冒着倾盆大雨,20岁的英国大员工保拉·西利正驱车去乡间拜访男友的父母,这是她首次与他们见面。在借用的TomTom移动GPS导航设备的指引下,西利把车停在一扇门前,下车去确定那里是否就是男友父母的家,丝毫没有留心自己脚下正踩着铁轨。一列火车呼啸而至,撞上了她身后的一辆车,“我能感觉到一阵风刮过来,然后我的车在铁轨上转了360度,被撞向了另一边。”事后西利回忆道。
类似的情况也发生在英国另一位女士的身上,按照仪表板上GPS的指示,她开着奔驰轿车上了一条封闭的道路,冲进了森斯河边涨起的大水中。
类似事件时常见诸各国媒体。从20世纪90年代起,GPS导航程序越来越多地在私人飞机、汽车和船只上使用,据ABI Research预测,到2013年,使用仪表板或手机上的GPS导航程序的人将会超过9亿。不少人已经不再亲自观察和思考,而是全盘接受这些电子设备提供的信息;而且,任何拥有低功率无线电发射装置并知道GPS使用频率的人,都可以向路人广播或真或假的信息。
GPS提供错误信息只是现代移动电子设备的诸多隐患之一。手机、电子锁、高速公路收费系统和指纹识别系统等各种令人心醉痴迷的精巧小玩意,正逐渐被制造成其最终用户并不了解其内部结构的魔盒。除了会向用户发送虚假信息,它们还会悄无声息地藏匿使用者的个人数据。这会给使用者带来始料未及的麻烦。新泽西州的美兰妮·麦克奎尔就是一例。
美兰妮的丈夫威廉·麦克维尔被人谋杀了。公诉方指控美兰妮谋杀了其丈夫,而美兰妮的辩护律师则坚称,威廉深陷赌债,可能为他人所杀。公诉方调查后发现,威廉死后,有人两次在凌晨一点时使用他的导航设备开车到切萨皮克海湾。不久,威廉已被肢解了的尸体在漂浮于该海湾中的几只手提箱中找到了;此后,一位匿名女性用手机致电收费公路的E-ZPass系统管理办公室,质疑去切萨皮克海湾的收费公路的账单,公诉方对美兰妮的手机通话记录进行调查,证实该电话来自美兰妮。美兰妮的手机通话记录和公路收费系统的记录成为对美兰妮极为不利的证据。
罗伯特·瓦摩西跟踪报道数字安全问题长达20余年,他认为,人们一味信任电子设备是危险的,这些电子设备存在普遍的安全漏洞,对它们的过分依赖会危及人们的生活;人们应当合理利用这些电子设备,并采取明智的措施保护个人信息。为此,瓦摩西撰写了一本专著《When Gadgets Betray Us:The Dark Side of Our Infatuation with New Technologies》,阐述他所知的高科技电子设备与人相忤所造成的不良后果及解决之道。
本书的主题是“电子硬件设备的破解”这个值得研究与关注的新领域:车子的防盗密码怎样遭到攻击?手机的对话是如何被窃听的?非接触式信用卡、驾照和护照是怎样在远离我们的地方被复制的?
