你的计算机里储存的数据非常机密么?由于一些Internet蠕虫的泛滥以及软硬件监视工具的出现,公司与员工之间互相不信任,以及9.11灾难(它引发了许多践踏隐私权和人权的行为),你在计算机所做操作可能都会被报告给侦探所、政府机构、老板、甚至整个世界。在下文里,我们会介绍一些流行的监测软件和硬件,我们还会解释它们的工作原理,以及它们是如何被使用、滥用以及如何探测到它们的存在。
硬件密码记录器
算机键盘活动的设备。KeyGhost(www.keyghost.com)是一家新西兰公司,它提供两种硬件密码记录器:一种使用一根连接到键盘的电缆(报价从139美元到409美元);另一种是一个内置了这种记录器的键盘(报价为189美元或者更高)。该公司宣称他们生产各种各样的可以用于不同品牌计算机的键盘。如果你所用的键盘是很特别的,KeyGhost可以将其改装,在键盘里加装一个记录器。内置或者外置版本的记录器的最大记忆容量都可以达到2MB,这足够存储一年的键盘输入的密码内容。Spy Store(www.thespystore.com/pcsurveillance.htm)展示了更多的更小巧的密码记录器(报价为139美元)。它的存储容量小一些,但是也足够使用了。
硬件密码记录器通常不会被软件探测出来,对于非专业用户很难会察觉这种设备。它们通常可以和多数操作系统兼容,而且不需要复杂的安装过程。这类设备的最大缺点就是它不能捕捉屏幕上出现的、不是通过键盘输入的密码,因此硬件设备更适合用于监测少量但是重要的信息。
间谍程序
记录键盘活动的硬件属于新设备,而此类软件产品早就出现了。早在1988年,我就使用过一个叫做DOS STR的键盘活动记录软件,它使用NetBIOS协议。我这样做的主要动机是为了保证另一台编程用计算机在系统崩溃前保存自己所做的工作。
今天的间谍程序不仅仅记录键盘活动,它还可以选择捕捉的数据;管理员可以用这个软件在信息中搜索特定的内容。WinWhatWhere Investigator(www.winwhatwhere.com)是一家生产监视产品的公司,它的产品可以用来捕捉键盘活动、输入了特定词汇的电子邮件信息(即使你随机改变邮件名称或者存储地点也没关系)。如果被入侵的计算机安装了视频捕捉头,WinWhatWhere还可以定时拍摄快照,然后将照片偷偷发送出去。
SpectorSoft(www.spectorsoft.com)有一款叫做Spector Pro的软件,该软件可以捕捉屏幕信息,记录电子邮件内容、聊天信息以及键盘活动。简单的说,如果你对某人的计算机中的某些内容感兴趣,你就可以知道他的电子邮件记录、聊天记录以及当前屏幕内容。类似的产品还有Codex Data System公司的D.I.R.T软件。此外你还可以在Internet上找到很多免费的记录键盘活动的软件。不过,记录软件很容易被系统检测软件探测出来,而且当你对操作系统进行配置或者重新安装时,就会将监视软件去掉。
从某些角度来看,间谍程序可能是一个病毒、蠕虫或者木马程序,通过电子邮件或者感染文件入侵系统。BackOrifice,一个由叫做The Cult of the Dead Cow的黑客组织开发的软件,可以通过上述的方法入侵系统,然后监测并且控制被入侵的计算机。最近出现的几个蠕虫程序,例如BadTrans.B,会试图记录计算机里的密码以及信用卡资料,然后通过电子邮件或者IRC聊天程序将内容发送给病毒的制造者。
网络嗅探器
除了上述的监测程序以外,还有一类监测方法:在同一个局域网里的计算机或者计算机与Internetl连接的地方上安装一个网络嗅探器的软件。嗅探器会记录入侵计算机与其他机器之间的原始信息,之后再对记录的信息进行扫描。
只有几种Internet协议采用加密手段。通常状态下,接收和发送的电子邮件都是通过纯文本的方式传递的,电子邮件账户密码通常也是不加密的。如果使用了加密手段,键盘活动记录器还会记录打开加密数据的密码。
美国FBI的Carnivore系统安装在ISP端用来收集信息,它也是一种网络嗅探器。普通人使用的嗅探器工具也可以通过Internet免费获取,它们不仅可以探测局域网里的数据流,甚至可以监测被交换机保护的数据。
即使企图要探测你的人没有到计算机的物理连接,你也不能掉以轻心。网络黑客可以通过网络上的系统漏洞进入你所处的局域网,并且安装嗅探器。最近发现的有关SNMP服务的Bug会给入侵者提供很多便利,他们可以控制交换机、路由器、集线器等等网络设备。(你可以在CERT的网站www.cert.org/advisories/CA-2002-03.html上找到更多的信息)
