如何隐藏你的踪迹,避免跨省追捕[9]:从【时间角度】谈谈社会工程学的防范

  距离前一篇博文有14天了。距离上一次评论区留言(本月20日)也有9天了。这些天俺在干啥捏?主要是重构评论区的代码,顺便优化一下性能。仔细的读者应该能感觉到界面上的一些小变化。后面俺会单独写一篇博文,聊聊近期对评论区的改造。   几天不出现,又有人在评论区散布谣言(说俺被捕了)。估计造谣的家伙也就是之前搞大规模刷屏的职业五毛【团队】。   职业五毛的造谣正好给了俺灵感——今天来聊一下:俺为啥要时不时地静默一段时间?——这其实是防范社会工程学风险的重要措施。   话说本系列已经中断2年零2月——对俺的懒惰(一贯挖坑不填),再次表示严重抱歉 :(   除了俺的懒惰,还有一个原因是:(对于防跨省)技术方面已经聊得差不多了。所以要继续写的话,俺就要开始聊【非技术】的话题——所谓的【非技术】也就是指【社会工程学】层面。   关于“社会工程学的防范”,这是一个很大的话题,而且相关的注意事项非常零散,俺一次性想不了那么全。所以捏,就分成几篇来写,每篇聊其中一个角度。今天这篇是头一篇,以【时间角度】作为切入点来进行探讨。

  对【社会工程学】相关的概念不太熟悉的同学,建议先看俺写的另一个系列《扫盲社会工程学》,然后再来看本文以及本系列后续博文。

  首先来介绍几个相关术语。   这是本文重点要聊的核心概念。   从字面意义而言就是:在线活动留下的时间印迹。   如果要更严密地说:“在线时间”是时间轴上若干个线段的并集。每个线段表示一次在线活动。   在讨论“在线时间”这个概念的时候,一定要牢记:【“在线时间”是相对于“网络身份”而言的】。   啥意思捏?稍微解释一下:   每个人都可以有多个网络身份,不同的网络身份,其在线时间可以是不同滴。   顾名思义,【显式】就是指活动痕迹比较明显的;【隐式】则反之。   为了解释这两者的差别,以俺博客来举例。   当俺发出一篇博文,或者在评论区回复读者留言,这些活动都是很明显的,属于“【显式】在线时间”。   有时候,俺会去修改博客的界面代码(比如近期俺就在频繁修改“反刷屏代码”)。如果俺对代码的修改【没有】引起界面功能的变化,这种修改通常不会被读者感觉到。那么这种情况就算是“【隐式】在线时间”。   那么,【隐式】在线时间能否被刺探出来捏?接下来会聊到这个话题。   没有网络活动的那些时间段,称之为“静默期”。   “静默期”相当于时间轴上那些线段之间的间隙。   即使不参照其它因素,仅仅观察某个网络身份的“在线时间”,就已经可以收集到对应自然人的信息。如果这个网络身份的活动非常频繁并且维持足够长的时间,收集到的信息就会很丰富,足以刻画出其背后那个自然人的详细特征。   下面举几个例子:

  举例1:时区

  这个是最容易想到的。如果某人上线很频繁或者在线活动的时间很长,那么就可以观察出此人的作息规律(人总是要睡觉的);通过作息规律就可以猜测出大致的时区范围(±2)。   比如说:早在前几年,某些有心的读者就通过俺回复评论的时间规律,判定俺在“东8区”。