在书中,瓦摩西分七章叙述了生活在柏林、布拉格、约翰内斯堡、洛杉矶和纽约等世界名城的人们因这些电子硬件设备而受到的伤害。
索西克盗车案令人信服地阐释了电子防盗设备存在的诸多问题。
30余岁的拉德克·索西克出生于捷克。从11岁开始,他就以撬锁盗车为生。“当你离开你的车子,上锁后绕过汽车回家,在这段时间里我就能把车偷走。”索西克这样描述自己的谋生技能。
20世纪90年代,越来越多的欧洲汽车制造商在顶级豪车中使用电子防盗设备。求生图存的本能极大地激发了索西克的学习热情和创新潜力,他即刻跟进。20年前,索西克只需要一把剪刀就可以偷走任何意大利跑车,如今,他的工具是一台便携式电脑和互联网提供的软件。2006年被捕时,该电脑中有他所盗获的150部车辆的防盗钥匙编码,这是他正在建设中的数据库。每当他成功地破解一辆汽车的编码,他就借助该编码计算来自同一制造商的下一辆汽车的编码,通过反复试验预测每部新车的单独编码。当然,该数据库也为警方提供了足以逮捕他的证据。
索西克盗车案说明,汽车的电子防盗系统虽然为司机提供了便利,但减低了安全性;车主过分信任该电子设备,以至于把一些基本常识抛于脑后:把车停在光线好的位置,车内不留贵重物品,以及在车轮、方向盘和刹车等部位增加锁定装置等。
迈耶费尔德涉嫌爆炸案则可使人们认识到高科技电子设备其实并不科学。
2004年3月11日,马德里附近的4列火车发生了10颗炸弹爆炸,共造成191人死亡,1800人受伤。在未爆炸的3包化学品上,西班牙警方提取到指纹。通过将该指纹与美国联邦指纹数据库中的指纹比对,FBI锁定美国律师布兰顿·迈耶费尔德为该案的嫌疑人,并将其逮捕。
事实上,迈耶费尔德近11年内从未离开过美国,而且,有20组指纹与西班牙政府提供的指纹匹配,迈耶费尔德的指纹仅为其中之一。最终,摩洛哥人伊萨姆·阿米丹被认定为留下该指纹者,2008年年底,他被西班牙法院判处10年监禁。
该事件证明,两组相符的人类指纹一定是同一人的论断并不具有完全的科学性。虽然执法部门使用指纹定案已逾一个世纪,但难免有人因指纹匹配而被无辜定罪;与此同理,用指纹生物测定系统来保护建筑物和豪华汽车也是有安全漏洞的。不仅指纹对比方法上存在缺陷,指纹也会因自然磨损、受伤而变化,而指纹生物测定系统对此并无应对措施。
瓦摩西在本书中还提出了许多改善电子设备安全性的建议。
瓦摩西认为,作为消费者,我们应该向制造商要求在新的移动电子设备上具备更好的内置安全性;芯片应该对用户进行验证,并且防止流氓软件的升级;数据应该得到加密。美国的大部分人每两年就会升级他们的手机,这为手机制造商提供了很多加强芯片组内部安全和提供安全软件的机会。我们需要向硬件制造商说明,他们的产品可能被破解,和任何软件产品一样容易出现问题。作为消费者,我们必须推进这一改变。
其次,我们需要反思各种移动电子设备的安全加固方法,并在必要时全部删除设备内的数据。我们应该从一开始就修改默认的设置以加强连接安全。
瓦摩西证实,研究人员已试图彻底改变加固移动设备安全的方式。例如,Lookout移动安全性套件不仅提供了防病毒和防恶意软件,还提供了许多用于手机的不同保护措施。未来,盗贼可能偷走你的移动设备,但你能够阻止他们访问你的数据、使用你的手机。Lookout的创新功能还能报告你的手机失窃,锁定手机,远程删除手机里的数据。由于移动设备与互联网相连,所以它将始终处于你的控制之下,即使你没有实际占有它。
本书并非要人们惊恐地远离电子设备,而是试图推动人们更加了解电子设备的工作原理及其各种漏洞,使它们在人们的日常生活中被合理使用,并采取明智的措施把使用中可能遇到的风险降至最低。正如瓦摩西所言,本书的首要目标是希望增加人们对新的电子设备的质疑态度,第二个目标是使人们意识到常见的电子设备可能以各种方式泄露个人信息,第三个目标则是希望能够启动制造商和安全研究团体之间的建设性对话。
徐璐撰稿
《个人信息保卫战》机械工业出版社 2012年6月第1版
作者简介
罗伯特·瓦摩西是一名记者和分析家。近20年来,他一直报道数字安全问题,就计算机安全、犯罪侦查、漏洞分析、数据流失预防、僵死网络、恶意软件和跨站点脚本攻击等问题多有撰述。
本书目录
第1章 虚假的安全感
第2章 方便性的黑暗面
第3章 看不见的威胁
第4章 电子面包屑
第5章 我,我不是
第6章 指纹的神话
第7章 0和1
结语 希望永存