雖然這篇tor危險鄉民發文沒有被收入到精華區:在tor危險這個話題中,我們另外找到其它相關的精選爆讚文章
在 tor危險產品中有8篇Facebook貼文,粉絲數超過0的網紅,也在其Facebook貼文中提到, 從 ProtonMail 事件,再談私隱與隱身 文:薯伯伯 最近 ProtonMail 涉及一宗引起極廣泛關注及討論的資訊安全事件,事緣一名法國社運人士被法國警方調查,法國警方透過歐洲刑警與瑞士警方交涉,瑞士警方向瑞士法院申請命令,要求 ProtonMail 監察涉事法國社運人士的 IP 地址,...
同時也有1部Youtube影片,追蹤數超過11萬的網紅高光中的高光,也在其Youtube影片中提到,2019-2020 NBA開幕賽 Opening Week 瘋狗貝佛利的危險防守 姆斯手部受傷 New Orleans Toronto TOR 130, NO 122 (OT) Pascal Siakam 34 Pts Brandon Ingram 22 Pts Los Angeles ...
tor危險 在 Dressed up to the NINES® Instagram 的最佳貼文
2020-07-09 17:40:08
新品到貨✨ 這樣太危險~飛太遠~ 這個法籍超馬跑者成立的品牌,品牌名意思是「It's time to fly」!人人都在搶!近期日韓街頭爆紅的球鞋品牌HOKA ONE ONE! - HOKA ONEONE TOR ULTRA LOW WP JP Black 19FA-S 尺寸:US8~US10.5...
tor危險 在 Facebook 的精選貼文
從 ProtonMail 事件,再談私隱與隱身
文:薯伯伯
最近 ProtonMail 涉及一宗引起極廣泛關注及討論的資訊安全事件,事緣一名法國社運人士被法國警方調查,法國警方透過歐洲刑警與瑞士警方交涉,瑞士警方向瑞士法院申請命令,要求 ProtonMail 監察涉事法國社運人士的 IP 地址,ProtonMail 如令執行。在法國警方提交給當地法庭的文件顯示,顯示了涉事者的 IP 地址。
這件事引起牽然大波的原因,是因為 ProtonMail 一直標榜安全及尊重私隱,而大多數用戶是真誠地相信該公司維持「零記錄政策」(no log policy),但 ProtonMail 的公司事後指出,在一般的情況下不會記錄用戶 IP,只有在收到瑞士法院的要求,才會開始記錄用戶的 IP 地址。
這件事引起不少香港人的關注及擔憂,我認為是好事,這顯示不少香港人早已脫離資安無明無知之心。正是因為了解資安對自己的重要,才會因資安事件而心生恐懼,從而作出相應的行動及策略,這是非常重大的進步。
我之前一直沒有評論 ProtonMail 事件,並非沒有看法,而是不願倉猝下結論,寧願多花一點時間去了解情況,以及等待各方回應,再給讀者建議。
我先說一下我的結論,然後再討論當中的細節及分析理據。
一,我的結論
我依然認為 Proton Technologies 是可靠的公司,而我仍然使用這家公司的 ProtonMail 及 ProtonVPN 作為自己最主要的電郵及 VPN 服務供應商。
(注:我以前多次介紹 ProtonMail 及 ProtonMail,每一次介紹都是用普通的連結,而非介紹人 referral 連結。讀者看完我的文章而選用該兩個服務,對我完全沒有利益,而我使用 ProtonMail 及 ProtonVPN 時,也是自己付費,沒有任何形式的贊助。)
二,不同場景
這宗案件最太的爭議,是當 Proton Technologies 公司收到瑞士法院的命令時,同意開始記錄客戶的 IP 地址。我們用五個不同的情況去逐一分析,當位於瑞士的 Proton 收到不同司法管轄區發出的法庭命令後,會如何應對。
Proton 公司主要有兩個服務,一是電郵,另一個是 VPN。目前涉事的是電郵的服務,但我也會討論一下他們對 VPN 的可能處理手法。
Case 1:在完全沒有法庭命令的情況下,ProtonMail 及 ProtonVPN 均不會記錄客戶的 IP 地址。但要留意這是不為,而非不能,也就是說在一般情況下,Proton 並不會記錄 ProtonMail 及 ProtonVPN 用戶的 IP 地址,但他們是有能力這樣做,只是在沒有命令的情況下,他們不會這樣做。
Case 2:假如瑞士警方拿到日內瓦州法院或瑞士聯邦最高法院的法院命令,由於 Proton 的註冊地是瑞士,法院的命令足以迫使 Proton 開始記錄 ProtonMail 的用戶 IP 地址。
Case 3:承上,值得留意的是,即使有日內瓦州法院或瑞士聯邦最高法院的法院命令,但該規定不能針對 VPN 供應商,也就是瑞士註冊的 VPN 供應商,在任何情況下也沒有法律責任去記錄客戶的 IP,而 Proton 對其 VPN 用戶,是一直保護他們原來的 IP,目前沒有向第三方交出過相關數據。這次上了新聞的人,是使用 ProtonMail 電郵用家戶,而該用戶沒有使用 VPN 連接郵件服務。
