个人数据

7 文章

如何躲避监控摄像头:过去与未来

如今监控摄像头几乎遍布我们日常生活的各个角落:无论室内还是室外,机场还是火车站,办公室还是商店,几乎无处不在。即便在野外你也无法躲避各种监控摄像头,使得乔治•奥威尔的幻想小说《1984》中描写的情节成为了现实。 对于大多数监控系统而言,循环录制视频只是为了”以防万一”;除此之外并未用作他用。但就在最近情况有所改变,这些录制的视频越来越频繁地被传至各种数据分析系统,因此可能会被用于追踪一些特定人群的行踪。 不言而喻”老大哥们”(见于小说《1984》)可能将侵犯到我们的私生活。你不得不接受政府的”一系列行为”,因为他们是所谓”维持社会秩序”的人。然而如今,生物识别系统正试图变成一种普遍的商业工具,这不仅让我们的个人资金状况彻底暴露,同时还侵犯到了每个人私生活的权利。而这又是另外一回事了。 比如说,你在商店购买一件冬季外套时,商店的监控系统也在将你的视频图像与一些抢匪的照片相对比,并将这些视频图像添加到你的客户资料内。 或者,你去汽车经销商处看新车,你只要一走进去,销售人员就能很快找到你的名字和所有你的个人信息。包括你缺少资金购入新车的信息。 即使去教堂有时也无法幸免。面部识别系统已被用来搜寻经常来教堂的人:事实证明教堂从这些人中募集捐款的概率更高。 这个很不错吧?其实并不尽然,但不存在任何犯罪行为。 如果有天有关你私生活的所有细节内容被许多公司收集并外泄到互联网上,你会作何感想?与黑客入侵Ashley Madison交友网站不同的是,毫无疑问我们每个人都将难以幸免— 这里是与你有关的照片和视频。 大多数国家的法律并未明文禁止将面部识别技术用于商业目的,比如,未禁止随意对街上的行人拍照。越来越的人开始想知道如何才能在这些情况下躲避”无处不在”的监控摄像头,这并不让人感到惊讶。 想要知道更好的躲避摄像头方法,首先需要了解现代的图像分析方法。在某些情况下,有两种主要的方法。 我能看一下你的脸吗 第一种方法是将照片中某些指定标记与预建数据库相比较。这些标记可以是双眼间距、鼻子测量结果以及嘴唇形状评估等等。 这一方法与指纹识别十分相似。样本指纹通常事先采集并保存到数据库内。或许以后,我们还能将陌生人的乳头线与数据库内的样本进行比较。因此,面部识别的先决条件是有要寻找人的高质量照片(光线良好且是全脸照)。 那如何才能获得这些照片呢?来源各不相同。有可能是在制作打折卡时拍的照,也可能是有人扫描了贴有你照片的文档。 要欺骗传统的面部识别系统相对容易些。最简单的方法是低下头并且不要看摄像头。大多数标记只有以特定全脸角度拍摄才能测量,因此脸部倾斜的照片大多数情况下无法提供所需的数据。如果你戴一顶有帽檐的棒球帽,上面的摄像头(通常安装在某个高处位置)将变得毫无用处。 一些专家建议你在走过镜头时做鬼脸。这确实很有效,但却会引起过多的注意。因此这时你需要的是一副墨镜。 墨镜的好处在于能遮住眼睛,而这正是人脸在识别系统中”最有利用价值”的区域之一。普通的透光屈光镜无法掩饰照片上所需的细节,高级算法式就能轻松应对。而大尺寸的不透光眼镜对于传统系统而言却是一个极大挑战。镜像模型同样能借助反射光让摄像头无法拍摄正常图像。 你今晚的样子是… 像Facebook和Google这样的大型公司正在积极开发第二种人体识别方法,但选择的方式不尽相同。该方法基于机器学习算法和自动样本数据下载和上传技术,能将特定照片与所有互联网可用资源相对比。 这是一种更为灵活的方法且更难掩饰。即便用防毒面具将你的脸遮盖得严严实实,也无法保证不会留下一些蛛丝马迹,原因在于类似的系统通常不需要严格的预设标记。 他们可以将任何可用数据用作人体识别:你腿部的形状、你头发秃顶的区域、你的举止形态以及你的衣服等。目前Facebook在实验上有了一定进展:只要有足够数量的样本照片,从任意角度确认个人身份的精确度达到了83%。 这里的关键在于有足够数量用来比较的照片。如果只有一张样本照片的话,即时拍摄到再高质量的图像也很难识别成功。这也是为什么大数据技术和快速互联网搜索算法被推向了科技最前沿。 接下来会戳到广大用户的痛处:我们是否应在互联网上公开发布我们的照片?我们可以忍受Facebook或Google将我们的照片用作营销目的,因为在”大互联网兄弟”的背景下你根本无处可逃。然而,也没有人能阻止任何公司自由访问并在线挖掘需要的数据。 首先假定你的Facebook主页的隐私设置为”仅好友可看”。那在其他人的博文中随机出现你的照片呢?你LinkedIn上的个人资料呢?即使彻底远离社交网络也很难切断所有的照片来源。 对应的解决方案尚不清楚。最有可能的是,政府方面出台更加严格的生物识别市场法规,而社会大众将提高这方面的自我保护意识。 因此,现在是时候将个人照片视作与我们的文档或信用卡扫描同等重要的个人隐私。对于到处炫耀和晒自己照片的行为,我们并不推荐。  

