当当正版 捍卫隐私 [美]凯文·米特尼克（KevinMitnick）罗伯特·瓦摩西(RobertVamosi) 著 湛庐文化 出品 9787213094149 浙江人民出版社

詹妮弗·劳伦斯（JenniferLawrence）度过了一个艰难的周末。2014年的一个早上，这
位奥斯卡金像奖得主与其他一些名人醒来后发现，他们私密的照片正在互联网上掀起轩然
大波，其中很多是裸体照片。
现在，花点时间回想一下当前保存在你的计算机、手机和电子邮件里的照片。当然，其
中很多都是完全无害的。就算全世界都看到你那些日落照片、可爱的家庭快照和头发乱糟糟
的滑稽自拍，对你来说也无关紧要。但你愿意分享你所有的照片吗？如果这些照片突然全都
出现在网上，你会怎么想？所有照片都记录了我们的私密瞬间。我们应该能够决定是否、何
时以及怎样分享它们，而云服务并不一定总是我们的选择。
2014年那个漫长的周末，媒体上充斥着詹妮弗·劳伦斯的故事。这是被称为
“theFappening”的巨大泄露事件的一部分。在这一事件中，蕾哈娜（RobynRihannaFenty）、
凯特·阿普顿（KateUpton）、凯莉·库柯（KaleyCuoco）、阿德里安妮·库瑞（AdrianneCurry）
及其他近300位名人的私密照片被泄露。这些名人中大多是女性，她们的手机照片通过某
种方式被人获取并共享出来。可以预见，尽管有些人会对查阅这些照片感兴趣，但对更多人来说，这是一个让人不安的警示，因为这样的事情也可能会发生在他们身上。
那些人究竟是如何获得了詹妮弗·劳伦斯等人的私密照片呢？
这些名人都使用iPhone手机，人们早的猜测集中于一次大规模数据泄露，这次泄露
影响到了苹果公司的iCloud服务，而iCloud是iPhone用户的一个云存储选择。当你的物
理设备存储空间不足时，你的照片、新文件、音乐和游戏都会被储存到苹果的服务器上，而
且通常只需要少量月费。谷歌也为安卓系统提供了类似的服务。
几乎从来不在媒体上评论安全问题的苹果公司否认这是他们的错误。苹果公司发表了一
份声明，称该事件是一次“对用户名、密码和安全问题非常有针对性的攻击”，该声明还补
充说“在我们调查过的案例中，没有一项是由苹果系统（包括iCloud和‘查找我的iPhone’）
的任何漏洞导致的”。
这些照片早出现在一个以发布被泄露照片而出名的黑客论坛上。在那个论坛上，你可
以看到用户在活跃地讨论用于暗中获取这些照片的数字取证工具。研究者、调查者和执法人
员会使用这些工具从联网设备或云端获取数据，这通常发生在一场犯罪之后。当然，这些工
具也有其他用途。
手机密码破解软件（ElcomsoftPhonePasswordBreaker，简称EPPB）是该论坛中被公
开讨论的工具之一，该工具的目的是让执法机构和某些其他机构可以进入iPhone用户的
iCloud账号。而现在，该软件正在公开销售。这只是论坛中的众多工具之一，似乎也是
受欢迎的一个。EPPB需要用户首先拥有目标iCloud账号的用户名和密码信息。但对使用
这个论坛的人来说，获取iCloud用户名和密码并不是什么难事。在2014年的那个周末就
发生了这种事，某人在一家流行的在线代码托管库（Github）上发布了一个名叫iBrute的
工具——这是一种专为获取iCloud凭证而设计的密码破解系统，几乎可以用在任何人身上。
同时使用iBrute和EPPB，就可以冒充受害者本人将其所有云存储的iPhone数据全部
备份下载到另一台设备上。这种功能是有用处的，比如当你升级你的手机时。但这个功能对
攻击者也很有价值，他们可以借此查看你在你的移动设备上做过的一切。这会比仅仅登录受
害者的iCloud账号提供更多的信息。
取证顾问和安全研究者乔纳森·扎德尔斯基（JonathanZdziarski）告诉《连线》杂志，
他对凯特·阿普顿等人泄露的照片进行了检查，结果与使用了iBrute和EPPB的情况一致。
取得用于恢复iPhone的备份能给攻击者提供大量个人信息，这些信息之后可能会被用于敲
诈勒索。
2016年10月，36岁的宾夕法尼亚州兰开斯特人瑞安·柯林斯（RyanCollins）因“未
经授权访问受保护的计算机获取信息”被判处18个月监禁。他被控非法访问超过100个
苹果和谷歌电子邮件账号。
你必须设置一个强密码
为了保护你的iCloud和其他网络账号，你必须设置一个强密码（strongpassword）。
然而，以我作为渗透测试员（靠入侵计算机网络和寻找漏洞赚钱的人）的经验，我发现很多
人在设置密码方面都表现得很懒惰，甚至大公司的高管也是这样。比如索尼娱乐（Sony
Entertainment）的CEO迈克尔·林顿（MichaelLynton）就使用“sonyml3”作为自己的域账
号密码。难怪他的电子邮件遭到黑客攻击并被传播到了互联网上，因为攻击者已经获得了访
问该公司内部几乎所有数据的管理员权限。
除了与你工作相关的密码之外，还要注意那些保护你私人的账号的密码。即使选择一
个难以猜测的密码，也无法阻挡oclHashcat（一种利用图形处理器即GPU进行高速破解的
密码破解工具）这样的黑客工具破解你的密码，但这会让破解过程变得很慢，足以使攻击者
转向更容易的目标。
我们可以大致猜到，2015年7月阿什利·麦迪逊（AshleyMadison）被黑事件曝光的密码中有一些（包括银行账号甚至办公电脑密码）肯定也被用在了其他地方。在网上贴出的
1100万个阿什利·麦迪逊密码的列表中，常见的是“123456”“12345”“password”
“DEFAULT”“123456789”“qwerty”“12345678”“abc123”“1234567”。如果你在这
里看到了自己的密码，那么你就很可能遭遇数据泄露，因为这些常见密码都被包含在了网上
大多数可用的密码破解工具包中。你可以随时在www.haveibeenpwned.com网站上查看你的
账号过去是否暴露过。
在21世纪，我们可以做得更好。我的意思是要好得多，这要用到更长和更复杂的字母
与数字搭配。这可能听起来很难，但我会向你展示能做到这一点的一种自动方法和一种手动
方法。
简单的方法是放弃自己创造密码，直接自动化这个过程。市面上已经有一些数字密码
管理器了。它们不仅可以将你的密码保存在一个加锁的保险箱中，还允许你在需要它们的时
候一键访问，甚至可以在你需要时为每个网站生成一个新的、安全性非常强的独特密码。
但要注意，这种方法存在两个问题。一是密码管理器需要使用一个主密码进行访问。如
果某人刚好用某种恶意软件侵入了你的计算机，而这个恶意软件可以通过键盘记录器
（keylogging，一种能记录你的每一次按键的恶意软件）窃取你的密码数据库和你的主密码，
那你就完蛋了。然后那个人就会获得你的所有密码。在参与渗透测试期间，我有时候会使用
一个修改过的版本来替代密码管理器（当该密码管理器开源时），该版本会将主密码发送给
我们。在我们获得客户网络的管理员权限之后，这个工作就完成了。然后我们就可以使用所
有的专用密码了。换句话说，我们可以使用密码管理器作为后门，获取进入王国的钥匙。

