数字威胁建模在威权主义下的应用
当今世界要求我们对数字安全做出复杂而细致的决策。评估何时使用如Signal或WhatsApp这样的安全消息应用、哪些密码应存储在智能手机上、或在社交媒体上分享什么内容,都需要我们评估风险并做出相应判断。得出任何结论都是一个威胁建模的过程。
在安全领域,威胁建模是确定在特定情况下哪些安全措施有意义的过程。这是一种思考潜在风险、可能防御措施以及两者成本的方式。专家们通过这种方式避免被无关风险分散注意力或被不当成本压垮。
我们一直在进行威胁建模。我们可能决定走一条街而不是另一条,或在浏览可疑网站时使用互联网VPN。也许我们详细理解风险,但更可能依赖直觉或某些可信权威。但在美国和其他地方,普通人的威胁模型正在改变——特别是涉及我们如何保护个人信息的方式。以前,大多数关注集中在公司监控;如Google和Facebook等公司进行数字监控以最大化利润。然而,越来越多人担心政府监控以及政府如何将个人数据武器化。
自今年初以来,特朗普政府在这一领域的行动敲响了警钟:政府效率部(DOGE)从联邦机构获取数据,Palantir将不同的政府数据流合并为一个系统,移民和海关执法局(ICE)使用社交媒体帖子作为拒绝某人进入美国的理由。
这些威胁,以及技术威权政权带来的其他威胁,与公司垄断政权带来的威胁大不相同——在两者合作的社会中又有所不同。应对这些新威胁需要对个人数字设备、云服务、社交媒体和一般数据采取不同方法。
政府已拥有哪些数据?
多年来,大多数公众注意力集中在科技公司收集行为数据的风险上。这是大量数据,通常用于预测和影响消费者未来行为——而非作为揭示我们过去的手段。尽管商业数据高度私密——如您一年内精确位置的知识,或您曾创建的每个Facebook帖子的内容——但它与纳税申报表、警察记录、失业保险申请或医疗历史不同。
美国政府拥有关于其境内居住的每个人的广泛数据,其中一些非常敏感——而且对此几乎无能为力。这些信息主要由人们法律上有义务告诉政府的事实组成。国税局拥有大量关于个人财务的非常敏感的数据。财政部拥有关于从政府收到的任何款项的数据。人事管理办公室拥有关于政府雇员的大量详细信息——包括获得安全许可所需的非常个人化的表格。人口普查局拥有关于居住在美国的每个人的庞大数据,例如包括该国房地产所有权数据库。国防部和退伍军人事务部拥有关于现役和前任军人的数据,国土安全部拥有旅行信息,各种机构拥有健康记录。等等。
可以安全地假设政府已经——或很快将能够——访问所有这些政府数据。这听起来像是同义反复,但在过去,美国政府基本上遵循了许多限制这些数据库使用的法律,特别是在共享、合并和关联方面。在特朗普第二任政府下,这似乎不再成立。
用公司数据增强政府数据
公司监控机制并未消失。计算技术不断监视其用户——这些数据被用来影响我们。像Google和Meta这样的公司是庞大的监控机器,它们使用这些数据来推动广告。智能手机是一种便携式监控设备,不断记录位置和通信等内容。汽车和许多其他物联网设备也是如此。信用卡公司、健康保险公司、互联网零售商和社交媒体网站都拥有关于您的详细数据——并且有一个庞大的行业买卖这些私密数据。
这并非新闻。在技术威权政权中,不同的是这些数据也与政府共享,无论是作为付费服务还是根据当地法律要求。Amazon与警方共享Ring门铃数据。Flock,一家收集全国汽车车牌数据的公司,也与警方共享数据。正如中国公司与政府共享用户数据,以及像Verizon这样的公司在9/11恐怖袭击后与国家安全局(NSA)共享通话记录,威权政府也将使用这些数据。
使用数据进行个人目标定位
政府拥有强大的目标监控能力,无论是技术上还是法律上。如果某个高级人物被指名针对,几乎可以肯定政府可以访问他们的数据。政府将充分利用其调查权力:它将审查政府数据、远程黑客手机和计算机、监视通信并突袭住宅。它将强制第三方,如银行、手机提供商、电子邮件提供商、云存储服务和社交媒体公司,交出数据。只要这些公司保留备份,政府甚至能够获取已删除的数据。
这些数据可用于起诉——可能是选择性的。最近几周,特朗普政府个人针对感知到的敌人进行“抵押贷款欺诈”已经证明了这一点。这是数据武器化的一个明显例子。考虑到政府要求人们披露的所有数据,总会有一些东西可以起诉。
尽管令人震惊,但这种针对性攻击无法扩展。尽管政府的信息庞大且能力强大,但它们并非无限。它们只能针对有限数量的人部署。大多数人永远不会在优先列表上那么高。
大规模监控的风险
大规模监控是没有特定目标的监控。对大多数人来说,这是主要风险所在。即使我们没有成为指名目标,个人数据也可能引发危险信号,招致不必要的审查。
