再论匿名上网——关于反喝茶的若干见解
最近看到有象友分享了自己的喝茶经历,在激赏受害者的坦诚和勇敢、为政权作恶感到愤慨之余,我们也应从中吸取教训,避免出于同样的原因被喝茶,不要前赴后继地用自己的鲁莽和无知白白给网警冲业绩,让同路人的努力前功尽弃;我们需要做的是挖掘线上身份泄露的原因,进而反推被喝茶的应对措施,建立匿名上网、隐私保护和信息安全相关的知识储备,走出知识盲区、扭转信息不对称、破除盲目恐惧。
我们需要承认国家机器掌握着优势资源,但也应认识到国家机器/网警并非无所不能,任何喝茶背后的身份泄露都是有章可循的,对此作出针对性的防御以避免喝茶是完全可以实现的。
匿名性只有强弱之分,只要你不拔电源线,就不存在绝对的匿名,我们要做的是在自己能力范围内提升匿名性强度,至少要做到甄别、排除最明显的雷区,让对手知难而退,而不要像软柿子那样任人拿捏。
此外需要注意的是,匿名、安全和效率、便利不可兼得,每个人都有自己的权衡标准,你可以不同意作者的选择,但应在充分知悉风险的前提下计算得失,作出符合自身利益的选择。毕竟肉身墙内的你如果非要在微博实名冲塔,别人就是想拦也没法拦住你。
相比《数字极权时代生存手记》上已有的《匿名上网的初级教程》,而本文将立足于 Mastodon/长毛象,全盘放弃推特并搁置【基于 Tor 的三重代理】和【不记名号码】等高门槛内容,提供一套配合 Tor Browser 和 Mastodon 在较强匿名度下实现自由言说的解决方案,并尽可能做到新手友好。
(考虑有读者可能还不知道 Tor 是什么,这里再啰嗦几句。匿名的实现离不开 Tor,数字匿名者 NobeBE4 的 bio 这样写道:“要么用Tor要么闭嘴。”如果你还不知道如何在墙内使用 Tor Browser 的方法,建议阅读:
《Tor Browser 不完全指南》
《2047|沉默的广场: 什么是tor,兼谈墙内使用tor浏览器的方法》
《【2047|Luterngun:冰箱能听懂的技术贴】如何使用迷雾通+Tor双重代理上 2047》)
1 常见攻击点及应对
【攻击点 1:+86 号码】
虽然没有实证数据支持,但以我有限的认知,大多数喝茶都是因为境外账号绑定【国内 +86 号码】发生的。这可能是成本最低廉、应用最广泛的墙内外身份穿透手段。
根据中国的《网络安全法》等相关法律的要求,中国的手机号码强制【实名制】登记,而中国的所有网络服务强制使用手机号码注册,从而实现墙内一切网络服务的实名化。如果你用实名制登记的国内手机号码、国内邮箱注册墙外服务,就会导致你的墙内账号实名化。以推特为例,
推特的+86验证码是上海中资公司英富必承包,据说直通公安的数据库,只要用过+86固定的User ID https://tweeterid.com 就会入库,我调查中发现最早因此喝茶的可追溯到2015年底注册。谷歌的验证码是通过找回密码功能+运营商拦截
(参见:https://web.archive.org/web/20220903201221/twitter.com/sapphire_is/status/1263603818434105354)
【应对建议】
1 注册墙外服务从事键政等风险活动尽量选择【不需要提供手机号码】的平台,比如 Mastodon
2 如非用不可,应使用【不记名号码】,绝对不要提供【+86 号码】
3 注册墙外服务从事风险活动不要使用网易 163、126,QQ 邮箱等【国内邮箱】
【攻击点 2:国区 iCloud/云上贵州】
15%的参与调查者因使用过苹果国区ID喝茶: 『海外ID下载翻墙软件后切回国区』和『长期使用海外区但偶尔切回国区升级』都是危险的,只要使用过一次国区,Twitter的帐号都会被备份到云上贵州。
(参见:https://web.archive.org/web/20220903201221/twitter.com/sapphire_is/status/1263603818434105354)
评价:无法核实。
【应对建议】