LastPass用户需立即更改密码

LastPass作为一款流行的密码管理器,最近公开其遭到网络攻击。网络攻击者成功病毒感染了用户电邮地址、密码提示、每个用户的盐以及认证散列。密码本身并没有被病毒感染,原因在于该服务并未将密码保存在云端。然而,LastPass仍然建议用户更改LastPass主密码并启用多重认证。

CES 2015:四大可怕关键科技趋势

2015年国际消费类电子产品展览会(CES 2015)作为一场科技界的盛会,集中展出了众多新科技,每一项各家科技网站的记者都曾多次报道过。对于完全沉浸于信息安全世界的我而言,参加本次展会的心情可谓相当复杂。 一方面,CES展出了在未来5-10年内值得期待的主要科技趋势:智能家居、联网汽车、虚拟现实以及生物识别/医疗保健领域的身体状况传感器–即目前最热门的’物联网’概念。 另一方面,开发商和供应商对待用户数据的随意态度令人震惊。除了缺少例外情况以外,我还注意到像隐私、安全和加密这样的重要方面显然没有得到足够的重视。 市场渴望推动这一科技,因此不遗余力地宣传’物联网’概念。相关的问题类似于’需要收集什么类型的数据’和’谁将接收这些数据以及如何接收?’,当然最关键的问题’我们会不会询问用户是否愿意外泄自己的数据?’不是被忽略,就是以供应商想要的方式进行询问。 https://plus.google.com/u/0/116816299317552146445/posts/fj1GbdvSVpp 在展会上,每次我想向展商提出这几个简单问题时,总会有一种强烈的感觉,就好像自己身处星球大战的克隆人部队中,而这些”克隆人士兵”都被皇帝帕尔帕廷下令执行”66号密令”。比较友好的厂商都会将我看成疯子:”伙计,你在说什么呢?我们在说的是价值数十亿美元的市场–无论如何用户将必须接受万一隐私遭到侵犯的情况发生!” 因此用户隐私遭侵犯的可能性很大。而一旦有任何尝试窃取我的隐私权的话,我一定会非常愤怒。这也是为什么我决定写这篇博客的原因,希望能够引起你们的重视,换个角度来重新审视CES上的主要科技趋势。 1. 无人驾驶汽车 坦白说,我并不认为我们迫切需要无人驾驶汽车。这一营销策略的宣传口号是:减少交通事故中的人为因素,进而最终完全消灭。这听起来的确合情合理,但仍然存在不少问题。 首先涉及的是劳动力市场和人员雇佣问题。显然,最渴望使用无人驾驶汽车的将会是出租车公司。仅纽约一地,就有4万辆出租车。如果要计算全世界出租车数量的话,这一数字根本无法想象,几千万辆都不止。 如果数百万领着微薄薪水却干着辛苦活的出租车司机同时失业的话,全世界的犯罪率将急剧上升。令人好奇的是,目前为止我还未看到过任何有关这两个紧密联系趋势的分析性报告。 然而,上述所提到的状况只是一个更大问题的一小部分而已。