互联网的巨额利润来自于跟踪和销售用户数据以更好地定位广告。搜索一下“电钻”,您就会发现各种相关产品的广告充斥着您的整个网络体验。这就是定向广告收入在起作用。这正是 Facebook 和 Google 商业模式的核心,而且有充分的理由:今年公司在网上广告上的支出将超过电视广告支出。互联网服务提供商 (ISP) 也渴望分一杯羹——一旦用户现有的隐私保护不再是障碍,它们就可以行动了。
昨天,众议院以 215 票对 205 票的表决结果,投票决定取消对互联网用户的隐私保护。该措施已以微弱多数通过参议院,专家预计特朗普总统将签署该法案成为法律。一旦他这样做,ISP(连接人们上网的公司)将能够未经许可收集和出售有关特定用户的信息。
更具体地说,该法案使FCC 制定的一系列规则失效。总而言之,这些规则——经过数月甚至数年的制定,并基于之前的规则制定——已正式化:FCC 于去年 12 月发布了最终版本,其中大部分规则于 1 月生效,一部分于 3 月生效。
这些规则提供的一些保护,从技术上讲,是古老的——例如将最初为电信公司制定的 1934 年隐私要求扩展到也涵盖宽带互联网服务。现代的补充条款则更明确地处理消费者同意和在线隐私。这些规则要求 ISP 做到三件事:让客户了解(并选择加入或退出)其信息的任何共享;在向客户提供经济激励以换取出售其数据时获得明确同意;以及不以用户放弃隐私权为条件提供更便宜的服务。
在这些措施到位的情况下,ISP 将能够将用户数据变成一项有利可图的业务——而且无需用户知晓或同意。取消这些规则,尤其是耗费大量时间来创建和实施它们之后,就等于默许公司做那些规则本应阻止的事情。电子前沿基金会(EFF)是一家主要的在线隐私权利组织,对此进行了简洁的描述。
这项规则的改变意味着 ISP 可以通过被挟持的客户群两次获利:首先,通过向他们收取服务费;其次,通过收集用户在线行为的数据并将其出售给第三方。
“我担心他们对数据的管理,”Shauna Dillavou 说,她是华盛顿特区情报界的前成员,也是 Security Positive 的负责人。Security Positive 是一家位于华盛顿特区的组织,支持全美和加拿大的社区安全学习、培训和策略。“我们基本上还是要为他们的服务付费,而且您需要用来保护隐私和安全的许多工具都会降低您的连接速度,因此您需要升级服务并支付更多费用,因为 ISP 正在窃取您的数据。”
与此同时,ISP 可以收集的信息比 Google 仅从搜索中获得的信息,或者 Facebook 从用户发布到社交网络的内容中获得的信息,要更深入、更具体。个人用户上网足迹的广泛可用性可能会让他们更容易受到安全威胁。
“如果所有数据都被聚合起来,窃取个人信息就会容易得多,”Bob Gourley 说,他是安全咨询公司 Cognitio Corp 的联合创始人,也是国防情报局前首席技术官。
Gourley 解释说,利用先进的跟踪工具、人工智能和僵尸网络,恶意行为者可以“了解某个人在特定时间是否会外出旅行”。同样,访问个人财务和医疗信息可能有助于潜在的犯罪分子日后进行欺诈。
“这是瞄准人们的好方法,”Dillavou 回应道。“这是您的名字,您的地址,它附带您的纬度和经度以及您的 IP 地址……从反情报的角度来看,这是一个金矿。”
在线隐私的丧失可能使犯罪分子更容易赢得毫无戒心之人的信任,然后利用这种信任。Gourley 说:“犯罪分子掌握的关于一个人的信息越多,就越容易使用社会工程学来操纵他们。”
更糟糕的是,如果该法案被签署成为法律,ISP 将不再需要披露数据泄露情况。这意味着人们可能会被他们同意的公司窃取信息,而甚至不知道发生了数据盗窃。
“我们已将整个安全责任都转嫁给了用户,”Dillavou 说。
恢复消费者保护可能需要立法或法律行动,这意味着最早也要等到 2019 年下一届国会上任——或者希望在此之前,与隐私相关的案件能通过法院审理。
尽管如此,这并不意味着个人用户在保护自己的数据方面完全无能为力。以下是用户可以采取的一些措施来保护自己的隐私:
使用虚拟专用网络
“最好的选择是使用 VPN,即虚拟专用网络,”Dillavou 说。VPN 是安装在用户设备(如手机或笔记本电脑)上的工具,它可以加密该设备发出的流量,并屏蔽用户的 IP 地址和在线行为,使其免受跟踪工具的追踪。
使用其中一个最好的 VPN 提供商已经是任何在不安全 Wi-Fi(例如咖啡馆里发现的 Wi-Fi)上工作的人的标准安全建议。但是,随着 ISP 现在收集数据,而不仅仅是路由数据,这种解决方法在家中使用也很有意义。(当您试图在海外观看流媒体电视时,它们也很有用。)
