如何用一台過時的手機保護你的電腦信息

導語：我們至少，有一些不願與身邊的家人或朋友分享的東西，面對眼前這個數字監控密布的世界，這樣一個便捷並且耗費極低的解決方案，應該說對所有人都是有意義的。

作者：黑爪，理工背景的文學、藝術愛好者，讀書人，業餘寫作者、翻譯者。

幾年前，在眾人眼裡一向乏味暗淡的計算機安全領域出現過幾個畫風怪異的熱門詞，比如邪惡女傭和珠光指甲油。

「邪惡女傭」是著名的波蘭美女黑客喬安娜·魯特克絲卡(Joanna Rutkowska)發明的術語。她不無恰當地將物理入侵電腦，進行數據篡改、盜竊，安裝惡意配置的行為，比喻為旅館裡不安分的女傭。她們趁客人不在，利用進房間打掃的機會，惡意入侵客人留在房間的電腦。

而「珠光指甲油」則是來自灣區的兩名網路安全研究人員米修和萊基發明的一種對付物理入侵的「笨」辦法。因為指甲油，尤其是珠光指甲油，塗抹後留下的痕迹具有隨機性，也就是說，每一次塗抹因未細微的原因而留下不一樣的紋理，因此它像指紋一樣具有唯一性。所以他們建議人們在電腦可能被物理上侵入的任何地方，例如機背的螺絲釘等處塗上指甲油，拍照留下記錄。一旦電腦遭到「邪惡女傭」入侵，你立即就可以發現。

可問題是，女傭擁有一瓶跟你同樣顏色的指甲油不是難事啊，她完事以後再塗上一模一樣的怎麼辦呢？而前面提到的紋理「唯一性」，用肉眼識別並非易事。於是米修和萊基借用一種用於天文學領域的圖片「閃爍比較」（blink comparison）技術，開發了圖片對比軟體。

很顯然，「珠光指甲油」最大的用處僅僅在於，明確知道自己已遭遇攻擊，而不至於將可能已經被安裝了惡意軟體的電腦與企業機構的網路相連，致使全網受襲。

這，肯定是不夠的。

流亡中的吹哨人斯諾登，通過新聞自由基金會（Freedom of the Press Foundation ）和守護者項目（Guardian Project），推出了一個新的開源安卓應用「避風港」（Haven）。這款應用將閑置的普通智能手機轉化為一個守護你電腦中重要信息的前哨。

愛德華·斯諾登

先來想一想，作為普通人，我們通常有一些什麼樣的堪稱重要或者敏感的信息，並存放在隨身攜帶的電腦里？無疑，有大量的郵件，你的工作和生活軌跡都在其中；還有密碼／密鑰庫；以及保存了登錄信息的瀏覽器網頁；更可能有尚未發表的工作成果……

當你再次在不知不覺中打開被入侵過的電腦時，入侵者便具有了訪問所有這一切的能力。

然而「避風港」怎麼用一台閑置、備用、過時的安卓手機就能幫你保護這些信息？

無論多麼低端，如今任何一部智能手機一定有這樣一些部件：麥克風、動作感測器（用來甄別手機的橫放還是豎放，比如用在跑步或步行時的計步器應用）、光感器、以及前後兩個鏡頭的相機。避風港就是利用這些最基本最常用的智能手機部件來監控房間里的動靜，並自動開啟日誌，記錄入侵的每一個細節。它所針對的問題，傳統的做法是從內部入手，避風港是一個外部解決方案。

比方說，大部分電腦可以通過一個叫做TPM（Trusted Platform Module，字面含義為「可信平台模塊」）的防篡改晶元來提供「安全啟動」，用以確保啟動代碼沒有被惡意修改。但這個方式也可能會在如下一些環節出現故障：校驗代碼可能出現漏洞，從而給攻擊者提供了將惡意代碼標註為可信的機會；再或者惡意代碼也可能在啟動程序後被載入。

避風港的做法，簡單來說就是在你離開電腦時，將那隻安裝了該應用的手機放在電腦附近，當有人靠近電腦，手機的光感會感知光線的變化，麥克風會聽見聲響，如果靠得足夠近，動感器會捕捉到振動，相機會拍攝入侵者的身體部位，而避風港的日誌將開始在安卓手機上進行包括聲音、動作、照片、視頻等多種形式的本地記錄。

它能夠做的，當然遠不止這些。用戶可將避風港進行設置，令其實時向自己隨身攜帶的常用手機傳送加密警報。傳送的既可以是通過加密信號抵達的警報通知，甚至也可以將避風港配置為可運行「洋蔥路由」Tor的一個網站（關於Tor，參閱騰訊·大家2017年7月文章《互聯網讓每個人變成幾個人》），在另一端，也就是隨身攜帶的手機上，使用Tor瀏覽器與之相連，用戶便可實時查看所有動態。最重要的，因為這一切通過暗網協議進行，使得這些日誌證據別人無從得見。

當然我們大多數人並不需要像避風港開發者斯諾登一樣時時防範FBI、CIA、NSA。但我們至少，有一些不願與身邊的家人或朋友分享的東西，面對眼前這個數字監控密布的世界，這樣一個便捷並且耗費極低的解決方案，應該說對所有人都是有意義的。

說到耗費低，安裝避風港用的閑置手機甚至都不須入網，這時用戶要麼不接收實時通知，回去再查看日誌；要麼，將這隻手機連上Wi-Fi。

細心的讀者這時一定會問，這台避風港手機本身的安全怎麼保證？

避風港測試版已發布幾個星期，入侵者當然已經猜到你可能正在使用。因此他首先會擁堵Wi-Fi、手機網的數據通道、簡訊頻道等等來阻礙這台手機發送實時警報；其次，他會入侵這台手機，試圖刪除日誌。

所以，給手機加密加鎖就變得非常重要。與此同時關閉手機的其他一切無線功能，例如藍牙和NFC。可能的情況下，盡量使用手機運營商網路的數據傳送，關閉Wi-Fi，盡一切可能減少入侵渠道。前文提及的波蘭美女黑客魯特克絲卡甚至建議，增添檢測信號，這樣一但設備連接丟失，用戶能立即知道「避風港」遭遇了不測。

測試版目前在谷歌商店可以下載，沒有谷歌商店的地區，在安卓的開源應用商店F-Droid上也能找到。但它究竟還只是測試版，一個最明顯的問題便是誤警，也就是說，用戶會過份頻繁地收到假警報。因為現實生活中，大多數時候女傭她就是女傭，而非「邪惡女傭」；她走進房間，就是為了打掃，並不是要入侵電腦。於是很多用戶可能選擇關閉實時報警以免隨時被誤警叨擾，而是回去再查詢日誌。這種情況下，日誌可以經過加密簽名，推送到遠端伺服器保存。

斯諾登當然有足夠的理由和經歷，讓他緊張，讓他懷疑一切。然而這促使他從原本便於監控的技術中，發現了反監控，繼而對付入侵的契機，將成熟而普及的技術與最安全的通訊方式結合起來，在保護日常隱私和數據安全的同時，更給致力於消滅不和諧音的老大哥帶來了新的頭疼。因為，即使聲音被徹底從比特海洋中抹去，讓歷史的見證徹底消失卻已沒那麼容易了。

（本文原標題《當珠光甲油不敵邪惡女傭》）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！