一般情况下人们习惯于假设讲述数字安全知识的人最擅长数字安全操作。也许是这样。但一个人在现实中具体如何操作,起决定性作用的肯定不只有他/她的知识,更多是他/她那一刻的心理状况、情绪状态、经济状况,以及其他很多外部条件。
再来分别看这三个部分:
近日还传出疑似中国的威胁行为者利用虚拟机的零日漏洞的报告。社交媒体上有用户将此消息关联到阮先生的被捕事件上,怀疑他被恶意软件击中了。
的确,全球大国都在囤积零日漏洞;这是21世纪最危险的武器。但您是否会遭遇零日武器,始终取决于您的角色和您的具体工作——即,您最可能面对什么样的威胁者,61398部队与公安部和国安部,是肯定不同的。请记得,您的对手的武器库中“有什么”,只是一方面,更重要的另一方面是,您的对手是等级森严的官僚机构,他们采取什么做法是有标准的和需要上级批准的。(虽然如今“私人镇压雇佣兵公司”之类的东西也开始出现,值得警惕。因为这些人是流氓,几乎没有约束。)
对于虚拟机零日来说,作为异议人士您不必太过担心。因为,首先,您不应该完全彻底地信任任何一款软件能百分百安全——不论是Tor还是qubes OS还是其他虚拟机。漏洞是政治性的,而不只是技术问题,这就是为什么它永远都“补”不完。其次,隔离风险的第一层屏障,应该在您的头脑中,而不是在虚拟机里——您应该培养一种安全性直觉,将安全操作纳入习惯——就像饭前洗手那样,不需要特意的记忆,也会主动去做,主动拒绝无法完全信任的信息。
如果您只是专注于国家级APT组织的最新能力,就有可能陷入安全性虚无主义。那是没有必要的。
阮先生的文章中提供的安全建议大多是结论。对于安全知识的初学者来说,这有可能造成一些误会,认为只要完全照着做就行了。并不是的。如果您在阅读后没有进行分析,那对于阮先生的工作来说是一种浪费。
2
分身只是把敏感的那部分隔离出去就行了吗?当然不是。
如果就像目前公开的消息所言,阮先生的真实身份就是网络安全工程师,那么“编程随想”这个身份就并没有实现真正的分身隔离;因为——分身的要诀在于,分离出来的每一种身份之间都是完全不同的,尤其是,没·有·任·何·交·集,必须让每一个身份看起来·完·全·独·立,这样才能切断追踪线索。
阮先生在数字安全方面下了很多功夫,很专业。但战术布局规划方面的技巧至少在博文中的体现不多。
准确评估风险、并掌握安全使用各种类型的在线身份所需的技术技能,至关重要。
关于战术布局,我们以在线身份管理为例,演示下应该建议您如何思考——
在观看下图之前,希望您的头脑中已经有了一个关于您马上准备去做什么的尽可能具体的想法,这样您可以更有代入感,更容易举一反三地使用它来为自己的安全部署进行计划。如果您还没有任何想法,那么可以把自己想象成阮先生:
就像所有的安全和隐私策略及工具一样,当您没有面临直接的威胁时,您会更好地学习熟练使用这些防御措施。压力会影响您参与风险分析、安全规划和技能培养的系统化过程的能力。
所以,把安全措施作为习惯,而不是救急,才最有希望获得安全。
您的战术布局应该致力于减轻/减缓脆弱性、增加复原力,而不是寻找“完全避免风险”的方案。并没有那样的方案。
减轻/减缓脆弱性的方法,比如,一个分身只做一两件事;完成后彻底摧毁。以及,您不可能完全避免风险,但您可以分散风险/分散敌方火力……您知道该怎么做。
还有更多。我想留给您去思考。这些是阮先生可能没有留给您的。
3
完整的“安全”措施,必须包含充分的自我评估,和假设所有防御都失败时的Plan B。这也是阮先生可能没有做到的。
所有灾难都不是瞬间的突发——威胁在一步步逼近,或长或短,但肯定有一个过程。而最终,这场灾难是否对您产生破坏性、多大的破坏性,取决于您是否及时察觉到步步逼近的威胁,以及您的反应是否机智。
我们称之为“态势感知”。您可以在“在灾难中幸存”那个系列中看到对此的详细解说(同样的,这里是最后一集的链接,其中包含完整列表)。
(此处建议您回顾上文中描述FSB刑侦流程的那张图)
阮先生如果对自身的评估足够准确,并对环境事态足够敏锐,他应该能察觉到威胁,并准备好 Plan B。如果他这样做了,现在的一切胡乱猜测都将不会存在。
自我评估是确立最恰当的防御设施的基础,您应该尽可能准确地描述自身能力和脆弱性:
能力=有助于使您更安全地抵御特定的威胁的因素(即降低其可能性或影响)
脆弱性=会使您更容易受到威胁(即增加了威胁的可能性或影响)
这里有一个公式,您需要记住:
风险=威胁✖️弱势➗能力
威胁指的是您的对手所采取的任何手段以试图让您相信他们将不惜一切代价阻止您。
