数字威胁建模在威权主义下的应用
当今世界要求我们对数字安全做出复杂而细致的决策。评估何时使用Signal或WhatsApp等安全通讯应用、哪些密码应存储在智能手机上、在社交媒体上分享哪些内容,都需要我们评估风险并做出相应判断。得出任何结论都是进行威胁建模的实践。
在安全领域,威胁建模是确定在特定情况下应采取哪些安全措施的过程。这是一种思考潜在风险、可能防御措施及两者成本的方式。专家通过这种方式避免被无关风险分散注意力或承受过高成本。
我们一直在进行威胁建模:可能选择走某条街道而非另一条,或在浏览可疑网站时使用VPN。也许我们详细了解风险,但更可能依赖直觉或可信权威。在美国及其他地区,普通人的威胁模型正在改变——特别是关于如何保护个人信息。以往主要关注企业监控;如今越来越多人担忧政府监控及政府如何将个人数据武器化。
政府已掌握哪些数据?
多年来公众关注焦点集中在科技公司收集行为数据的风险上。这些海量数据通常用于预测和影响消费者未来行为,而非揭露过去。虽然商业数据高度私密(如全年精确位置记录或所有Facebook发帖内容),但与纳税申报、警方记录、失业保险申请或医疗病史不同。
美国政府拥有关于境内每个人的大量数据,部分极为敏感且难以规避。这些主要是法律要求告知政府的信息:IRS掌握个人财务敏感数据,财政部记录政府发放款项,人事管理局存有政府雇员详细信息(包括安全审查所需个人表格),人口普查局拥有全美居民数据(如房地产所有权数据库),国防部、退伍军人事务部、国土安全部分别掌握军事人员、旅行信息和健康记录等。
可以合理假设政府已(或即将)访问所有这些政府数据。过去美国政府基本遵守限制数据库使用的法律(特别是在共享、整合和关联方面),但在特朗普第二任期内情况似乎发生变化。
企业数据增强政府数据能力
企业监控机制依然存在。计算技术不断监视用户,这些数据被用于影响我们。Google和Meta等公司是巨型监控机器,利用数据驱动广告业务。智能手机是便携式监控设备,持续记录位置和通讯等信息。汽车及其他物联网设备同样如此。信用卡公司、健康保险公司、网络零售商和社交媒体平台都拥有您的详细数据——存在庞大行业买卖这些私密数据。
在技术威权体制下,不同之处在于这些数据也会与政府共享(通过付费服务或法律要求)。亚马逊向警方提供Ring门铃数据,全国收集车牌数据的Flock公司同样与警方共享数据。正如中国企业与政府共享用户数据、Verizon在9/11后向NSA提供通话记录,威权政府也将利用这些数据。
基于数据的个人定向监控
政府拥有强大的定向监控能力(技术层面和法律层面)。如果特定高层人物被列为目标,政府几乎必然能获取其数据。政府将充分运用调查权力:查阅政府数据、远程入侵手机电脑、监视通讯、突击搜查住所。它将强制银行、运营商、电子邮件服务商、云存储服务和社交媒体公司移交数据。只要这些公司保留备份,政府甚至能获取已删除数据。
这些数据可用于起诉——可能具有选择性。最近特朗普政府以"抵押贷款欺诈"名义针对特定对手就是数据武器化的明证。鉴于政府要求人们披露的所有数据中,总可找到起诉依据。
尽管令人担忧,这类定向攻击难以规模化。政府信息虽庞大、能力虽强大,但并非无限。它们只能针对有限人群部署,大多数人永远不会成为高优先级目标。
大规模监控的风险
大规模监控是无特定目标的监控。对多数人而言,主要风险在于此。即使未被指名针对,个人数据也可能触发警报,招致不必要的审查。
风险具双重性:首先,大规模监控可用于筛选骚扰或逮捕对象(在边境检查、移民听证、参加抗议、因超速被拦下或日常生活时);其次,可能用于威胁或勒索。前者政府利用数据库为其行为寻找合理借口,后者则寻找实际违规行为进行选择性起诉。