Case 4:當美國警方透過美國法院發出命令,要求位於瑞士的公司交出客戶資料,就必須要得到日內瓦州法院或瑞士聯邦最高法院的批準。而 Proton 不能單方面與美國的 FISA 法庭(外國情報監視法庭)合作,否則即屬違反瑞士法律。
Case 5:即使有瑞士法院的命令,ProtonMail 也只能記錄客戶的 IP 地址,而不能突破其 AES-256 加密,亦不能查看到客戶的電郵的主體文本內容,但要注意的是,電郵的 metadata,包括發送人的電郵地址、電郵主題,則不屬加密的部份。
Case 6:歐盟區內的法院向瑞士法院提出申請,獲批的機會較大。
Case 7:極權國家向瑞士法院提出批出命令,獲批的機會較小。
三,討論
當 ProtonMail 配合瑞士法院命令,記錄並交出法國社運人士的 IP 地址,有不少人來信,想我建議一些「更為安全」的電郵服務。但任何公司均會受其註冊地的司法管轄,例如另一間著名的安全郵箱服務供應商是 Tutanota,註冊地是德國,同樣會受德國法律規管。
承接 Case 3 的情況,如果用戶在連接 ProtonMail 服務時,有同時使用 ProtonVPN,即使瑞士法院同時向兩間公司發出命令要求記錄客戶 IP,但由於相關規定只適用於 Mail,而不能套用在 VPN 上,所以 Mail 要記錄 IP,但 VPN 則不會記錄,最終也就是無法得知使用者的 IP。
ProtonMail 本身亦有提供 TOR 版本的 ProtonMail(https://protonmail.com/tor),那就是連技術上也難以記錄用戶 IP 地址。
四,私隱與匿名
我發覺不少用戶混淆了私隱與匿名的概念,兩者看似相關,在實際執行時卻是兩個完全不同的事物。坊間經常有人把「保護私隱」及「隱藏身份」混為一談,這是錯誤的說法,也是危險的說法。要做到完全不留任何個人痕迹的「隱身」,不只牽涉極度複雜的操作,加上淵博的學識,還有非常考驗耐力及堅忍力。
舉個例子,有人頻密更換電話卡,以為使用「太空卡」就能隱藏自己身份,但卻把多張「太空卡」輪流放入同一部手提電話使用,當中也包括與自己有關連的電話卡,那麼其他電話卡就不算是匿名了。又或者用家本身很小心,把不同的太空卡放在不同手機,卻經常把太空機與自己常用的手機同時打開,出雙入對,那也做不到真正的匿名。
我曾經聽過有人跟我說買了「太空卡」,追問之下才知對方居然認為使用「沒有個人登記的八達通購買自由鳥」就當是「太空卡」,我就覺得非常不安。
我撰寫的資安文章,一直強調的是私隱,而非隱身。隱身是極為複雜的操作,對於大部份讀者而言,必須覺察自己不能輕易隱身的技術現實。有關隱身的討論,請參看:〈零基資安訓練營(九):如果要完全隱藏網上身份〉
https://www.patreon.com/posts/38185283
五,防患
使用網上服務時,必須清楚明瞭自己的需要以及其服務的限制。以 ProtonMail 的為例,分三種情況去講:
A. 電郵內容文本:如果電郵用家只是想把電郵文本的內容加密,使用 ProtonMail 很合適。
B. 隱藏 IP:如果電郵用家想隱藏自己的 IP,每次連接 ProtonMail 時就應該使用 ProtonVPN,又或是使用 TOR 的登入點,但可能還是有其他蛛絲馬跡能查看到當時人的真實身份。
C. 電郵標題:這項資料未能加密,敏感資料不應寫在電郵標題。
六,尾聲
如果是要防止電郵內容被偷窺,收件及寄件雙方均使用 ProtonMail 是很合適的做法。以涉事法國社運人士的情況來看,ProtonMail 提供了其 IP 地址,卻沒有(亦不能)提交其加密的電郵文本內容。
收尾再重申我的結論:我目前仍然認為 ProtonMail 是安全的電郵供應商,而我的電郵地址上就是自己的名字,我清楚知道自己要求的是電郵文本內容加密,而非隱藏自己的身份。
如果要保持高度匿名,那就要使用 TOR、VPN,上網地點也要非常講究,必須經常轉換上網地點,像斯諾登在發佈 NSA 大規模監控公民的消息時,就是開車去搜尋 Wi-Fi 訊號,每次上網十多分鐘就要停下來。
ProtonMail 事件引起多人關注,而從不少讀者及朋友的反應來看,不只是關注,更引起不安。我很樂見這種不安,我相信這種不安其實是好事,這代表大眾更為注重資訊保安,早已脫離盲目相信安全無事的時代。不過在注意安全的同時,更要明白自己想保護的是甚麼類型的數據。遠離無知,保持警惕,但不過度恐慌,才能更掌握人民的科技優勢。
🔑 【超務實長清單整理:Do not make it easy!(2021年9月更新)】 https://www.patreon.com/posts/55578887
▶️ 請訂閱 Patreon 頻道,支持不受干預的獨立創作及評論 | www.patreon.com/pazu
tor危險 在 Pazu 薯伯伯 Facebook 的精選貼文
