web-dev-qa-db-ja.com

NSA平均的なインターネットユーザーに対する監視の意味は何ですか?

ニュースが壊れた 主にNSAそして一見 法の領域を超えて

レポートが信じられる場合、個人の生活のほぼすべての側面に関するメタデータ(電話の記録と地理データ、電子メール、Webアプリケーションのログイン時間と場所、クレジットカードのトランザクション)が集約され、「ビッグデータ」分析の対象になります。

特に最近のIRSスキャンダルとAPリーク調査を考慮すると、虐待の可能性は無限にあるようです。

これを知って、そのような機密の個人情報の収集と暴露から身を守るために、通常の個人はどのようなステップをとることができますか?

まず、電子メール、Webアプリケーションのオープンソースの代替手段、およびVPNの使用に対するPGPの採用を拡大します。監視ドラッグネットへの露出を最小限に抑えるために実行できる他の(またはより良い)手順はありますか?

161
nitrl

序文:この問題は必ずしも政府に関係するものではありません。最も一般的なレベルでは、オンラインサービスがあなたのデータを(喜んでまたは偶然に)第三者に提供することです。読みやすくするために、ここでは「政府」という用語を使用しますが、代わりに、サービスプロバイダーが協力するやむを得ない理由があるサービス機関(またはサービスによって完全に侵害される可能性がある機関)に置き換えることができることを理解してください。 -影響はかなり似ています)。以下のアドバイスは、そのサービスのデータにアクセスする可能性のある人に対する機密を保持しながら、外部サービスを使用したい場合に一般化できます。

ここで、質問自体に対処します。

...そのような機密の個人情報の収集および漏洩から身を守るために、一般の個人はどのような措置をとることができますか?

どの国の政府にもデータへのアクセスを許可したくない場合は、その国の政府機関と共謀する可能性のあるデータストレージサービスに配置しないでください。

私たちのモデルでは、一部の政府が特定の主要なサービスに保存されているあなたのデータにアクセスできると仮定しましょう休止中(およびおそらくそのサーバーログ)。ストレージを実行するサービス(Googleドライブ、メール)を扱っている場合、SSLはまったく役に立ちません。おそらく、あなたに対する監視の努力では、保存しているものを見ることができません通信中、しかし彼らはあなたが保存したものを見ることができますそれを保存したら

おそらく、そのような政府は、GoogleやMicrosoftやAppleが持っているのと同じあなたに関するデータにアクセスできるでしょう。したがって、情報を監視から秘密にしておくという問題は、サービスプロバイダー自体(つまり、Google、MS、Appleなど)から情報を秘密にしておくという問題に変わります。実際には、データ漏洩のリスクを軽減するための具体的なヒントを提供します。

  1. 政府に見せたくない永続的な情報(ドキュメントなど)がある場合は、サービスプロバイダーにも見せないでください。つまり、絶対に信頼できるサービスを使用する(つまり、 FengOffice または EtherPad がインストールされている SheevaPlug =自宅(もちろん、自宅の物理的なセキュリティを信頼している場合))または安静時に暗号化を使用-つまり、強力な暗号でドキュメントを暗号化before Googleドライブに送信(I個人的にはAESを推奨するかもしれませんが、以下のコメントを参照してください)。

  2. 検索履歴などの永続的なアクセスが不要な個人情報については、VPNまたはオニオンルーティングを使用して、検索ごとにOriginのポイントを混乱させることで、その情報が個人にリンクされないようにすることができます トール

this xkcd を思い出します:

サービスがデータを取得すると、そのサービスがデータで実行する処理(またはそのサービスがデータを適切に防御する処理)を制御することはできません。データを管理したい場合は、[譲らないでください。秘密にしたい場合は、-誰にも教えないでください。監視の共謀またはサービスに対するデータの侵害の可能性が自明ではない限り、データが一般的に非公開であると予想していたとしても、外部から格納されたデータが政府による検査から非公開になると期待しないでください。

別の質問は、このような情報収集プログラムから平均的なインターネットユーザーに重大なactual影響があるかどうかです。少なくとも一部には、秘密の情報収集プログラムに関与する人々の行動を透過的に監査することが不可能であるため、言うことは不可能です。実際、そのようなプログラムの影響は、一般の人々がasのようなプログラムからの影響を認識することは不可能であろう。