降低这些风险很困难,因为需要避免在日常生活中与政府或企业互动——而对大多数人而言,隐居山林不用电子设备并不现实。此外,这种策略仅保护未来信息,对过去生成的信息无效。尽管如此,清理社交媒体账户和云存储仍有价值,是否适合取决于个人情况。
数据的随机利用
除了提供给第三方(企业或政府)的数据,用户自身保管的数据也存在风险。这些数据可能存储在个人设备(电脑手机)或更常见的云服务中。此处的风险不同:某些机构可能没收设备并进行检查。
这不仅是推测。许多案例显示ICE在人员试图入境美国时检查其手机电脑:电子邮件、联系人列表、文档、照片、浏览历史和社交媒体发帖。
可采取多种防御措施(按程度从轻到重排列):
- 清理设备上可能定罪的信息(常规进行或在进入高风险环境前)
- 考虑删除社交媒体等应用(即使是暂时性的),防止设备接触者访问这些账户(包括联系人列表)。若手机遭政府查抄,您的联系人将成为下一批目标
- 完全不携带设备,改用无联系人、无邮箱访问、无账户的预付费手机,或彻底不用电子设备。这听起来极端且操作困难,但我知道许多人在国际旅行时使用精简电脑和清理过的手机。同时也有携带明显预付费手机或未带手机者被拒入境的案例
加密非万能——但仍需使用
加密在数据未使用、设备关闭时提供保护。若边境人员强制您开启手机电脑则无济于事。且加密不保护元数据(系统运行需元数据保持未加密状态)。元数据极具价值:例如Signal、WhatsApp和iMessage都加密短信内容,但收发对象和时间信息必须保持未加密。
此外,若NSA欲访问某人手机,它能做到。加密对此类复杂定向攻击无效。但再次强调,我们多数人没那么重要,且NSA目标数量有限。加密防范的是大规模监控。
我首要推荐Signal用于短信通讯。但若在安装Signal本身即构成罪证的国家,请使用WhatsApp。Signal更优,但人人手机都装WhatsApp,故不会引发同等怀疑。同时,开启电脑内置加密(Windows的BitLocker、Mac的FileVault)是明智之举。
关于数据和元数据,值得注意的是数据污染效果远不如预期:在通讯录添加数百随机陌生人或浏览器历史添加虚假搜索以隐藏真实记录效果有限,现代分析工具能识破这些手段。
去中心化监控的风险转变
当威权体系更趋去中心化时,这种个人定向监控及政府无力规模实施的观念开始失效。毕竟,若压迫来自上层,仅影响政府高官和当权者个人不喜者;若来自底层,则影响所有人。去中心化监控表现为ICE骚扰、拘留和人员失踪等事件——每个人都需恐惧。
这可能更进一步:想象政府官员分配到您的社区、街区或公寓楼。仔细检查每个人的社交媒体发帖、电子邮件和聊天记录值得此人花费时间。对此情境者,限制网络活动是唯一防御。
清白无法保护您
理解这点至关重要监控系统和分类算法会出错。这体现为我们常收到完全不感兴趣产品的广告。这些错误相对无害(谁在乎目标不准的广告?),但移民听证中的类似错误可能致人遭驱逐。
威权政府不在乎错误是威权监控的特征而非缺陷。若ICE仅针对可合法追究者,则人人都知是否需恐惧ICE;若ICE偶尔错误逮捕美国公民和驱逐无辜者,则每个人都需恐惧——这是刻意设计。
有效反对需要保持在线
对大多数人,手机是日常生活必需品。若参加抗议时不带手机,您将无法拍摄警方暴力、与朋友协调会面地点、使用导航应用前往抗议地点。
威胁建模关乎权衡。理解您的威胁不仅取决于技术及其能力,还取决于个人目标:您是试图保持低调生存——或离开?想合法抗议?做得更多(或许给威权政府制造麻烦,甚至积极参与抵抗)?行动越多,所需技术越多——被用于对付您的技术也越多。没有简单答案,只有选择。