●你的密码可以被轻易破解？
除了你，还有谁在读你的电子邮件？
你的手机就是一个窃听器？
勒索病毒是如何一步步诱惑你落入陷阱的？
你是否意识到了隐私的重要性？在你不知情的情况下发生了什么？
……
你的每一次鼠标点击、浏览的每一个网站，都有人看在眼里。
人脸识别、无人机、智能联网汽车、社交网络……都在泄露你的隐私。
你可以跑，却无处躲藏！
●《捍卫隐私》将为你揭示关于数据时代的真相，那就是：每个人的隐私都处在被泄漏的危险
边缘。作者凯文·米特尼克和罗伯特·瓦摩西首先从个人角度出发，科普每个人都应该掌握的隐私
安全之道；并运用生活中真实的故事和生动的案例，描绘出与隐私*为相关的6大未来场景，
教你如何掌握隐身的艺术。

凯文·米特尼克
●1963年8月6日出生于美国洛杉矶，是个被美国联邦调查局通缉的黑客，有评论称他
为世界“头号电脑黑客”“地狱黑客”。
●曾凭借高超的黑客技术入侵北美空中防护指挥系统、美国太平洋电话公司系统，甚至入侵了
联邦调查局的网络系统。
●现为网络安全咨询师，创立米特尼克安全咨询公司（MitnickSecurityConsultingLLC），
其客户包括数十位来自《财富》500强企业和全球许多国家的重要人士。
●《时代周刊》封面人物，畅销书《反欺骗的艺术》《反入侵的艺术》作者，好莱坞电影《战
争游戏》《骇客追缉令》角色原型。
罗伯特·瓦摩西
信息安全专家，新思科技（Synopsys）安全战略官。

推荐序无隐私时代，你需要保护你的一切
前言我们生活在隐私的假象之中
部分人人都该知道的隐私安全之道
01双因素认证，化解密码安全的危机
你必须设置一个强密码
用隐晦的方式把密码写下来
密码字符好超过25位
密码、图案、指纹，哪个才能保护好你的移动设备
如何设置安全问题
双因素认证，截至目前安全的解决方案

