你的电子邮件被“偷窥”了么?
6/19/2009 03:04:00 下午 发帖者 流水弦歌
让我们先设想一下生活中的这个常见情景:你有一个邮件包裹,要寄给海外的朋友。你将包裹密封好,出门,找了最近的一家邮局,填写邮寄单,称重,付费。然后安心回家等待,你知道只要不出任何意外,无论是通过海航、或是航空,只要经过一段必要的时间,那个包裹最后一定能够到达朋友的手中,而当朋友打开它的时候,它一定就像你刚才把它密封好交付给邮局时候那样的完整。
这就是通常我们日常生活里所熟悉的“邮件投递服务”,我们都称之为“可靠的”服务。
何谓可靠?
一、它会大体按照预期按时送达。虽然随着距离的远近,传输方式的区别,到达的时间可能有快有慢,但这并不影响人们的预期,比如国内大城市之间的邮件 3-5 天之内送达,边远地区十天半个月,国际邮件半个月到一个月之间,等等。
二、它是可追溯的。如果地址不小心写错,或者“查无此人”,这件无法送达的邮件包裹将通过原始途径逆溯回到本人,换句话说,不会出现“石沉大海”的情况。
三、它在中途是不被拆解的。无论邮局的业务员、中途投递的邮递员,或是只负责集装箱的搬运工,都是不允许在中途将邮件包裹打开,检查里面的内容的。因此,我们大可以让自己放心,无论自己在里面写了什么隐私,或是放了什么稀奇古怪的东西,我们都不会担心它被第三者看到,这是邮递过程所必须遵守的“诚信”准则之一。
尽管在现实中,这三条理想标准可能无法真正完满的实现,比如包裹因各种原因延期、因事故或人为因素导致丢失、包裹破损以致内容外泄,等等,但这些毕竟都是非常小概率的事件。我们仍然可以有理由从整体上相信,“邮件投递服务”是“最可靠”的服务之一。
换到互联网上,同样是电子邮件投递服务,与现实尽管是类似的,然而发生了一些微小的变化。
人们有两种最基本的方式来发送电子邮件,一种是 Web 方式,另一种是 SMTP (简单邮件传输协议);
同时人们也有三种最基本的方式来读取电子邮件,一种是 Web 方式,一种是 POP3 (邮局协议),还有一种是 IMAP (交互式邮件存取协议)
理论上如果网络的物理连接没有问题,邮件服务器的配置没有故障,我们所希望的“可靠”服务的前两条都是可以达到的。
但是第三条,邮件内容是否被拆解,会不会被嗅探监听甚至重新组装。以上的这几种方式,都无法保障这一点。
为什么呢?原因只在于:最基本这几种基于 TCP 层的网络传输协议,都是明文传输的。明文传输则意味着这一点,假如我是一个技术黑客,如果我在电信骨干路由器相同网段有一台机器,那么我可以通过最简单的网络嗅探工具监听常用的网络服务端口,获取以上的这些 Web,SMTP,POP3,SMTP 的所有数据包,由于数据是明文传输,那么我便很容易将这些数据包根据 TCP 协议的规范重新组包,获得原始数据的拷贝,从而获取他人的隐私。
甚至,如果这个嗅探工具处在网络数据包转发必经的路由器或防火墙上,就可以将数据包拆装后对邮件来源、去向、正文内容等进行关键词过滤,凡符合条件的才进行转发,而不符合要求的则可以被记录、丢弃、或篡改。
说到这里,你肯定觉得这故事快成天方夜谭了——谁会去花这么大工夫,拆解所有人的邮件,它不是有病么?
这你可想错了,我们国家政府每年花大量巨资人力搞的“金盾工程”,俗称 GFW 的那道墙,它可就是像我上面说的那样,位于国家骨干路由器出口上,忠实严格地对所有出口的网络请求和返回内容,进行筛选过滤呢。
更荒唐的是,不仅于此,工信部几天前强令的一纸批文,要求2009.7.1之后所有国内计算机销售必须预装的所谓“绿坝—花季护航”软件,它可就是在您自己的机器上——距您最近的地方筑了另一道墙,也打算更忠实严格地对本机的所有网络请求和返回内容,进行筛选过滤呢。
打着所谓“保护未成年人”反色情反低俗的旗号,实则是建立更广泛更严密的网络审查监管,在意识思想领域搞白色恐怖,扼住信息的喉咙,迫使民众恐惧、自我审查,以达到政府的愚民教化效果。
这点阴暗龌龊的伎量,明眼人一眼就看得出来。反色情反低俗是小,令民众愚昧噤声是真,司马昭之心,恐怕是路人皆知吧。一旦加了那两道外墙和内墙,网络天地尽管如此之大,可您那点隐私还有容身的地方么?
