数字威胁建模在威权主义下的挑战与对策
当今世界要求我们对数字安全做出复杂而细致的决策。评估何时使用Signal或WhatsApp等安全消息应用、在智能手机上存储哪些密码,或在社交媒体上分享什么内容,都需要我们评估风险并做出相应判断。得出任何结论都是一个威胁建模的过程。
在安全领域,威胁建模是确定在特定情况下哪些安全措施有意义的过程。这是一种思考潜在风险、可能的防御措施以及两者成本的方式。专家通过这种方式避免被无关风险分散注意力或被过高成本压垮。
我们一直在进行威胁建模。我们可能决定走一条街而不是另一条,或在浏览可疑网站时使用互联网VPN。也许我们详细了解风险,但更可能依赖直觉或某些可信权威。但在美国和其他地方,普通人的威胁模型正在发生变化——特别是涉及我们如何保护个人信息的方式。以前,大多数担忧集中在企业监控上;像谷歌和Facebook这样的公司进行数字监控以最大化利润。然而,越来越多人担心政府监控以及政府如何将个人数据武器化。
自今年初以来,特朗普政府在这一领域的行动敲响了警钟:政府效率部(DOGE)从联邦机构获取数据,Palantir将不同的政府数据流合并为一个系统,移民和海关执法局(ICE)使用社交媒体帖子作为拒绝某人进入美国的理由。
这些威胁,以及技术威权政权带来的其他威胁,与企业垄断政权带来的威胁大不相同——在两者合作的社会中又有所不同。应对这些新威胁需要对个人数字设备、云服务、社交媒体和一般数据采取不同的方法。
政府已经拥有哪些数据?
多年来,大多数公众注意力集中在科技公司收集行为数据的风险上。这是大量数据,通常用于预测和影响消费者未来行为——而不是作为揭示我们过去的手段。尽管商业数据高度私密——比如知道你一年内的精确位置,或你创建的每个Facebook帖子的内容——但它与纳税申报表、警察记录、失业保险申请或医疗历史不同。
美国政府拥有关于其境内每个人的广泛数据,其中一些非常敏感——而且对此几乎无能为力。这些信息主要由人们法律上有义务告诉政府的事实组成。国税局拥有大量关于个人财务的敏感数据。财政部拥有关于从政府收到的任何款项的数据。人事管理办公室拥有关于政府雇员的大量详细信息——包括获得安全许可所需的非常个人化的表格。人口普查局拥有关于美国每个人的庞大数据,例如包括全国房地产所有权数据库。国防部和退伍军人事务部拥有关于现役和退役军人的数据,国土安全部拥有旅行信息,各种机构拥有健康记录。等等。
可以安全地假设政府已经——或很快将拥有——访问所有这些政府数据的权限。这听起来像是同义反复,但在过去,美国政府基本上遵循了许多限制这些数据库使用的法律,特别是在共享、组合和关联方面。在特朗普第二任政府下,这似乎不再是事实。
用企业数据增强政府数据
企业监控机制并未消失。计算技术不断监视其用户——这些数据被用来影响我们。像谷歌和Meta这样的公司是庞大的监控机器,它们使用这些数据来推动广告。智能手机是一种便携式监控设备,不断记录位置和通信等内容。汽车和许多其他物联网设备也是如此。信用卡公司、健康保险公司、互联网零售商和社交媒体网站都拥有关于你的详细数据——并且有一个庞大的行业在买卖这些私密数据。
这不是新闻。在技术威权政权中,不同的是这些数据也与政府共享,无论是作为付费服务还是根据当地法律要求。亚马逊与警方共享Ring门铃数据。Flock是一家收集全国汽车车牌数据的公司,也与警方共享数据。就像中国公司与政府共享用户数据,以及像Verizon这样的公司在9/11恐怖袭击后与国家安全局(NSA)共享通话记录一样,威权政府也会使用这些数据。
使用数据进行个人定位
政府拥有巨大的定向监控能力,无论是技术上还是法律上。如果某个高级人物被指名针对,几乎可以肯定政府可以访问他们的数据。政府将充分利用其调查权力:它将审查政府数据,远程黑客攻击手机和电脑,监视通信,并突袭住宅。它将强制第三方,如银行、手机提供商、电子邮件提供商、云存储服务和社交媒体公司,交出数据。只要这些公司保留备份,政府甚至能够获取已删除的数据。
这些数据可用于起诉——可能是选择性的。最近几周,特朗普政府个人针对 perceived enemies 进行“抵押贷款欺诈”起诉,这已经变得明显。这是数据武器化的一个明显例子。考虑到政府要求人们披露的所有数据,总会有东西可以用来起诉。
尽管令人震惊,但这种定向攻击无法扩展。尽管政府的信息庞大且能力强大,但它们不是无限的。它们只能针对有限数量的人部署。而大多数人永远不会在优先列表上那么高。
大规模监控的风险
大规模监控是没有特定目标的监控。对大多数人来说,这是主要风险所在。即使我们没有成为指名目标,个人数据也可能引发危险信号,招致不必要的审查。
