互联网时代隐私保护-cisp运营中心沈传宁

互联网时代的隐私保护沈传宁shencn@cisphome.cn目录•棱镜门事件•隐私的威胁及应对•隐私保护的基本原则和策略2目录•棱镜门事件•隐私的威胁及应对•隐私保护的基本原则和策略3棱镜门事件•棱镜门事件的爆发–时间：2013年6月–人物：爱德化.斯诺登–棱镜项目绝密资料被交给英国《卫报》和美国《华盛顿邮报》，开启了棱镜门事件4棱镜门事件的回顾•美国“棱镜”（PRISM)项目–2007年启动，美国国家安全局秘密项目–电信巨头威瑞森公每天上交数百万用户通话信息–目前从微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、YouTube、苹果等各大互联网公司中获取数据，进行数据挖掘工作•棱镜项目监控数据–传输数据：电子邮件、即时消息、文件传输、通话记录、视频会议、语音聊天等–存储数据：用户存储文件、视频、用户资料（社交网络登记信息）–用户行为：登录时间、访问网站•两个秘密监视项目–监控通话记录–监控网络活动5美国为什么依赖棱镜项目•大数据的价值–情报分析的基础–依托数据分析能获取重要信息•案例–传统的数据分析：照片泄密案–信息化时代：影星的家庭住址•棱镜项目数据是美国总统每日简报数据来源技术的发展使更多信息被制作、收集、存储和传递6案例：影星的家庭住址•背景–明星家庭住址是明星隐私，她们都不愿意透露，微博时代，明星也爱玩微博•微博信息–13:50:四环堵死了，我联排要迟到了？–在北京工作这么久，都没在北京中心地带买一套房子–光顾着看围脖，忘记给老爸指路，都开到中关村了•结论：北四环外某个成熟小区，小区中间有三个相连的方形花坛7棱镜项目作用•下行数据–知名IT公司参与提供数据–重点收集10类数据–11万多监控目标•上行数据8定制入口行动办公室•设在美国安全局大楼内，与其他办公室隔离•有全副武装的警察把守，进入者需要输入六位数密码并进行视网膜扫描。•作用：上行数据获取9棱镜项目对信息安全带来的影响•过去知道你在干，现在才知道你干了这么多•不起眼的数据会揭示真相•中国是重点目标10目录•棱镜门事件•隐私的威胁及应对•隐私保护的基本原则和策略11互联网对隐私保护带来的影响•技术的发展使得隐私信息更容易被制作、收集、存储和传递•信息传播更快•信息更容易泄漏技术的发展和成本降低使得我们面临更多的隐私威胁！12隐私信息泄漏的渠道•公开收集•非法窃取•合法收集•无意泄漏13信息泄漏渠道：公开收集•互联网时代，信息大爆炸–媒体（报纸、杂志、广告）–搜索引擎（伟大的搜索引擎）–自媒体（微博、论坛、社交网站）–人肉搜索引擎信息大爆炸的时代，依托公开渠道采集信息更容易！14公开渠道中的信息泄漏•小测验：搜搜自己的信息，看看能找到什么–搜索引擎搜索姓名+单位–社交网络找找可能认识的人，看看他们怎么跟你关联的•腾讯朋友圈•人人网•微博15如何应对公开渠道的隐私收集•信息提供最小原则–多问为什么•为什么要留我地址•为什么要留我手机号码•这个能否不提供•为什么要……–低调•彪悍的人生不需要解释•晒干爹、晒财富是愚蠢•……16信息泄漏渠道：非法窃取•传统方式：言行记录–跟踪–录音：录音笔、窃听器–摄像：照相机、摄像机•信息化时代：言行记录+多渠道窃取–言行记录–终端泄漏–服务器端泄漏–传输途径泄漏17言行记录：传统的方式•传统：我是詹姆斯.邦德–跟踪–偷拍–资料窃取18言行记录：传统手段得到了加强和延伸•信息化时代：每个人都是007–设备获取非常简单–技术进步，设备功能更强大•小测试：到淘宝去搜索“针孔”19言行记录：传统手段的延伸•案例：专业拆除窃听器的男子–他从上百名官员的汽车、办公室或是卧房拆除三百多个窃听偷拍器材的事情。