作为一个理智成熟的成年人,我们有理由运用各种方式,来保护自己的正当权益不受任何非法侵害。这非法侵害,便来自于 GFW 、绿坝、以及其他政府种种可能尚未出台的阴谋手段。
首先我们是要坚决抵制“绿坝”,我们不能容忍这样一种涉嫌垄断和侵犯民众隐私的软件,以强制的行政手段和浪费纳税人税收的方式,被强行(或以附盘的方式)预装到我们的计算机上。为了我们自己最近的电脑终端能够最真实的表达出自己的声音,第一手接受包裹投递的邮局业务员必须完全忠实可靠,我们不能容忍这个新派来的业务员是潜伏的间谍,不,绝不能容忍!
其次我们是要对 GFW 这一浪费巨资人力的狗屁工程加以毫不留情的贬斥,让天下所有人都知道,那个集装箱码头的搬运工,装得挺道貌岸然的搬运工,它这些年来一直在偷看我们的包裹!谁 TM 给你这个权力去检查每个包裹了?谁 TM 给你这个权力还敢丢弃我们的包裹了?把你的本职工作干好!人民愿意付费给你,让你干得是蓝领搬运工,谁 TM 授权付给你多余白领的工资让你干高级间谍的技术活了?你再这么胡作非为,我们都换用别家的服务!(翻墙)
最后是我们一定要加强自我的防范意识,把那包裹打牢一些,里三层外三层,不要嫌麻烦,不要偷懒——那帮兔崽子龟孙子们拆包裹的时候可从来没嫌麻烦偷懒过。害人之心不可有,可是防人之心不可无啊,人活在中国,只要你没法出国躲出去,唉声叹气当缩头乌龟是没有用的,人得勒紧裤腰带把自己保护起来,免得不小心给哪位官老爷看上了动手强奸,你稍抵抗两下还给判有罪。
请在各种可能情况下使用加密手段,这只不过是举手之劳,就能够把你的隐私保护得更好。
(1)使用加密的传输协议,相对于 http 更安全的 https, 以及支持 TLS/SSL 加密的 (SMTP, POP3, IMAP)
当你通过web 访问邮箱的时候,切记一定要寻找一个支持 https 加密访问的邮件服务商。如果这个邮件服务商提供非 web 页面的其他访问方式,一定要用支持 TLS/SSL 的加密方式,无论是发信(SMTP),取信(POP3)还是交互式管理信箱(IMAP)。
月光博客有一个对目前各邮件服务提供商的综合评价贴可供参考。基于上述的安全考虑,具有以上所有功能,且位于国外、不会受到国内内容审查限制的 Gmail 几乎成为首选,以下是在 Gmail 和邮件客户端中如何设置这些加密方式的帮助链接:
- 启用 HTTPS 设置
- Firefox 浏览器使用 256 位加密长度的方法(Google 服务缺省采用 128 位密钥,但同时也支持 256 位密钥强度,客户端浏览器使用 256 位更安全,更放心)
- 邮件客户端配置加密的 SMTP 和POP3
- 邮件客户端配置加密的 SMTP 和 IMAP
(2)对于重要邮件,将信件内容加密,采用数字签名,以防中途被截获窃听和篡改。
你不妨去试一下,把以上这几方面都做到了,你就可以把自己的“电子邮件服务”变成真正“可靠的”网络服务,不用再担心自己的电子邮件内容会不会被谁“偷窥”了。
做完了这些,你就可以泡一杯茶,让自己轻松一下。因为你知道,“经过一段必要的时间,那邮件最后一定能够到达朋友的手中,而当朋友打开它的时候,它一定就像你刚才把它密封好发送的时候那样完整。”
2009年6月19日 19:06
如果可以避免进行这些工作不是更好吗,而且更多的人也不回进行,从根本上解决问题才是根本,可是没有办法。
2009年6月19日 23:37
什么是最根本?IPv6?
中国嚷嚷着 IPv6 很多年了,不过要真想实行,没个十年恐怕下不来。在此之前,民众早就裸奔多年了。
学学保护自己不好么?起码我写一篇小文,说不定能唤醒几十、上百个人的隐私安全意识,这份自觉的“个人意识”要比技术进步带来的影响要大和普遍得多。