这个过程并非没有副作用。“运行 VPN 会减慢您的操作速度,”Dillavou 说,而且它并非对所有网站都有效。“您可能会拥有非常快的连接速度,并且不会太在意,但 Netflix 等流媒体服务可以检测到 VPN 流量,如果有人运行 VPN,它们就不会允许使用该服务。”
Gourley 和 Dillavou 都推荐付费 VPN,无论是出于安全原因还是为了用户友好的体验。Gourley 提供了“HideMyAss.com”作为他研究过的不错 VPN 的一个例子,属于相对低成本的范围。如果用户愿意一次性支付一整年的访问费用,则每月费用不到 7 美元。
Dillavou 推荐TunnelBear。该公司总部位于多伦多,这意味着它受加拿大法律管辖——尽管 VPN 提供商位于外国司法管辖区,但如果两国政府关系密切,它也可能不适用于美国。Dillavou 强调 TunnelBear 的低成本是一个优点,并且该服务允许客户在多个设备上使用同一个 VPN 登录。
VPN(还有Nord和IPVanish等选项)可以防止第三方看到您的流量,但本身无法防止您访问的网站或 ISP 在用户设备上放置的跟踪 cookie。
跟踪跟踪您的 Cookie
Cookie 是允许网站在浏览器中记住用户的 bits 信息。相比之下,超级 cookie 可以在多个网站之间跟踪用户。目前,未经同意使用超级 cookie 是一个严重的禁忌。去年春天,FCC 因使用超级 cookie 在用户不知情或未经同意的情况下跟踪用户而对 Verizon 处以 135 万美元的罚款。随着 FCC 规则的新变化,公司将可以肆无忌惮地在线跟踪用户。
Gourley 说:“如果您使用 VPN,您在浏览网站时会有不同的 IP 地址,但他们会在您的浏览器上放置 cookie 来跟踪您的会话,包括超级 cookie,现在您的 ISP 将能够使用这些 cookie。” 因此,即使在使用 VPN 的情况下,也很容易获得用户行为的完整画面,即使他们从一个网站导航到另一个网站。
Privacy Badger 是 EFF 的一款浏览器扩展,它可以阻止网站上的第三方跟踪工具,因此是 Dillavou 推荐的一种防跟踪和防超级 cookie 的防御措施。Ghostery 是另一款用于此目的的工具,可以通过浏览器扩展或移动浏览器使用。Gourley 表示,在支持的浏览器中,隐私模式(如 Firefox 的私密浏览或 Chrome 的隐身模式)也能提供一点点隐私。
Tor 呢?
Tor,或称洋葱路由器,是一款已存在十多年的浏览器,在大多数安全工具的评测中都是常客。
Tor 是免费的,这是一个受欢迎的特点,而且它有一个巧妙的原理:Tor 通过大量节点(Tor 网络的一部分中间计算机)路由流量,使得请求的起始点难以确定,最终将用户带到他们想要访问的网站。由于 Tor 存在时间很长,它已成为一个固定的目标,安全研究人员和 FBI 花费大量精力破解它,部分原因是人们曾使用 Tor 来访问非法的在线黑市 Silk Road。
“我不会推荐使用 Tor,原因有很多。最重要的是,我认为如果您坐在家里通过 Tor 连接,这没什么区别,出口节点 [您的家庭住址] 始终是一个问题,因为它确实会显示出来,”Dillavou 说。“而且它很慢。在这种情况下,我认为它只会让您显得可疑并减慢您的速度,而且它也不是一个非常可靠的工具。”
额外加分:更改域名服务以防止恶意软件入侵
当公司收集用户数据时,它们会将这些数据置于风险之中,无论是由于自身薄弱的安全措施,还是因为别有用心者可能会购买这些信息作为进一步从目标获取信息的步骤。作为一种安全措施,Gourley 建议用户设置自己的域名服务,而不是使用 ISP 为客户提供的服务。DNS 帮助浏览器将人类可读的网址(如 PopSci.com)翻译成计算机可读的 IP 地址。它是我们所知的互联网体验的重要组成部分,但它也可能成为欺骗的机会。例如,您可以在浏览器中输入一个特定的网站,但 ISP 提供的 DNS 会将您重定向到一个不同的、潜在的恶意 IP 地址,而没有任何指示表明可能存在问题。
Gourley 用一个比喻解释道:“想想老式的电话接线员。如果有人给你打电话,在连接之前,接线员可能会对你说‘根据我们的历史记录,给你打电话的人有欺诈记录,他们很可能会试图欺骗你。’过去有这样的功能就好了。”
如果您的设备上已经存在恶意代码,使用不同于 ISP 提供的 DNS 可以阻止恶意代码与植入者通信。Gourley 推荐了几个免费工具,人们可以用来配置自己的家庭 DNS,其中一些甚至还附带清晰的设置指南。