建议单独使用一部全新iOS和全新的海外区苹果ID,并关掉所有云服务
【攻击点 3:公网 IP】
公网 IP 地址与用户所处的实际地理位置相关联。
如果在住宅外上网,如网吧、咖啡店等,理论上也可以通过配合时间、监控视频、MAC地址等排查筛选出身份。
如今公网 IP 定位用得不多,因为用【身份+手机号+账号】定位更便捷;而墙外服务本身被封锁,用户本来就需要代理翻墙,这就掩盖了真实 IP,VPN 的单层代理提供的匿名性虽然有限,但可大幅升高攻击者的成本。
写这点是因为有部分长毛象实例的镜像站,及其他小众网站、论坛尚未被墙封锁,如果这些网站的用户需要匿名,仍应带 Tor 上网,杜绝 IP 裸奔。
【应对建议】
建议:全程 Tor Browser
最低:全程代理(注:使用单层代理仍可因为非全局代理、WebRTC 泄漏、代理断连等原因泄露真实 IP)
【攻击点 4:内置监控】
评价:理论可行,无法核实
例:所有国产App、国产安卓ROM、反诈中心App
【应对建议】
【硬件隔离】+墙内外身份隔离
【攻击点 5:社会工程学】
不要自曝
参见:匿名上网的初级教程 - 4 身份隔离
【攻击点 6:钓鱼机场/VPN】
评价:无法核实
假设你用的机场就是蜜罐,在 HTTPS 高度普及的今天,蜜罐只能知道你访问的网站域名,无法破解你的浏览器和目标网站服务器之间进行的加密通信,也就无从知道你浏览的网页内容,其中包括你的账户信息。国家级攻击者仍能通过对比【在线时间信息】等数据定位用户身份,但难度和成本都会相当高昂。
2 小结
【平台篇】
- Mastodon
- 推荐。理由:无需提供手机号码、Tor 友好
- 使用网页版/PWA,避免使用客户端
- 可选配 RSS 订阅
- Telegram
- 有能力请使用【不记名号码】注册,不要使用 +86 号码
- 交流敏感话题时使用【私密模式】,设置阅后即焚
- 不要在任何公开群组讨论敏感话题
- 不要使用来源不明的机器人
- 如果只是获取频道的信息,可以【不注册账号】,使用 RSSHub 转成 RSS 订阅
【硬件篇】
- 风险操作远离手机
- 优先使用桌面设备
- 公私分开硬件隔离
- 操作系统量力而行
- 排除任何国产软件
移动设备(手机/平板)的安全性远逊于桌面设备(笔电/台式机),如需发表政治敏感言论应仅使用桌面设备。
对于移动设备和桌面设备,都应区分工作生活用机和风险活动用机。
工作生活用的移动设备可以安装微信、支付宝乃至反诈中心等存在监控隐患但不得不用的应用程序。
风险活动用的移动设备推荐使用 iPhone,有条件可以购买海外版,注意必须全程使用外区 Apple ID;如有能力更推荐使用运行隐私强化 ROM 的国外安卓手机(如运行 GrapheneOS、CalyxOS 的 Pixel);不建议使用任何国产厂商的安卓手机。
移动设备仅限轻度风险活动,如翻墙浏览外网,只看不发;避免在本机存储敏感信息。
桌面级操作系统的安全等级:隐私强化型 Linux 发行版(Qubes OS, Whonix, Tails)> 一般 Linux 发行版 > Mac > Windows
如果只有一部桌面设备,可以使用 Live CD/USB 或将系统装在移动硬盘上。
确保系统环境清洁,不安装任何国产软件。
【软件篇】
- 尽量避免下载使用客户端
- 使用网页版(移动设备可用 PWA)
- 发表政治敏感言论等风险操作全程使用 Tor Browser
【拓展篇】
建议搭配阅读《数字极权时代生存手记》第 7 节《资安保护的一般性建议》、第 8 节《匿名上网的初级教程》、第 9 节《Tor Browser 不完全指南》
作为中文网络安全、翻墙技术和匿名性教学科普先驱的编程随想自 2021 年 5 月更新博文后失联至今,对于他所采取的信息安全防护方案的有效性至今没有定论,但他写的 IT.信息安全 标签下的系列文章对于提升网络安全意识和自我保护水平仍极具价值,在今天依然值得一读。
“iYouPort”译介了大量西方前沿数字监视技术发展的文章,可资开拓眼界。