想要将无人驾驶汽车真正推入市场,统计工作极其重要–而要完成整个信息统计工作,需要收集数以万亿计的路线、用户和交通负载等的数据。 无人驾驶汽车并非如普通用户所想象的那样,’自己学习’驾驶汽车:其工作原理仅仅是依靠周遭环境和条件,借助统计数据生成行为模式。而这些模式的生成完全来自对海量已知场景的分析。问题是谁来将所有这些数据输入计算机?当然,除了”我们用户自己”以外还能有谁。 所有有关我们驾驶习惯的数据(例如:我们的行为方式、什么地方应该转弯以及最重要我们行驶的地方和时间)都将被发送至…呃某个地方。 相当长一段时间里,没有人对此提出任何的疑问。但近期打车软件Uber崩溃事件表明这一态势将不会持续太久:许多人发现一些陌生的中介竟然能够实时检测到他们的精确位置。甚至更令人担忧的是,该家中介竟然拥有某人整个一生的所有驾驶路线记录。 从理论上说,无人驾驶汽车和出租车的开发商将竭尽全力保护用户数据免于落入网络骗子的圈套。但遭受威胁的风险依然很高,因此安全努力最终将化为泡影。目前问题在于是否信任服务提供商。提供数据安全和保护是一项复杂且需要大量科学知识的工作,而大部分服务提供商恰恰缺少这项能力。相信他们能够正确保护数据安全就好比相信一个孩子拥有数百万美元一样荒唐。 我并不是说无人驾驶汽车一无是处。我只是想传达这样一个讯息,在将这一技术部署在汽车上并实现商业化之前,有关方面应确保进行相关立法以保护所收集用户数据,以及规范服务提供商采用可靠和透明方法将用户数据从自己的数据库中彻底清除。 2. 无人机 今年CES展的许多展台还售卖无人机。此外价格也越来越低廉,大部分售价在199美元–499美元之间。大多数无人机装备有摄像机(极限运动专用相机或可安装智能手机)。同时配备了各种技术—智能稳像算法和基于传感器的导航和飞行系统—同时这些技术依然在不断改进,除了一样东西:飞行法规和侵犯隐私立法。 你只要在YouTube上快速搜索,就能看到许多使用无人机进行的恶作剧,包括:在窗外偷窥他人隐私、秘密监视以及许多成人式的恶作剧。记者John Oliver针对此类事件进行了一系列专题报道。 鉴于目前缺乏有关无人机的适当法规,因此现实中很可能被使用于任何目的。如果有一天你发现有无人机在你家的阳台对面盘旋并录制视频的时候,千万不要惊讶。 就目前而言,无人机并非是很大的威胁。这只是因为该技术还未发展到一定程度。但是我们都清楚一个事实,那就是任何一项科学技术都在以”火箭”的速度发展,不是吗? 3. 医疗/健身传感器 在今年的CES展商,我总共看到了17家提供健康追踪器产品的参展商。可以想象目前该新兴产品的巨大市场规模。智能健身手环有计步、测心率或其它生物特征参数的功能,除了大型厂商以外,一些小型新兴公司也同样生产此类产品,因此市场规模巨大。 作为早期智能手环的使用者,在使用了两年时间后,我深刻感受到此类产品对健身根本毫无帮助。

