更好地向消费者披露移动App相关的隐私保护措施。我们可以看到政府往往也起到了监督和推动隐私保护的作用。

凡事都有两面性,隐私保护也不例外。公权力会敦促隐私保护,也会将触角伸到用户的隐私空间;企业可以利用数据来改进服务,也可能会将数据泄露甚至售卖。唯有透明化和配套的管理、监督制度,才可形成一个自我完善的平衡系统。这,也是这个社会运作良好的基础。

继续浏览有关 云安全 的文章
发表评论