特にNSAの場合、NSAはforeignサーベイランスに対応するためにチャーターされているため、米国市民は通常、発生する可能性がない限り、分析の対象にはなりませんソーシャルグラフに外国人を近くに配置する。 NSAは、米国市民に関する情報を収集するために公に努力しますnot(実際にこれがどの程度フォローされているかは、前述のように確認することはできません)。

73
anon

メディアの誇大宣伝にもかかわらず、ここで重要なことは、FBI/NSA /米国政府がすべての電話を傍受していたのではなく、all電話を収集していたことです以下を含む「メタデータ」レコード:

  • 発信電話番号
  • 電話番号の終了
  • IMSI番号
  • IMEI番号
  • トランク識別子(場所に関連)
  • 電話テレホンカード番号
  • 通話時間
  • 通話時間
  • 位置情報(おそらく)

彼らはできませんが、この順序であなたの電話を聞きます。

出典: The GuardianThe GuardianWired

これについて個人として何ができますか?技術的には何もありません。この情報は、あなたが通信しているものではなく、誰とどこから通信しているのかです。この情報はあなたが管理するものではありません。アルファベット代理店が求めていた情報は「メタデータ」でした。つまり、通信事業者が独自に生成/保存したデータです。あなたが彼らのサービスを使用している(そして有用なサービスを取得している)一部として、このデータが作成されます。

米国市民の場合は、政府に行動を要求し、プライバシーを保護し、地域の代表者に問題についてのあなたの気持ちを伝えるEFFなどの組織をサポートできます。

数年前の関連する、しかしより古いドイツのニュース記事で、ドイツの政治家Malte Spitzは、ドイツの電気通信大手であるDeutsche Telekomに6か月の電話データを渡してもらい、それを公開したと訴えた here 。それはマップにプロットされており、彼が6か月の期間にわたってどこにいたかを示すことができます。これにより、このタイプのメタデータが何を行うことができるかについてのアイデアがわかります。

PRISMについて

Prismは、多くの大規模なオンライン企業にわたる傍受を詳述する文書の漏洩でした。このリークは別のものですが、(私が理解している限り)上記のものに関連しています。

  • 誰からデータを収集しているのですか(どうやら(これは 現在は100%明確ではありません まだです))、どこから収集されていますか?

    • Microsoft(Hotmail/Live/Bingおよびその他すべての関連するMSオンラインサービスを想定)、Google、Yahoo!、Facebook、PalTalk、YouTube、Skype、AOL、Apple。
  • PRISMが実際に収集しているものは何ですか?

    • メール、チャット(音声とビデオ)、ビデオ、写真、保存されたデータ、VoIP、ファイル転送、ビデオ会議、ログインメタデータ、ソーシャルネットワーキング情報、および「特別なリクエスト」(私は彼らが考えることができるすべてのものを意味すると想定しています)
  • データが収集されないようにするにはどうすればよいですか?

    • このプログラムによって通信が傍受されることが懸念される場合は、いくつかの簡単な手順を実行できます。

    • 上記のプロバイダーは使用しないでください。 しばらくの間 の常識でしたが、メールプロバイダーに関係なく、180日以上経過したメールには令状なしでアクセスできます。当然、そのようなことを心配する場合は、暗号化が適しています。あなたが無料でサービスを受けているなら、あなたはまだ何かで支払っています。通常、それはあなたのメタデータです。上記のすべての企業に代わる「安全な」、または少なくともプライバシーに配慮した代替手段が存在し、簡単に見つけることができます。たとえば、duckduckgo.com、PGP、TorMail、TOR、Linux、およびPidgin + OTRはすべて、通信をセキュリティで保護するのに役立ちます(そのため、読み取り不能になった場合でも)。

問題の事実は this です。常に「完璧な」セキュリティ(新しいテクノロジーが出現するにつれて変化するもの)を実践するように試みることができますが、最終的には誰もが人間であり、混乱する可能性があります(たとえば、VPNへの接続を忘れるなど)。オンラインで非表示にしておくには非常に多くの変数があり、特定の側面(単純なWebブラウジングや電子メールの送受信など)をカバーすることは非常に複雑な作業であり、それ自体に個別の質問が必要です。