这发生在2011年。20如何应对言行记录•人生坦荡荡•无线窃听、摄像–无线信号检测–无线信号压制•非无线窃听、摄像–超声波检测器，检测晶体管震荡–红外检测–……21信息化时代的非法窃取•信息化时代信息资源的特征–信息的载体更多，保护难度更大–更快捷的访问到信息和资源–更多传感器使得获取的信息类型和数量都快速膨胀–新技术的应用使信息被不知情的情况下被采集•结果：隐私信息窃取更频繁，更加容易22非法窃取：终端信息泄漏•信息的终端载体–数码设备（手机、平板）–笔记本–存储介质•面临威胁•丢失•恶意APP•木马•数据还原•非法拷贝23非法窃取：服务器端泄漏•信息的服务端存储–网站用户信息–网站中存储的隐私信息•面临威胁–入侵窃取–虚假资源（虚假服务器、虚假内容）–诱骗注册获取资源–……24服务器端泄漏：非法入侵•案例：CSDN用户信息泄漏案•其他受害者–天涯–新浪微博–人人网–美空–多玩–……•真正的受害者是用户！25服务器端信息泄漏：虚假资源•虚假服务器–正确的域名错误的服务器（DNS欺骗）–与正确域名非常相似的欺诈域名–正确域名跳转到错误的服务器（跨站脚本）•虚假资源–伪造的页面内容（表面上是程序，实际是个木马）–嵌入的虚假资源（跨站脚本）26服务器端信息泄漏：诱骗注册•案例：注册获取信息–用户名/密码–邮箱–密码问题、答案•解决措施–合作帐号登录–申请专用注册邮箱–与重要帐号不同的密码27非法窃取：传输环境泄漏•信息的传输过程–不安全的传输环境–不安全的协议•面临威胁–中间人欺骗–嗅探–破解越来越多的WIFI28传输环境泄漏：不安全的传输环境•案例：中间人欺骗（虚假接入点）DS合法AP伪造AP用户（终端）攻击者29信息泄漏渠道：合法收集•合法收集非法利用•合法收集管理不善30隐私信息的合法收集非法利用•无所不在的摄像头–北京：40万（2012）上海：60万（2012）–案例：长虹高管摸奶门31隐私信息合法收集管理不善•留下你的信息，我会给你好处–案例：我在这里……•高德导航的位置微博通告服务需要用户提交微博帐号信息，APP明文传输回服务器–会员通告服务•留下手机号码，有促销我们会给你短信通知–需要提交证明材料•提交身份证复印件，我们才能替你办这事–……•太多需要留下资料的地方，你相信他们吗？•这么机构，都有严格的管理吗？32信息泄漏渠道：无意泄漏•案例：全球最大的计算机诈骗案获得密码伪装成银行职员（国际部麦克.汉森），要求转账伪装成电汇室人员，获取账号信息重新要求转账完成诈骗过程33隐私信息的无意泄漏•残留的信息–会议室白板–打印纸的背面……•丢弃的信息–垃圾桶中的秘密•案例：凯文米特尼克的垃圾工生涯•案例：总统的行程•案例：致命的网购包装34目录•棱镜门事件•隐私的威胁及应对•隐私保护的基本原则和策略35隐私信息保护原则及基本措施•隐私信息保护个人行为•隐私信息保护技术•隐私信息保护策略36隐私信息保护的个人行为•心态（小心驶得万年船）–了解隐私的重要性–尊重他人隐私达到保护个人隐私•意识（任何东西都是有价值的）–能知道到什么是需要保护的–能知道需要保护的东西的价值•行为（我为什么要给你，你为什么需要）–能不提供的就不提供–不是必须的信息虚假提供37隐私信息保护的技术•加密–存储加密：–传输加密•加强防护–补丁–防护软件（病毒防护、360等）•使用非微软系产品•……38隐私信息防护策略•限制收集信息的使用•限制外部访问•限制内部滥用39总结•为什么要保护隐私信息？•隐私信息有哪些泄漏途径–公开收集–非法窃取–合法收集–无意泄漏•隐私信息保护原则和基本措施–个人行为–技术–策略40•感谢大家的耐心！