这里的风险是双重的。首先,大规模监控可用于单独挑出人来骚扰或逮捕:当他们过境时、出现在移民听证会上、参加抗议活动、因超速被警察拦下,或者就在他们过正常生活时。其次,大规模监控可用于威胁或勒索。在第一种情况下,政府使用该数据库为其行动找到看似合理的借口。在第二种情况下,它寻找实际违规行为,可以选择性起诉——或者不。
减轻这些风险是困难的,因为它需要在日常生活中既不与政府也不与企业互动——而对大多数人来说,生活在没有电子设备的森林中是不现实的。此外,这种策略只保护未来的信息;对过去生成的信息毫无作用。也就是说,回去清理社交媒体账户和云存储确实有一定价值。是否适合你取决于你的个人情况。
数据的机会性使用
除了提供给第三方——无论是企业还是政府——的数据外,还有用户自己保管的数据。这些数据可能存储在个人设备上,如电脑和手机,或者更可能的是,存储在某个云服务中,并可从这些设备访问。这里的风险不同:某些当局可能没收你的设备并检查它。
这不仅仅是推测。有许多关于ICE特工在人们试图进入美国时检查他们手机和电脑的故事:他们的电子邮件、联系人列表、文档、照片、浏览器历史和社交媒体帖子。
你可以部署几种不同的防御措施,从最不极端到最极端依次介绍。首先,你可以清理设备上可能构成犯罪的信息,无论是作为常规做法还是在进入高风险情况之前。其次,你可以考虑删除——即使是暂时删除——社交媒体和其他应用,以便访问设备的人无法访问这些账户——这包括你的联系人列表。如果手机在政府突袭中被收缴,你的联系人就成为他们的下一个目标。
第三,你可以选择根本不携带设备,而是选择没有联系人、电子邮件访问和账户的廉价手机,或者完全不用电子设备。这可能听起来极端——而且做对很难——但我认识许多今天为国际旅行准备精简电脑和清理手机的人。同时,也有关于人们因为携带明显是廉价手机——或者根本没有手机——而被拒绝进入美国的故事。
加密不是万能药——但无论如何要使用它
加密在不使用数据时保护你的数据,在设备关闭时保护你的设备。如果边境特工强迫你打开手机和电脑,这没有帮助。它也不保护元数据,元数据需要未加密才能使系统运行。这些元数据可能极其有价值。例如,Signal、WhatsApp和iMessage都加密你的短信内容——数据——但关于你与谁发短信以及何时发短信的信息必须保持未加密。
此外,如果NSA想访问某人的手机,它可以做到。加密对这种复杂的定向攻击没有帮助。但是,再次强调,我们大多数人没有那么重要,即使是NSA也只能针对这么多人。加密防范的是大规模监控。
我推荐Signal用于短信,胜过所有其他应用。但如果你所在的国家在设备上安装Signal本身就是犯罪,那么使用WhatsApp。Signal更好,但每个人手机上都有WhatsApp,所以不会引起同样的怀疑。此外,开启电脑的内置加密是显而易见的:Windows用BitLocker,Mac用FileVault。
关于数据和元数据的话题,值得注意的是数据毒化没有你想象的那么有帮助。也就是说,在地址簿中添加数百个随机陌生人或在浏览器历史中添加虚假互联网搜索以隐藏真实信息并没有太大好处。现代分析工具可以看穿所有这些。
去中心化带来的风险变化
随着威权系统变得更加去中心化,这种个人定位的概念以及政府无法大规模进行的能力开始失效。毕竟,如果压制来自上层,它只影响高级政府官员和当权者个人不喜欢的人。如果它来自下层,它影响每个人。但去中心化看起来很像ICE骚扰、拘留和使人失踪的事件——每个人都必须害怕它。
这可以走得更远。想象一下,有一个政府官员被分配到你的社区,或你的街区,或你的公寓楼。审查每个人的社交媒体帖子、电子邮件和聊天记录对那个人来说是值得花时间的。对于任何处于这种情况的人来说,限制你在网上的活动是唯一的防御手段。
清白不会保护你
理解这一点至关重要。监控系统和分类算法会犯错。这一点从我们经常收到完全不感兴趣的产品的广告中显而易见。这些错误相对无害——谁在乎一个定位不准的广告?——但在移民听证会上类似的错误可能导致某人被驱逐出境。
威权政府不在乎。错误是威权监控的一个特性,而不是缺陷。如果ICE只针对它可以合法追查的人,那么每个人都知道他们是否需要害怕ICE。如果ICE偶尔犯错,逮捕美国人和驱逐无辜者,那么每个人都必须害怕它。这是设计使然。
有效反对需要在线
对大多数人来说,手机是日常生活中必不可少的一部分。如果你参加抗议时把手机留在家里,你将无法拍摄警察暴力。或者与朋友协调并确定在哪里见面。或者首先使用导航应用到达抗议地点。
威胁建模全是关于权衡。理解你的权衡不仅取决于技术及其能力,还取决于你的个人目标。你是想低头生存——还是离开?你想合法抗议吗?你做得更多吗,也许是向威权政府的齿轮中撒沙,甚至从事积极抵抗?你做得越多,你需要的技术就越多——而技术也会被更多地用来对付你。没有简单的答案,只有选择。