弱势指的是,您知道在那些威胁面前,您自身有哪些弱点(这是需要弥补的部分)。
值得指出的是,可能与很多朋友的认识相反,使用假名或者匿名工作在这里应该被列为“弱势”,而不是“能力”。
因为,首先,假名或匿名意味着,人们知道您做的那些事,但不知道您的名字和身份,于是当局就有可能趁机栽赃给您的真实身份以其他罪名,而否认您是因政治原因而遭受迫害。
其次,如果您没有隶属于一个强大的组织,在您被强迫失踪的情况下,营救的希望将非常渺茫。
这就是为什么您必须有 PlanB和紧急措施!匿名工作者孤军奋战是不可取的!具体做法见全文中的导图——那4个步骤。
为了使用上面这个公式,我们先来确定几个定义:风险、威胁、能力、弱势。
1、风险——指发生伤害事件的可能性;
2、威胁——有意图对您造成损伤、处罚或者伤害的声明或者迹象(近期的或当即的);
3、能力——可提高安全保障的任何资源(包括自身能力、人脉关系、可用的环境条件等);
4、弱势——很可能直接造成或导致更大伤害的一切因素。
这里的施害者可能包括:政府、警察、间谍机构、大公司、利益集团的雇佣打手、极端保守派社区、严重误解您的事业和偏好的家属/父母,等等。
下面我来演示一下这件事该怎么做。以阮先生为例,请注意,目前为止我们对阮先生的现实生活依然一无所知,于是下图只演示这一评估的思考框架,其中所标注的具体事项完全是猜测的,它们只为体现做法,并非分析。
这一框架非常简单,只有4个部分,但是,您必须保持足够的谦逊和诚实,尽可能清晰且详细地描述,才能帮您制定更准确的防御策略:
先看右侧
再看左侧
措施
4
难度越大、越复杂,防御效果越好吗?绝对不是。
并不是说复杂的技术有任何问题——请不要仅仅从技术逻辑上考虑——复杂繁琐的解决方案不应该作为首选是因为,它们会让您难以长时间坚持住,您稍微一疲劳,就可能出错。在安全问题上,您出错的机会很可能只有一次。尤其是在您已经被镇压当局视为一个“肥美多汁的大鱼”的情况下。
真正的安全效果出现在您游刃有余的情况下。闭着眼就能做对的情况下。所以,它必须足够简单,需要特别记忆的东西越少越好!
曾经有读者询问如何追踪加密货币(我们介绍过相关知识),以测试隐私程度。但必须说,加密货币安全性是一个更为复杂的领域,在基本数字安全基础之上还有很多额外的知识。马上学是来不及的。如果您不擅长这个领域,那就不要在最重要的/或者可能最危险的工作上选择加密货币。
换句话说,建议选取您容易上手的解决方案,而不是紧急学习新的复杂的技能。因为熟练操作,是最基本的安全保障。
当然肯定要鼓励您学习新的更好的技能,但是,要在您感觉安全的环境中、在您没有压力的情况下,慢慢学习,而不是在火烧眉毛的情况下临时照着教程画虎。
不管怎样,我们始终应该致力于实现隐私作为基本人权的标准。这意味着要追求只需很少的操作习惯调整,就能大幅提高安全水平的解决方案。因为人权必须是普遍的,而不是高技术技能掌握者的特权。
必须承认,数字技术有点门槛。很多需求者对网络上形形色色的安全建议的态度比较盲目,很难自行判断它们的恰当性和准确性。于是搜索排名就变得更危险了。这更需要安全建议提供者保持诚实!拿钱写软文的人,如果您觉得自己必须做这行,那么就去写一些牙膏袜子的软文吧,请不要涉及药品和软硬件,这是有可能危及生命的领域。
不论您是否擅长数字技术,建议您记得这个基本原理:少即是多。您下载的东西越少,您的攻击面就越小。完全没有必要把其他人推荐的“好东西”全装上,那样做只能是累赘,反而令您更危险。
再一次强调,对抗性思考方式至关重要!反追踪的最好方法就是,用追踪者的思考方式来检查自己。
最后
本案引起的所有猜想都是不必要的,不论其有没有或提供了多少证据。
它最初是一个强迫失踪案件,之后是一个政治审查案件。对于强迫失踪,这在全世界都是难题——最终判刑的结果已经是其中“最好的”一种了,更糟的和并不罕见的是:暗杀。这就是为什么需要不断强调联合和互助,绝不鼓励单枪匹马。尤其是当您匿名工作时,单枪匹马是致命的!
看到一些读者在交流此事时倾向于认为警方“抓错人了”。希望真正的博主没有被捕的那种心情可以理解,但是这会起到反作用——它相当于承认“对的那个人应该被抓”。不,没有任何人应该因发表评论而被判刑。阮先生究竟是不是“编程随想本人”,没有那么重要,这里重要的是对政治异议言论的入罪。我们认为将此作为辩护方向,将是对“编程随想本人”的尊重。
当然,辩护方向由律师掌握,家属意见将作为重要参考,而不是公众舆论。
再一次,我们希望此案能提醒更多人对安全性的重视(而不是虚无主义),对安全作为一个系统的理解,体悟战术布局的智慧,未来更少出现这类事故。