我覺得有一點一定要正視聽,就是很多人都誤會了,以為自己只要用了太空卡,或太空機,或甚至兩者都不用,就可以完全匿名隱身,這種誤會有可能導致極嚴重的後果,所以大家一定要小心謹慎去處理所謂的「匿名隱身幻覺」。
我之前寫了一篇文章,現在再一次跟大家分享。
* * *
零基資安訓練營(九):如果要完全隱藏網上身份
文:薯伯伯
有些朋友會覺得很奇怪,看到我一方面又對資訊保安很著緊,要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等,但另一方面又會用信用卡、電子錢包,甚至當 iPhone 可以使用八達通時,還第一時間搶著去試用。
朋友問:「我還以為你要做到隱藏自己的身份。」
不是的,我其實從來沒有打算完全隱藏自己的身份,我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄,其他人當然沒有資格過問。但換了是去超市買了 100 元東西,我又不是太過介意留下記錄,甚至用信用卡消費儲點積分來兌換機票。
坊間經常有人把「保護私隱」及「隱藏身份」混為一談,這是錯誤的說法,也是危險的說法,亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」,就覺得自己是匿名,那肯定是錯誤。又例如有人上網用了 VPN,就覺得隱藏了 IP,以為可以隱藏了真實身份,也是大錯特錯。
我在這篇文章,就大概講一下,如何可以做到真正隱身上網。真正隱身,是指即使對方有較高強的追蹤能力,也難以把你的網上身份,與真實的身份形成任何連結。
首先你要到一些不相熟的店鋪,以現金購買一台全新的電腦(二手未必好,因為你不知道之前是甚麼人用過),不能用信用卡付款,購買的過程要戴鴨舌帽,現在方便的話也要戴上口罩,以防監控電視把你拍下。在第一次開啟電腦及連線時,必須確保自己的手機或其他上網設備提前全部關閉。
在電腦上安裝 Tails 作業系統(The Amnesic Incognito Live System)及 TOR 瀏覽器,這部電腦只能作為你新建的匿名身份之用,絕對不能與其他身份混合使用。不過要留意,每部上網的設備本身都有一個 Media Access Control Address(即簡稱 MAC 地址),這是其中一個可能辨認的痕跡。例如去快餐店上網,每日限時一小時,他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下,為免增加寫作人及轉載媒體的法律風險,有關 MAC 地址的討論就到此為止。
還是得強調一點,保持匿名,是完全合法合理。
用 TOR 連到免費的 wi-fi 熱點,在商場裡監控鏡頭太多,巴士上的熱線可能好一些,但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址,例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證,但可能太多人濫用,最近要輸入電話做驗證。如果真的有這個情況,就要用現金買一部太空電話及一張太空卡,並在跟自己完全無關的位置開啟太空機及插入太空卡,接收到短訊認證,這部機就不應重複使用。
之後如果你有任何交易,可以使用加密貨幣 Bitcoin,但有 Bitcoin 的交易本身是公開,是可以輕易清楚查看每宗交易記錄,每一分每一毫都會清楚列出,這是區塊鏈(blockchain)的特性,不能關閉這個功能。
有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin,最有名氣的網站是 Paxful.com,你可以用 TOR 去該網站,以匿名情況下申請的電郵地址去開啟錢包,再看看不同貨幣販子的要求,有些需要你的身份認證,手續費較低,有些甚麼也不需認證,但手續費可能要 50%,這就是匿名的代價。支付的方式,可以用禮品卡,而因為 Bitcoin 本身不會隱藏交易記錄,所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡,要用安全的方法棄置。
之後可以用這些匿名購買的 Bitcoin 再買 VPN,例如 ProtonVPN。不過因為要維持匿名,即使 ProtonVPN 在業界裡的信譽很好,但在申請服務時也不要提供個人資料。
好了,你現在終於有一部新的電腦,裡面安裝了較安全的操作系統 Tails,還有 TOR,加上用 Bitcoin 買回來的 VPN,這裡預計花上數千港元。
之後是關鍵之處,想像一下,你花了數千元設置的匿名裝置及系統,卻一時不小心或手痕,把匿名設備連上了自己家裡或工作地點的 wi-fi,那這個設備就算是污染了,不再匿名。
又或是,你每次都很小心,明明家住香港仔,卻跑到天水圍才找免費的 wi-fi 上網,但原來每次你都同時帶備自己的手機兼全程開機,那麼你的行蹤也有可能暴露了,情況就有點像明星 A 和歌手 B 兩人從不交談,但經常出雙入對,難道只是巧合而已?