51
NULLZ

@RoryAlsopからの回答に追加するには、平均的な人として、NSA=によるPRISM /電話タッピングに関して、多くのことを心配する必要はないと思います。多くの場合、人々の安全/プライバシーの概念はあまり大きくないので、その目的で使われています(米国政府による対テロ作戦)。

ただし、これについては、他にも理由があります。まず、米国以外の企業で働いており、あなたの仕事に関連する情報をペルソナル電子メール/ソーシャルネットワーキングに載せる場合、NSAがこれを傍受して、私はこれがPRISMで起こっているという具体的な証拠はありませんが、過去にセキュリティ機関が企業を支援するための情報を提供するケースがあったため、不当な広がりはありません。

また、スコープがクリープするリスクが本当にあると思います。パワーが存在し、1つの目的に使用されると、他の政府機関(データ分析のスキルが低下し、その使用に目が行き届かない)がデータを利用し始めます。たとえば、データ収集機能が存在する場合、FBI/CIAがデータを取得できるかどうかを尋ねると、現地の法執行機関などはどうなりますか。

編集:また、スコープクリープがすでに発生しているようです このストーリー GCHQを含む他の諜報機関がどのように作成しているかについて話していますPRISMの使用

この種のデータマイニング(私にとって)の大きなリスクの1つは、誰かがデータをマイニングしてから誤った結論に至ることです。たとえば、サイトにアクセスしたことのある人のリストをマイニングし、それを犯罪に関与したことの「証拠」として使用します。現代のインターネットについて知っている人なら誰でもそのアプローチの問題を目にすることができますが、すべての法執行担当者がそのレベルのトレーニングを持っているわけではありません。

結局、それについて何ができますか?まあ、明らかにEFFをサポートし、それについて法定代理人と話すことの法的部分です。

技術的には@Dermikeが言うように、トラフィックを隠すためにToR/VPNのようなものを見ることができます。警告の言葉は、しかし、これらのサービスの使用は、政府のタイプによって「何かを隠すものを持っている」と見なされる可能性があるので、少し見逃しては22です。それ以外に、米国にいない場合は米国ベースのサービスを使用しないでください。他の政府が同じことをしないと信じる特定の理由はありませんが、とにかくEUは市民の個人情報をより保護する傾向があります。

編集代替案を掲載したページです プリズムに参加していると記載されている企業の製品へ。

34
Rory McCune

人と生活の習慣を追跡する人物として、私は平均的なユーザーについていくつかの観察を共有します。

インターネットでの電話情報収集イニシアチブの影響:

プライバシーについて心配するオンライン活動がもう少しあります。 twitterverse は一瞬「爆発」しますが、主流のメディアから脱落するまで、約1週間米国政府で起こっていることとして人々はこれを認識します(ほとんどの人々は「ニュース」を受け取ります)。 )。その後、彼らはそれについて話すのをやめます。自分が何も悪いことをしていないと感じているほとんどの人は、心配する必要がないと感じます( ほとんどの人は人を感じています )。偏執狂の人々は、物事を隠す方法を理解し、[無意識のうちに]自分をより興味のある人々のように見せようとします。これらは、政府が常に彼らを監視していると考える人々であり、実際には、政府は標準に固執しない使用パターンを探しています(したがって、これらの人々は興味をそそる可能性がありますが、実際には監視されていません。いくつかの類似点を除いて、彼らは彼ら自身のために通常通り行動し続けます。

成功した「悪い」人は、これらの人よりも社会との調和がはるかに上手です。

政府にとって何か利益がありますか?過去の通信のために数個のドットを接続できるようにすること以外に、本当にそうではありません。 (情報は圧倒されます。)政治的には、それはより害を与えます(これは私が、とにかくこれがすべてについてであると私が思っていることです)。使い捨ての電話で人々が悪いことをしていた場合、その可能性は(それらの人々が適度に賢い場合)、リンクが不適切なIMEI識別子を持つ電話が破棄、販売、または寄付されています。それは単に無知な「悪い」人々に彼らの習慣についてより良くなければならないことを認識させるだけです。

これを知って、そのような機密の個人情報の収集と露出から身を守るために、通常の個人はどのような措置をとることができますか?