不要将你的密码遗留在”付款台”上

在保护你的个人数据、银行档案和其它各类重要信息的整条安全链中,你知道哪个环节是最薄弱的一环吗?其实就是你自己。多年以来,安全系统真正无法抵御的最大威胁即是人为因素。 如今,来自于安全部门的IT专家们给出了关于”可行和禁行”问题的答案:为员工设定过多的禁止行为会使他们开始无视公司规定或无法高效工作。反过来,赋予他们过多自由则会将公司重要信息至于风险之下并使他们宝贵的个人档案资料迅速遗失。 将你的密码遗留在”付款台”上:”请勿打扰”并不适用于房内平板电脑, https://securelist.com/blog/research/67318/leave-your-passwords-at-the-checkout-desk/ …(@dimitribest) 当意识到我们自己才是造成个人数据外泄的罪魁祸首时,才恍然大悟。每次,当你在未知设备上输入你的个人账户信息后,离开时会话依然开启,这时你的个人数据极易遭受攻击。有时候你所遗留的很可能是一些极其重要的信息。比如,可能连接你信用卡的Apple ID和Google Wallet(谷歌钱包)。遗憾的是,在我们使用移动设备时,只有一部分人会想到这一点。 让我们来说一个真实发生的事件,恰巧就让我们GReAT团队专家Dmitry Bestuzhev碰到了。 @dmitribest在酒店房间的房内iPad中发现了属于之前房客的大量#个人数据# 除了提供其他优质服务以外,许多酒店还为房客精选准备了免费的平台电脑(机场和饭店也有类似服务)。房客们常常会用来玩乐和消磨时间;此外,还可用于浏览Facebook的最新内容、查看自己的iMessages和电子邮箱,或者还可访问Google阅读新闻,登录Play Store下载最新上架应用,进行视频通话或访问互联网进行各种放松和娱乐活动。 Dmitry在使用房内iPad时大为惊讶:平板电脑上竟然遗留了之前许多房客的大量私人信息。 Dmitry在酒店房间内也发现一台免费的iPad。他在使用这台设备时大为惊讶:平板电脑内遗留了大量属于之前一些房客的私人信息。 你无需是IT高手就能轻松收集各种保存于这台iPad 的数据,其中有带预存密码的遗留账号、社交网络上的授权会话、来自浏览器的搜索结果(包括查询色情内容的其他历史记录)、自动保存至通讯簿的全部联系人列表和iMessages消息,甚至还有怀孕日期计算器。 要查明这名粗心大意的孕妇身份其实并不难,因为她”大方地”将自己的个人联系信息留在了这台设备内。大部分会话处于开启状态,这意味着如果有不法分子想冒充这些房客发布或发送讯息将变得非常容易。可以想象一下,如果有人冒充你写一些下流的内容发给你的老板或同事,其结果可想而知。 Dmitry花了点时间Google了一下,发现其中有些房客竟然为政府工作。如果有人利用这些数据访问公司信息的话,无疑将导致一次严重的数据外泄事件。 很容易让人想起类似数据盗窃的场景。犯罪分子完全能够在你办理入住手续前先潜入房间并安装应用,从而追踪你的密码和其他信息。在成功盗窃后,犯罪分子可采用多种方式以达到其犯罪目的:对受害人进行勒索、在网络上发布不宜照片(你还记得詹妮弗•劳伦斯的照片泄露事件吗?)以及使用你的iTune下载大量收费音乐文件等等。 因此,我们在使用公共设备时一定不能粗心大意。为了保持个人数据的安全,可遵循以下简单的使用规则。首先:永远使用强大的密码。其次:只连接可靠且安全的Wi-Fi网络。最后:在涉及个人信息时,只使用自己携带的设备(从目前恶劣的网络安全状况来看,这意味着永远都需要遵循)。简而言之,公用设备是万不得已下的最后选择—建议永远也不要使用。 如何记住强大且唯一的密码 http://t.cn/R7ItkKq —— 尤金-卡巴斯基