所以每次在新位置使用匿名裝置,就必須提前把身上其他上網裝置關閉,至於關閉了的手機會否仍然發出訊號,有點難說,所以還要把手機放進「法拉第袋」(Faraday bag),金屬物料做的布袋,能有效屏蔽外電場的電磁干擾,單用錫紙袋是沒有用。
每次上網不能太長時間,例如斯諾登當年在美國舉報 NSA 監聽事件,就是開著車到處找尋開放的 wi-fi 訊號,而每次上網也只是十多分鐘,否則易受追蹤。他在爆料之前跟記者聯絡,要求對方先安裝 PGP(加密方法),但記者不明白又不在意,斯諾登等了數個月才成功跟記者建立了加密聯諾途徑,而在這幾個月裡,斯諾登顯出強大的自控能力,能抑壓著心中團火,沒有提前在其他渠道洩漏敏感訊息。
這篇文章很長,當中不少細節寫得粗疏,但最主要的目的是要普及一個訊息,要做到真正匿名,除了要有金錢資源,有技術知識,更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」,而不是「如何完全隱藏網上身份」,正正就是因為我覺得對大多數人而言,根本就不可能輕易隱藏自己的數碼足跡(包括上網,包括日常的電子交易等)。
所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡,手機卻在任何場合均會長開,打電話時甚至會用最原始的方式直接撥打號碼,而不用有點對點加密的方式聯絡(例如使用 Signal 的電話功能),我就總覺不安。
在適當的日子,去特定的地方,要用現金支付,避免留下交通記錄,這確實是常識,但如果不理解匿名的運作原理,卻誤以為自己沒有使用銀行卡或交通卡就等同安全,那是幻像而已。
照片:Joshua Gandara / Unsplash
⏺ 請支持不受干預的創作:http://patreon.com/Pazu
tor危險 在 Pazu 薯伯伯 Facebook 的最讚貼文
零基資安訓練營(九):如果要完全隱藏網上身份
文:薯伯伯
有些朋友會覺得很奇怪,看到我一方面又對資訊保安很著緊,要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等,但另一方面又會用信用卡、電子錢包,甚至當 iPhone 可以使用八達通時,還第一時間搶著去試用。
朋友問:「我還以為你要做到隱藏自己的身份。」
不是的,我其實從來沒有打算完全隱藏自己的身份,我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄,其他人當然沒有資格過問。但換了是去超市買了 100 元東西,我又不是太過介意留下記錄,甚至用信用卡消費儲點積分來兌換機票。
坊間經常有人把「保護私隱」及「隱藏身份」混為一談,這是錯誤的說法,也是危險的說法,亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」,就覺得自己是匿名,那肯定是錯誤。又例如有人上網用了 VPN,就覺得隱藏了 IP,以為可以隱藏了真實身份,也是大錯特錯。
我在這篇文章,就大概講一下,如何可以做到真正隱身上網。真正隱身,是指即使對方有較高強的追蹤能力,也難以把你的網上身份,與真實的身份形成任何連結。
首先你要到一些不相熟的店鋪,以現金購買一台全新的電腦(二手未必好,因為你不知道之前是甚麼人用過),不能用信用卡付款,購買的過程要戴鴨舌帽,現在方便的話也要戴上口罩,以防監控電視把你拍下。在第一次開啟電腦及連線時,必須確保自己的手機或其他上網設備提前全部關閉。
在電腦上安裝 Tails 作業系統(The Amnesic Incognito Live System)及 TOR 瀏覽器,這部電腦只能作為你新建的匿名身份之用,絕對不能與其他身份混合使用。不過要留意,每部上網的設備本身都有一個 Media Access Control Address(即簡稱 MAC 地址),這是其中一個可能辨認的痕跡。例如去快餐店上網,每日限時一小時,他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下,為免增加寫作人及轉載媒體的法律風險,有關 MAC 地址的討論就到此為止。