残念ながら静力学は彼らの味方ではありません。ほとんどの「普通の個人」または平均的な人々は、そのような数(識別子)で何が可能かを理解し始めることができる知性を持っていません。彼らがそれを研究しようとするとき、彼らはこの1つで本当に上手になることができます(彼らがフォーカスの贅沢さを持っている場合)。しかし、彼らは他の場所で失敗する可能性があり、彼らのほとんどは、現実の問題が起こっているのでそれについて心配することさえできませんオン。平均的なアメリカ人にとって、それは彼らが彼らが必要としていると感じているもの以外のものに焦点を当てているもう一つのことでしょう。彼らはおそらくこれを必需品以外の何かに費やしていると見ているでしょう。彼らにとっては、教育、食糧、公的援助のようなものになるでしょう...平均以上の(普通でない)人々が当たり前だと思うこと。残念ながら自分たちの手に負えないために貧しい人々が失うことを恐れているもの。

普通の人は、パラノイアが蔓延し、そこで物を買うので、大きな箱の小売店のラックにあるテレホンカードが少ないことに気づくかもしれません。

ロリー・アルソップが言っていたのと同じように、ほとんどの人はモニターとコンピューター(デスクトップを使用している場合)の違いをあなたに伝えることができないでしょう、そして彼らはしばしば電子モバイルデバイスを少しの魔法または神秘主義と考えます彼らが知らないことを気にかける何らかの形ややり方で働く。または、彼らはそれらを贅沢品、ガジェット、またはおもちゃと見なします。それが機能する限り、彼らは技術に関係していません。

全体的なセキュリティが向上し、知識のある人が基準を引き上げます。 いつものように

あなたが知っているなら、あなたはおそらく、この種のことが起こらないようにして、通常の「良い」生活を送るためにできることは何もないことを知っているでしょう。すべての通信を難読化したり、グリッドの外に住んだりしたい場合は、より快適に感じるかもしれませんが、これははるかに難しいと言えます。人々はどこへ行っても追跡されます。

簡単な例:

一般的なユーザーは、大手小売店でテレフォンカードを購入します。彼らはデビットカード(または他の追跡可能なカード)を使用します。彼らは家に帰り、コンピューターの電源を入れます。彼らは非暗号化接続でインターネットに接続します。 Facebook、Twitter、Yahoo、またはその他の無数のサイトにアクセスし、多数のトラッキングCookieを受け取ります。次に、購入したカードの番号を打ち込んで電話を再起動するWebサイトにアクセスするか、電話自体に番号を入力してさらに時間を追加します。この電話を使用して、追跡アプリをダウンロードしたソーシャルメディアプロファイルに直接接続できます。すべての電話には、「ユーザー保護」を装った組み込みの追跡機能があります。この電話番号はソーシャルメディアの公開プロフィールに記載されており、マーケティング調査、求人への応募、およびフォームに記入するたびに提供されます。それらは追跡可能であり、かなり一貫しています(仕事またはそのような性質を失うまで)。彼らが(彼らの「生命」がそれに付いている)彼らの電話を失った場合、彼らは同じ電話番号を保持します。

どうしてこの人になれないのですか?

  1. テクノロジー関連のすべての購入に現金を使用します。
  2. 購入を登録しないでください。
  3. デバイスにあるOSをすべてワイプし、オープンソースOSをホストプラットフォームとして使用します。または、トレースを残したくない場合は、KnoppixなどのOSを使用します。
  4. Windowsなどを実行する必要がある場合は、VMの下で実行してください。アクティベートしますが、登録はしません。
  5. あなたを追跡する会社とのすべての通信を防ぎます。これは、ハードウェアファイアウォールのファイアウォールルールで実行できます。
  6. あなたはTORのようなものを使用することを試みることができますが、彼らがあなたの場所を監視している場合、彼らはすでにあなたのパターンを理解しているので、彼らはあなたが到達しようとしている場所を監視していることに注意してください。
  7. クレジットカードの使用を停止します。
  8. ウェブ上で自由にあなたの情報を提供するのをやめてください。 (ドメイン登録、ソーシャルメディアなど)
  9. オンラインで自分の習慣を人に関連付けるのをやめます。
  10. 予測できない。
  11. 消去する必要があるものを拭いてください。ブロートーチやライターで破壊できないものにひびの入ったコピーを保管することはできません。
  12. サムドライブとハードドライブ、SSDを比較してください。