调查软件
调查软件一般是用来提取隐藏的证据,主要是警察调查用的或者庭审调查使用。很多此类软件都可以恢复已经删除的软件,不过这样做的前提是这些软件并没有被真正的删除。数据仍然存在,但是该软件所处空间已经被标记删除,可供未来存储软件之用。
商业用途的软件如Roxio的GoBack以及Windows XP的系统备份功能等等,都可以将已经删除的数据恢复。计算机的交换文件是操作系统在内存容量不够时用来存储临时文件的,他也可以保存你并没有保存在计算机里的有价值的信息。对于调查软件而言,浏览器的缓存、cookie以及历史纪录都是需要检测的地方。
无线应用
在上一期的技术与应用栏目里,我们讨论过802.11b无线局域网络的安全问题。无线网络越来越普及,并且已经引起了黑客们的注意。无论你通过何种方式,只要身处无线网络密集的区域,你就会发现很多地方的无线网络存在漏洞,有时候甚至一个街区就有好几个这样的有问题的局域网络。
小型的无线相机则是另一种跟踪他人踪迹的方法。尽管X10无线视频相机有一些讨厌的弹出广告会让浏览者产生抵触情绪,这类设备还是会带来一大堆生意的:很多人利用这种照相机来监视邻居、孩子、保姆。虽然这类设备不能从计算机里提取数据,但是它们可以窥探你的个人隐私,并且将相片通过无线方式发送出去,让别人知道你正在做什么。
不仅如此,放置这种相机的人还能在监视范围内看到其他人的活动。如果你驾车在大学校园里兜风,会发现通过X10接收器和天线可以看到很多宿舍、盥洗室的照片。在商业区扫描波段,你会看到办公室的嘈杂甚至服装商店的试衣间。这些安装了无线相机的地方都会使用软件,这类软件会控制相机拍摄照片,并有可能将照片保存。
对策
怎样才能检测并且避免被窥探呢?你应该开始进行一些安全方面的训练,并且知道你要找什么。
硬件密码记录器很难被发现,尤其是当它们被放置到键盘里面的时候。你能做的就是在自己的键盘上做一个只有自己才知道的记号,还应当注意连接线缆的长度和类型,这样可以发现键盘是否被做过手脚。当然,如果你出差的话,键盘还是可能会被做手脚的,但这种情况几乎不可能出现,除非你掌握一些别人特别感兴趣的信息。
多数监视程序都会试图将自己隐藏起来。但是如果你记录硬盘空间的话,当出现不知名的硬盘空间损耗就是一种系统可能被监视的信号。如果监视程序不出现在Windows的任务管理器当中,它还是会在微软的msinfo32程序中以一个新的目录出现在软件环境中。当硬盘出现异常活动时,这也是一种系统被入侵的信号(将你的屏幕信息复制要耗费的内存)。类似ZoneAlarm(www.zonelabs.com)的个人防火墙软件可以在别人试图访问关键数据时对你提出警告。这类软件还可以告诉你信息被送往何处。
杀毒软件可以预防某些木马程序和病毒,但是它不应该是你的唯一防线。Network Associates和Symentec都显示出他们与法律机构的合作态度,让软件只具有合法的电脑监控权利。不过舆论并不支持所谓的合法监督,反对任何可能操纵他的人,而且也看不出这样做有多安全(尤其是有恶意程序编制者的时候)。
为了防止他人从已删除的资料中、浏览器的缓存里、cookie、历史纪录里发现可能会令人尴尬的信息,最好使用类似Evidence Eliminator(英国Robin Hood Software公司的产品,www.evidence-eliminate.co.uk)、Shredder(Gale-Force Software的产品,www.gale-force.com)。我们杂志的实用工具栏目也有一个可以永久删除选定文件的免费工具软件(www.pcmag.com.cn/utilities)。
很多Internet上面的间谍商店都出售哪些可以探测无线电波信号里的音频漏洞以及隐藏照相机的设备。正确地使用这些设备需要进行一些研究,不过此类设备能够扫描的字段也是有限的,许多家用电器都会对它们产生干扰。此外如果监视设备不是持续发送信号,你也无法探测到它们,除非你恰好在它们工作的时候扫描频率。
需要制定法律
你有权利进行合法的监视么?没有,隐私权相关的法律条文正在加强,而且不同的地区也会在规定上有差异。尽管很多欧洲国家认为对个人的监视是侵犯人权的行为,而美国法律通常允许这种行为,自从9.11袭击之后美国政府监视个人行为的权力变得更大了。如果你对这类信息非常感兴趣,可以查看Electronic Privacy Information Center的网页www.epic.org。