還是得強調一點,保持匿名,是完全合法合理。
用 TOR 連到免費的 wi-fi 熱點,在商場裡監控鏡頭太多,巴士上的熱線可能好一些,但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址,例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證,但可能太多人濫用,最近要輸入電話做驗證。如果真的有這個情況,就要用現金買一部太空電話及一張太空卡,並在跟自己完全無關的位置開啟太空機及插入太空卡,接收到短訊認證,這部機就不應重複使用。
之後如果你有任何交易,可以使用加密貨幣 Bitcoin,但有 Bitcoin 的交易本身是公開,是可以輕易清楚查看每宗交易記錄,每一分每一毫都會清楚列出,這是區塊鏈(blockchain)的特性,不能關閉這個功能。
有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin,最有名氣的網站是 Paxful.com,你可以用 TOR 去該網站,以匿名情況下申請的電郵地址去開啟錢包,再看看不同貨幣販子的要求,有些需要你的身份認證,手續費較低,有些甚麼也不需認證,但手續費可能要 50%,這就是匿名的代價。支付的方式,可以用禮品卡,而因為 Bitcoin 本身不會隱藏交易記錄,所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡,要用安全的方法棄置。
之後可以用這些匿名購買的 Bitcoin 再買 VPN,例如 ProtonVPN。不過因為要維持匿名,即使 ProtonVPN 在業界裡的信譽很好,但在申請服務時也不要提供個人資料。
好了,你現在終於有一部新的電腦,裡面安裝了較安全的操作系統 Tails,還有 TOR,加上用 Bitcoin 買回來的 VPN,這裡預計花上數千港元。
之後是關鍵之處,想像一下,你花了數千元設置的匿名裝置及系統,卻一時不小心或手痕,把匿名設備連上了自己家裡或工作地點的 wi-fi,那這個設備就算是污染了,不再匿名。
又或是,你每次都很小心,明明家住香港仔,卻跑到天水圍才找免費的 wi-fi 上網,但原來每次你都同時帶備自己的手機兼全程開機,那麼你的行蹤也有可能暴露了,情況就有點像明星 A 和歌手 B 兩人從不交談,但經常出雙入對,難道只是巧合而已?
所以每次在新位置使用匿名裝置,就必須提前把身上其他上網裝置關閉,至於關閉了的手機會否仍然發出訊號,有點難說,所以還要把手機放進「法拉第袋」(Faraday bag),金屬物料做的布袋,能有效屏蔽外電場的電磁干擾,單用錫紙袋是沒有用。
每次上網不能太長時間,例如斯諾登當年在美國舉報 NSA 監聽事件,就是開著車到處找尋開放的 wi-fi 訊號,而每次上網也只是十多分鐘,否則易受追蹤。他在爆料之前跟記者聯絡,要求對方先安裝 PGP(加密方法),但記者不明白又不在意,斯諾登等了數個月才成功跟記者建立了加密聯諾途徑,而在這幾個月裡,斯諾登顯出強大的自控能力,能抑壓著心中團火,沒有提前在其他渠道洩漏敏感訊息。
這篇文章很長,當中不少細節寫得粗疏,但最主要的目的是要普及一個訊息,要做到真正匿名,除了要有金錢資源,有技術知識,更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」,而不是「如何完全隱藏網上身份」,正正就是因為我覺得對大多數人而言,根本就不可能輕易隱藏自己的數碼足跡(包括上網,包括日常的電子交易等)。
所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡,手機卻在任何場合均會長開,打電話時甚至會用最原始的方式直接撥打號碼,而不用有點對點加密的方式聯絡(例如使用 Signal 的電話功能),我就總覺不安。
在適當的日子,去特定的地方,要用現金支付,避免留下交通記錄,這確實是常識,但如果不理解匿名的運作原理,卻誤以為自己沒有使用銀行卡或交通卡就等同安全,那是幻像而已。
照片:政府總部下,攝於 2019 年 6 月 13 日。
▶️ Patreon: www.patreon.com/pazu