またはもっと良いことは...もっと頻繁にプラグを抜いて、それについて心配するのをやめてください。人生はこのようなものには短すぎます。

22
AbsoluteƵERØ

@ D3C4FFの答えは頭の上の爪に直角に当たりますが、平均的なインターネットユーザーに関してはさらに別の見方があります。

平均的なインターネットユーザーは、「私のデータを見ている政府は悪い、うーん」以外はプライバシーの概念を持っていません。

平均的なユーザーは、エージェントを使用できるようにするために使用されていた3文字の頭字語よりも、自分自身についてはるかに多くの情報を他の国々と共有しています。 (このビデオを参照して、現実から遠すぎない範囲を確認してください)

平均的なインターネットユーザーが実際にこのことを心配しているのであれば、ソーシャルネットワーキングサイトや他のさまざまなサイトも使用しませんが、実際はそうではありません。彼らは楽しいことをしたり、人とチャットしたり、情報を共有したりできるのが大好きです。

したがって、影響はかなりありますnil

今ではこれは、アルミハッター、非常に重要な人物、犯罪者、その他のニッチグループには当てはまりませんが、平均ではありません...

15
Rory Alsop

それは常に問題でした、あなたは気にしませんでした

以前よりもずっと心配する必要があるとは思いません。彼らが収集しているのはオペレーターの Call Data Records (または少なくともそのサブセット)であることを覚えておいてください。あなたはすでにこれらすべてについてサードパーティを信頼していましたが、それはすでに私が個人的にほとんど何も信頼していなかったであろうサードパーティでした。彼らは携帯電話会社です。空港のWi-Fiがすぐに無料の商品になるのをやめたのと同じように、コーヒーやケーキを購入することを期待している店から提供された場合を除いて、彼らは無料で通信を提供しません(その店を信頼していることに注意してください)同様に、ところで、それは別のトピックです)。

注:主要なオペレーターや電話メーカー向けに、通話データレコードやその他のものを処理するツールの開発に取り組みました。銀行です。「正しい方法」で「安全」であると想定していることには衝撃的ですgod-damnは、しかし、実際にはそうではありません...)

成果

たぶんそれは人々をより安全な通信システムの使用に向かわせるでしょう。もちろん、通信事業者を完全にバイパスすることはできません。それともできますか?

あなたのデータプランはあなたの友達です

ユーザーは、電話で通常の通信チャネルを使用する代わりに、 VoIPのデータ計画 に頼ることができます。通常の音声通話やSMS/MMSよりもSkype、Googleハングアウト、What's Appなどを優先することを意味します。

もちろん、これらが安全で元に戻せない方法で暗号化されていると信頼している限り。裏で何が起こっているかについてより多くの洞察を提供し、強力な暗号化を提供するオープンソースツールを好む必要があります...

携帯電話の組み込み無線技術を使用した分散型通信

私は今それをしていることに気づいていません(しかし、すでに解決策があるかもしれません)が、Wi-Fi用の埋め込みアンテナを備えた電話またはまともな範囲(またはUSBで外部アンテナをプラグインする機能)を備えたその他のワイヤレス技術オペレーターの携帯電話の塔に接続する必要のない、かなり興味深い通信方法につながる可能性があります。

このように考えてください。これらを使用すると、お使いの携帯電話は、選択した技術のローカル範囲内にある任意の携帯電話に到達できます。他の人に届きます。それがいくつかのP2PネットワークのスウォームとDHTシステムを思い出させないなら...