给每个人的建议
02匿名电子邮箱，逃离监控之网
给你的邮件上锁
如果双方都是完全匿名的，他们如何知道谁是谁
端到端加密
人人都处在监控之下
你需要一个洋葱路由器
如何创建匿名电子邮箱
03加密通话，免受与攻击
手机本质上就是一个追踪设备
如果你可以渗透进SS7，你就可以操纵通话
加密也无法保证通话的私密性
在移动设备普及之前，窃听就已经存在了
数字电话让监视更简单
端到端加密移动VoIP
04短信加密，预防信息泄密
短信并不是直接传输的
关于第三方应用，你不知道的事
运动中的数据
如何找到强加密的方法
05关闭同步，伪造你的一切踪迹
无痕浏览，你的一切踪迹都将消失
只相信互联网的安全证书

真实身份无处隐藏
16九个步骤，成功实现匿名的实践指南
匿名步：购买一台单独的笔记本电脑
匿名第二步：匿名购买一些礼品卡
匿名第三步：连接Wi-Fi时修改你的MAC地址
匿名第四步：匿名购买一个个人热点
匿名第五步：匿名创建电子邮箱
匿名第六步：将礼品卡换成比特币，并进行清洗
匿名第七步：如果匿名性受损，那就再匿名一次
匿名第八步：随机改变你的正常打字节奏
匿名第九步：时刻保持警惕
致谢
注释

●你的密码可以被轻易破解？
除了你，还有谁在读你的电子邮件？
你的手机就是一个窃听器？
勒索病毒是如何一步步诱惑你落入陷阱的？
你是否意识到了隐私的重要性？在你不知情的情况下发生了什么？
……
你的每一次鼠标点击、浏览的每一个网站，都有人看在眼里。
人脸识别、无人机、智能联网汽车、社交网络……都在泄露你的隐私。
你可以跑，却无处躲藏！
●《捍卫隐私》将为你揭示关于数据时代的真相，那就是：每个人的隐私都处在被泄漏的危险
边缘。作者凯文·米特尼克和罗伯特·瓦摩西首先从个人角度出发，科普每个人都应该掌握的隐私
安全之道；并运用生活中真实的故事和生动的案例，描绘出与隐私*为相关的6大未来场景，
教你如何掌握隐身的艺术。

凯文·米特尼克
●1963年8月6日出生于美国洛杉矶，是个被美国联邦调查局通缉的黑客，有评论称他
为世界“头号电脑黑客”“地狱黑客”。
●曾凭借高超的黑客技术入侵北美空中防护指挥系统、美国太平洋电话公司系统，甚至入侵了
联邦调查局的网络系统。
●现为网络安全咨询师，创立米特尼克安全咨询公司（MitnickSecurityConsultingLLC），
其客户包括数十位来自《财富》500强企业和全球许多国家的重要人士。
●《时代周刊》封面人物，畅销书《反欺骗的艺术》《反入侵的艺术》作者，好莱坞电影《战
争游戏》《骇客追缉令》角色原型。
罗伯特·瓦摩西
信息安全专家，新思科技（Synopsys）安全战略官。

我从不认为个人可以靠自己的力量保护隐私，但是，这本书会让我们懂得如何保护*重要的信息，
从而不至于受到致命的伤害。就好像当歹徒问我们"是要钱还是要命"的时候，我们得学会给钱，
而不是把命交出去。——周涛
电子科技大学教授,成都市新经济发展研究院执行院长
作为网络空间安全界的传奇人物，世界头号电脑黑客凯文·米特尼克在“金盆洗手”后的又一
部力作问世了！这一次，他把毕生所得的“隐身技术”都写进了此书。在这本书的*部分，米
特尼克会教给你若干隐身大法；在第二部分，他接着揭示了未来世界的“火眼金睛”——让你
和你的隐私更加躲无可躲、藏无可藏；幸好，在第三部分，他又会告诉你若干匿名技巧，让早
已无处遁形的你寻回一些自信。
——杨义先
北京邮电大学教授，《黑客心理学》《安全简史》《安全通论》作者
如果你发现你的邻居和朋友多年来一直在偷窥你，你会有什么感觉?家已经不再是你的隐私之
地，而你也肯定不想发现入侵者的设备。隐私入侵与尊重人的自由和安全完全相悖，这种情况却
越来越多地发生着。如果想杜绝这种偷窥和网络窃听行为，整个社会都应该朝着更高等级的网络
安全迈进，而这一切都始于我们应在日常生活中保护好隐私，接受更多关于“隐身”的基本教育。
凯文的《捍卫隐私》一书就是这个新世界的之书。
——史蒂夫·沃兹尼亚克
苹果公司联合创始人

曾经是被通缉的世界头号电脑黑客，后来成为《财富》500企业强安全顾问——有谁能比凯文·米
特尼克更适合教你如何保护你的数据不被网络钓鱼、电脑蠕虫攻击?
——《时尚先生》
《捍卫隐私》这本书将让读者清醒地意识到，电子邮件、智能联网汽车、家庭Wi-Fi网络等原始
数据是如何让我们变得更“脆弱”的。
——《纽约时报》