  举例2:省份

  前几年,新疆经历了长时间的封网(物理断网),时间跨度是:2009年7月~2010年5月。假设某个网友在 Twitter 上频繁发推。然后在2009年7月突然停止发推并持续至少10个月,那么有【很大概率】——这个帐号背后的自然人位于新疆。   (请注意:俺说的是“很大概率”而不是“一定”,因为还存在其它小概率的情况)   这方面的例子还有很多,大伙儿自己琢磨。   前一个章节提及的“暴露信息量”,都还【不算严重】——因为暴露出来的信息量比较小。   现在俺要来聊一下比较严重的情况。   为了形象一些,拿俺本人来【虚拟】一个反面案例。   假设俺很勤快(实际上俺很懒),【每天】都在博客上回复读者留言,并坚持了很多年(实际上俺连续回复评论很少超过3天)。   由于博客的读者很多,俺身边的同事或朋友,也有人是读者。当然,一开始这些身边的同事或朋友,并不知道编程随想原来就是某某人。   现在,假设出现了突发的意外——俺因为出车祸住院一周。于是就【没法】再如往常一样【每天】回复读者评论。   由于这个规律已经持续了 N 年,一旦出现中断就会给读者留下很深刻的印象。   那么,俺身边的这几个读者就会发现一个很严重的巧合:编程随想以往很有规律的活动突然中断一周,而身边的某某人正好也在【同一时间段】住院。   这种严重的巧合,足以导致身份暴露。   (通过上述这个虚构的案例,你应该明白:两种身份的关联性意味着什么)   上述案例之所以导致身份暴露,本质上可以归纳为如下几点: 1. 网络身份需要靠真实身份操作(这句是屁话) 2. 网络活动的规律性太强(规律性越强,一旦“打破规律”给人的印象就越深刻) 3. 意外事件导致网络身份和真实身份出现【同样的】“时间空档”(术语叫“高度相关性”)   如果同一个“自然人”操作多个“网络身份”,这些网络身份之间也会存在与上述案例类似的时间相关性。   (具体的原理及例子差不多,俺就省点力,不浪费口水了)   像上述这样的反面案例,该如何防范捏?下面说说俺能想到的几点(俺想的不一定全,欢迎大伙儿补充)。   这是最容易想到的一招。   如果有多个自然人操作同一个网络帐号,即使某个自然人出现意外,其他人依然可以继续操作该帐号。于是对应的网络身份就【不会】因为意外事故而出现静默期。   “多人操作”的本质就是:几个人互相作为备胎。   另一个有点类似的招数是:用某种【自动机制】来作为备胎——在无法进行人工操作的时候,依靠自动机制进行操作。   比如某些博客平台或 SNS 平台提供“自动发文”的机制。另外还有第三方的一些服务(比如 IFTTT)可以同时支持多种网络平台。   最后,隆重推出俺本人使用的招数——人为制造【随机】“静默期”。   这个招数的好处在于: 1. 【随机】出现的“静默期”会让网络身份的活动显得【没有规律】 2. 如果之前经常出现静默期,一旦真实身份因为意外而无法上线,这时候导致的静默期就【不会太显眼】
  “多人操作”的【缺点】 1. 信任度的问题(像俺这种高危人士,没办法找到可信的人共同操作帐号) 2. 风格的问题(比如几个人写同一个博客,风格多半不一致——读者会抗议)

  “自动机制”的【缺点】

1. 自动机制能做的事情很有限(事先写好博文自动发是可以滴,回复读者评论就没办法“事先写好”) 2. 自动机制很容易被侦测/被识别(自动机制毕竟是“死”的,很难模拟活人)

  “人为静默”的【缺点】

1. 会降低网络身份的效率(大概就这一个缺点,这个缺点俺可以接受)   综上所述,在这3种防范措施中,俺选了最后一种。   说完身份相关性的风险,再来说说“侦测”的话题。   前面提到说:“【隐式】在线时间”的活动痕迹不那么明显。那么,是否有办法刺探出来捏?下面就来介绍几种探测的手段(只是举例,未必全),然后再介绍防范的措施。   所有的刺探手段,都可以归纳为两大类,分别是:【主动型】和【被动型】。   所谓的“被动探测”,就是【被动】地收集目标对象的网络活动痕迹(尤其是那些比较隐蔽的痕迹)。

  举例1:

  就拿前面的例子(俺修改博客代码)来说事儿。   如果某个有心人想要了解俺何时在修改博客代码,他/她完全可以写一个“页面抓取脚本”,循环抓取俺博客的页面;然后从抓取的页面中提取出其中的 JS 代码;最后再对比 JS 代码的【变化】(技术行话叫 diff)。一旦发现变化,就可以知道:俺在刚才的那个循环周期修改过博客代码。

  举例2:

  如果六扇门(公安、国安)想要收集某个目标对象的在线活动信息,并且目标对象使用的是【墙内的】网络服务。那么六扇门只需要找到对应的服务提供商,就可以从服务器上获得非常详细的帐号活动日志。   说到这里,补充一下:

  通过【代理】的方式使用网络服务,可以隐藏自己真实的公网 IP,但是【无法】隐藏自己的网络活动时间。一旦使用【墙内】的网络服务,朝廷方面可以很容易地拿到任意帐号在服务器上的活动日志,从而获得该帐号的“在线时间信息”。

  所谓的“主动探测”,就是【主动】发起一些行为,然后看目标对象是否会产生反应。

  举例1:

  如果目标对象有一个公开的邮箱,执行主动探测的家伙就可以往这个邮箱地址发试探性的 email,然后看看该邮件是否有【回信】,从而了解对象是否在线。   (注:这招是社会工程学的基本伎俩)   顺便说一个稍微高级点的邮件技巧——【不依赖回信】也能玩探测的把戏。   在发送的邮件中使用 HTML 格式;邮件正文中包含一个肉眼不易看见的小图片(大小为:1x1像素);该图片位于邮件发送者自己控制的服务器上。   邮件接收者只要打开/查看这封信,就会导致图片被加载,那么在图片所在的服务器上就会留下一个访问记录。于是探测者就收集到了目标对象的在线时间了。   (注:这招是垃圾邮件发送者惯用的招数,通过这招,投放广告的商家就可以了解垃圾邮件有多大比例被受众打开/查看)

  举例2:

  再次拿俺博客来说事儿。   最近这几天,俺忙着改代码,没有去评论区回复读者留言,然后就看到好几条造谣的留言,用各种法子忽悠说俺被捕了。   职业五毛这么干,最容易想到的一个目的就是:制造恐慌气氛;但还有一个不太明显的目的,就是【激将法】——通过各种造谣,看看俺是否会跳出来反驳,从而了解俺是否在线。
  俺要第 N 次唠叨:   高风险人士不要用【墙内的】服务。即使是【墙外的】,也要谨慎选择。不要用历史上有污点的公司提供的网络服务。   即时性的沟通方式(比如:文字聊天、语音聊天)暴露的在线时间实在太多了。改为【非即时】的沟通方式可以大大降低在线活动的时间跨度。   比如俺以“编程随想”这个身份活动的时候,从来不用 IM。俺更倾向于用博客评论区或者邮件进行沟通(尤其是前者)。   前面俺提到了“基于 Email 的 主动探测”。除了 Email,还有 IM 以及 SNS 的私信,也都可以用来进行主动探测。   “Email、IM、私信”这几种沟通方式的共性就是【私密性】——其沟通内容是不公开的。   表面上看,私密性的沟通好像更安全;其实不然——这恰恰是个盲区。当网民在公开的场合(比如:BBS/论坛、评论区)发言反而会比较小心,而在私密的沟通时,更容易麻痹大意。   说到这个话题,顺便分享俺的经验:

  在上个月(5月)的博文《庆贺本博荣获【更高级别朝廷认证】——谈谈近期的“帐号入侵、刷屏、钓鱼”》中提到说:

最近两三年,俺一直以【博客评论区】作为主要的沟通方式,邮件用得越来越少。今后还是会保持这个风格。

  当时分析了【技术】层面的理由,今天来说说【非技术】方面的理由:   由于博客评论区是公开的,而且还提供 RSS 输出。所以俺只需要用 RSS 阅读器订阅相应的 feed,就可以看到博客评论区【所有的留言】。这整个过程都【不需要登录 Google 帐号】。   换句话说:俺可以在彻底静默的情况下,了解读者与俺的沟通情况。   前面俺提到了:基于“激将法”的主动探测。   要防范激将法,最彻底最根本的措施是:【调整好心态,保持平常心】。很多年轻人血气方刚,一激就跳出来了,说白了就是心态的问题。   既然说到心态,顺便聊聊性格的重要性。   在安全界(包括国内和国外)有很多技术高手,其中某些人的技术水平比俺要好得多,但是却阴沟翻船了,为啥捏?   俺观察下来,大部分情况都是因为性格和心理问题——要么太粗心、要么太冲动、要么太虚荣、要么太轻信……——这其中的任何一种心理缺陷,都足以抵消掉【所有的】技术防范措施。

回到本系列的目录