オペレーターに依存せず、本質的に匿名かつ安全な分散型通信システムがあり、コストを回避するための「文明化された」領域、または検閲と追跡を回避するための「抑圧された」領域の両方で使用できるため、これは素晴らしい意味合いを持っています。 。

もちろん、モバイルネットワークが利用できる範囲内で、そしてそれほど大きくない遠隔地にのみ行きます(たとえば、山でトレッキングに行く場合は契約を守ってください...)。しかし、残りの数は 2013年に68億のアクティブ化されたモバイルサブスクライバー 以上が登場するので、大都市にいて、いくつかのVPNハブを設定していれば、問題なく遠くまで到達できる可能性があります。それらの間に...

さて、それはかなり素晴らしいでしょう。しかし、それはケーキを盗もうとする(または法律を通過させて違法にする)ために貪欲の大きな毛むくじゃらの手なしで行うには、真剣な努力とコミュニティの精神が必要です。通常の携帯電話通信と同じ帯域を使用することもできると思いますが、無停止で行われたとしても、それはかなり違法だと確信しています。

2014-04-02の更新:そして OpenGarden 's FireChat ...


繰り返しになりますが、バグが発生しないようにするには、ハンドセットとそのOSを信頼する必要があります。くそー。

13
haylem

あなたの目的地とあなたのコミュニケーションの内容を隠したいなら(そして世界中の他の人々も彼らを隠す*のを手助けしたいなら)、 'The Onion Router' a.k.a. TORを見てください。

選択したプロキシサーバー(主に3つ)を使用します。それぞれがどのサーバーに接続したいかはわかりませんが、次のサーバーです。すべてのプロキシサーバーがYou-Know-Whoによって制御されているわけではないので、元のリクエストがターゲットでどこから来たかを知ることはできません。また、あなたのリクエストがあなたのラインの次のプロキシだけに向けられている場所を知ることはその間では不可能です。

しかし、私の言葉をそれに取ってはいけません、- https://www.torproject.org/ で彼らの説明を参照してください

*)「正当な」サーフィンにそれを使用する人が増えるほど、たとえばシリアは禁じられたものを見たかったことを否定できます。ナチスのプロパガンダがTORからサーフィンされただけで、他に何もないと言うとき、それを使用しているときに何を見たのか簡単にわかります。

4
DerMike

そのタイプのセキュリティについての雑誌があります(特にNSAなど)に対して)。TechActiveシリーズ-ハッカーマニュアル2015。最初の章では、プライバシーについて説明しています。プライバシー、代理店やブラックハットがデータを追跡するのを防ぐ方法、日常的に使用するサービスのオープンソースの代替方法、スマートフォンを保護してデータを暗号化する方法。驚かれる可能性がある詳細情報があるので、注意深く読むことをお勧めします。

例えば:

  • ...ネットワークアクティビティの監視は攻撃システムよりも効率的であるため、NSAには、ラップトップやルーターなどの消費者のハードウェアを傍受し、それらをオンにできる監視デバイスに変えるプログラムがありますリモートで
  • ..Torはプライバシーのために多くのリレーノードを使用しますが、多くの出口ノードが政府機関によって実行されているという不正なレポートがあります
  • ..使用方法[〜#〜] zrtp [〜#〜]で通話を暗号化する
  • .the NSA TAOグループが処理するコンピュータに侵入するためにかなりのリソースを費やしています。TAOには多数のエクスプロイトcan任意のPCを攻撃します。
  • OwnCloudでデータを追跡しないように独自のクラウドをセットアップする方法
  • メールでの[〜#〜] pgp [〜#〜]暗号化の使用方法(Gmail、Yahoo、またはその他のサービスである可能性があります)
  • jonDoを介してトラフィックとメールをプロキシする方法
  • [〜#〜] otr [〜#〜]によるインスタントメッセージング(Pidgin、Kopete)の暗号化プラグイン
  • 安全なファイルを http://www.securesha.re で共有する方法
  • 独自のクラウドおよびVPSサービスにRasperry Piを使用する

私はセキュリティ分野でsuspicionより良い先生はいないと思います。私やその雑誌は誰も信用しないでください。同時に、google、facebook、dropbox、tor​​さえ信用しないでください。その時代には、個人によっては自分のツール、サービス、システムを使用できます。

プライバシーは貴重です

1
JackSparrow