这里的风险是双重的。首先,大规模监控可用于单独挑出人来骚扰或逮捕:当他们越过边境、出席移民听证会、参加抗议、被警察因超速拦下,或仅仅是在过正常生活时。其次,大规模监控可用于威胁或勒索。在第一种情况下,政府使用该数据库为其行动找到合理借口。在第二种情况下,它寻找实际违规行为,可以选择性起诉——或不起诉。
减轻这些风险是困难的,因为它需要在日常生活中既不与政府也不与公司互动——而对大多数人来说,住在没有任何电子设备的森林中是不现实的。此外,这种策略只保护未来信息;对过去生成的信息无能为力。也就是说,回头清理社交媒体账户和云存储确实有一定价值。是否适合您取决于您的个人情况。
数据的机会性使用
除了提供给第三方——无论是公司还是政府——的数据外,还有用户自己保管的数据。这些数据可能存储在个人设备上,如计算机和手机,或者更可能在今天,存储在某个云服务中,并可从这些设备访问。在这里,风险不同:某些当局可能没收您的设备并检查它。
这不仅仅是推测。有许多关于ICE特工在人们试图进入美国时检查他们手机和计算机的故事:他们的电子邮件、联系人列表、文档、照片、浏览器历史和社交媒体帖子。
您可以部署几种不同的防御措施,从最不极端到最极端依次呈现。首先,您可以清理设备上可能构成犯罪的信息,无论是作为常规做法还是在进入高风险情况之前。其次,您可以考虑删除——即使是暂时删除——社交媒体和其他应用,以便访问设备的人无法访问这些账户——这包括您的联系人列表。如果手机在政府突袭中被收缴,您的联系人将成为他们的下一个目标。
第三,您可以选择根本不携带设备,而是选择没有联系人、电子邮件访问和账户的廉价手机,或完全不用电子设备。这可能听起来极端——而且做对很难——但我知道今天许多人在国际旅行时使用精简的计算机和清理过的手机。与此同时,也有故事称人们因为携带明显是廉价手机——或根本没有手机——而被拒绝进入美国。
加密并非万能药——但无论如何请使用它
加密在数据未使用时保护您的数据,在设备关闭时保护您的设备。如果边境官员强迫您打开手机和计算机,这没有帮助。它也不保护元数据,元数据需要未加密才能使系统运行。这些元数据可能非常有价值。例如,Signal、WhatsApp和iMessage都加密您的短信内容——数据——但关于您与谁发短信以及何时发短信的信息必须保持未加密。
此外,如果NSA想要访问某人的手机,它可以做到。加密对这种复杂的针对性攻击没有帮助。但是,再次强调,我们大多数人并不那么重要,即使NSA也只能针对有限数量的人。加密防范的是大规模监控。
我推荐Signal用于短信,优于所有其他应用。但如果您所在的国家在设备上安装Signal本身即构成犯罪,那么使用WhatsApp。Signal更好,但每个人都在手机上安装了WhatsApp,因此不会引起同样的怀疑。此外,开启计算机的内置加密是显而易见的:Windows的BitLocker和Mac的FileVault。
关于数据和元数据的话题,值得注意的是数据污染的帮助远不如您可能想象的那么大。也就是说,在地址簿中添加数百个随机陌生人或在浏览器历史中添加虚假互联网搜索以隐藏真实信息并没有多大好处。现代分析工具可以看穿所有这些。
去中心化风险的转变
随着威权系统变得更加去中心化,这种个人目标定位的概念以及政府无法大规模进行的事实开始失效。毕竟,如果压迫来自上层,它只影响高级政府官员和当权者个人不喜欢的人。如果它来自下层,它影响每个人。但去中心化看起来很像ICE骚扰、拘留和使人失踪的事件——每个人都必须害怕它。
这可以走得更远。想象一下,有一位政府官员分配到您的社区、您的街区或您的公寓楼。审查每个人的社交媒体帖子、电子邮件和聊天记录值得那个人花时间。对于任何处于这种情况的人,限制您在网上的活动是唯一的防御措施。
清白不会保护您
理解这一点至关重要。监控系统和分类算法会犯错。这一点在我们经常收到对我们完全不感兴趣的产品的广告中显而易见。这些错误相对无害——谁在乎一个目标不准确的广告?——但在移民听证会上,类似的错误可能导致某人被驱逐出境。
威权政府不在乎。错误是威权监控的一个特性而非缺陷。如果ICE只针对它可以合法追查的人,那么每个人都知道是否需要害怕ICE。如果ICE偶尔犯错,逮捕美国人和驱逐无辜者,那么每个人都必须害怕它。这是设计使然。
有效反对需要在线
对大多数人来说,手机是日常生活的重要组成部分。如果您在参加抗议时将手机留在家中,您将无法拍摄警察暴力。或与朋友协调并确定见面地点。或使用导航应用首先到达抗议地点。
威胁建模全是关于权衡。理解您的权衡不仅取决于技术及其能力,还取决于您的个人目标。您是试图低头生存——还是离开?您想合法抗议吗?您做得更多吗,也许是在给威权政府制造麻烦,甚至从事积极抵抗?您做得越多,需要的技术就越多——并且越多的技术将被用来对付您。没有简单的答案,只有选择。