话题: 信息安全 关注

10 问题 113 关注
所谓的“手机暴恐音视频检查仪”是如何工作的?具体效果如何? 2

这样的设备是如何工作的?需不需要打开调试模式或输入PIN解锁屏幕?是否像功能介绍所说,除了Android之外,对iOS、Windows Mobile、黑莓、Linux(Ubuntu等)等系统也能检测?

如果有葱友被查过,希望能分享一下被查的过程


链接:

XDH-5200A警用手机信息取证分析系统

陕西金盾手机数据采集系统

今天你瑟瑟发抖了吗?这套能采集苹果安卓手机数据的仪器,早已遍及大江南北

如何评价《今天你瑟瑟发抖了吗?这套能采集苹果安卓手机数据的仪器,早已遍及大江南北》?

暴恐音视频检查终端

科普:手机检查神器
查手机的硬件设备是什么原理?

这样的设备是如何工作的?需不需要打开调试模式或输入PIN解锁屏幕?是否像功能介绍所说,除了Android之外,对iOS、Windows Mobile、黑莓、Linux(Ubuntu等)等系统也能检测? ... 阅读更多
收起
品葱的安全性如何? 2

品葱这种大量干货的网站,几乎可以肯定会被重点针对,品葱官方对安全方面也很重视。那么,具体有多安全呢?

品葱这种大量干货的网站,几乎可以肯定会被重点针对,品葱官方对安全方面也很重视。那么,具体有多安全呢?
收起
微软的outlook 邮箱安全性如何? 2

如题,邮箱的安全性可靠?比如 邮件传输过程中是否有加密? 服务器端,应该是可以查看数据的?有没有和赵国合作,其可以随时要求获取数据?

主要是要存放一些。vpn gate 网关每周更新的数据。

 谢谢

如题,邮箱的安全性可靠?比如 邮件传输过程中是否有加密? 服务器端,应该是可以查看数据的?有没有和赵国合作,其可以随时要求获取数据?主要是要存放一些。vpn gate 网关每周更新的数据。 谢谢
收起
Telegram的安全性如何? 1

题主在Telegram建了一个品葱相关群。

刚刚题主在品葱上搜索了一下,发现早就有人建群了,但是被人怀疑安全性。

请问Telegram的安全性究竟如何呢?

题主在Telegram建了一个品葱相关群。刚刚题主在品葱上搜索了一下,发现早就有人建群了,但是被人怀疑安全性。请问Telegram的安全性究竟如何呢?
收起
网易云音乐软件是否安全可靠? 2

都知道是国内的公司,在土共,底下的大公司哪一家干净呢?网易肯定算其中一家。 可是云音乐太好用。操作界面干净清爽,用户可以给最喜欢的乐曲评论,感觉很难舍弃。

各位有什么好办法?是换个什么软件呢,还是把它扔在虚拟机里运行就可以了?

都知道是国内的公司,在土共,底下的大公司哪一家干净呢?网易肯定算其中一家。 可是云音乐太好用。操作界面干净清爽,用户可以给最喜欢的乐曲评论,感觉很难舍弃。各位有什么好办法?是换个什么软件呢,还是把它扔 ... 阅读更多
收起
有什么可以使用的,代替国内的系统清理软件? 6

这边经常使用360的全家桶。虽然平常都没怎么用。感谢品葱的各类帖子提供信息安全方面的指导。已删掉大部分的国产软件。但苦于找不到可以使用的系统清理软件。目前只能用360国际版。 各位有什么推荐吗?

这边经常使用360的全家桶。虽然平常都没怎么用。感谢品葱的各类帖子提供信息安全方面的指导。已删掉大部分的国产软件。但苦于找不到可以使用的系统清理软件。目前只能用360国际版。 各位有什么推荐吗?
收起
国产的华为手机有什么已知的后门吗? 0

如题,还说不仅仅是国产的,连外销都有吗?

(PS: 十分感谢: 国产手机/平板/电脑的固件什么时候会出现后门?提供的思考)

如题,还说不仅仅是国产的,连外销都有吗?(PS: 十分感谢: 国产手机/平板/电脑的固件什么时候会出现后门?提供的思考)
收起
像乌云(wooyun.org)网这样的全球漏洞响应平台有哪些? 0

世界各国有哪些像乌云(wooyun.org)网这样的漏洞悬赏奖励平台?

不仅涵盖漏洞报告平台,还有可以供相互学习借鉴(乌云知识库)、讨论社区、众测平台等。 乌云,曾伴许多人走过无数个黑暗与黎明,承载着许多的成长。

一个较完善、公开、透明的政治体制,能成就许多人/企业;反之则能毁掉许多人/企业。

个人感觉(但不确定),乌云应该是让党国不爽,不怎么听党话,时常曝些让权贵不悦的事。因此激怒了伟光正,所以怒把乌云换下让亲信奇虎360旗下的裙带(后改名补天)上马接替。 奇虎360,原3721公司,以耍流氓发家,GFW设计参与者。

世界各国有哪些像乌云(wooyun.org)网这样的漏洞悬赏奖励平台? 不仅涵盖漏洞报告平台,还有可以供相互学习借鉴(乌云知识库)、讨论社区、众测平台等。 乌云,曾伴许多人走过无数个黑暗与黎明,承载着 ... 阅读更多
收起
漏洞报告平台乌云 wooyun.org到底因何关闭? 是否还有重启的可能? 0

2016年7月20日凌晨,乌云官网突然关闭,仅显示一张“升级通告”的图片,并附言 “与其听信谣言,不如相信乌云”。据外界推测可能是内部整顿[2][3],至今仍未恢复。 有多个第三方消息来源表示多名乌云高管被警方带走, 但同时也有人辟谣称是谣言 [4][5]


【乌云网多名高管被带走 白帽社区边界问题引关注】(记者 覃敏)针对近日网上流传“白帽社区平台乌云网多名高管被捕”一事。财新记者从多个渠道确认,乌云网近十多名团队成员被警方带走,包括乌云网创始人方小顿。目前,各方尚不清楚乌云网因何出事。

方小顿(剑心),乌云联合创始人。百度前安全专家,负责对黑客袭击百度网站的抵御工作。是国内著名安全组织80sec的成员,曾发现多个知名底层和脚本安全漏洞。

2016年7月20日凌晨,乌云官网突然关闭,仅显示一张“升级通告”的图片,并附言 “与其听信谣言,不如相信乌云”。据外界推测可能是内部整顿[2][3],至今仍未恢复。 有多个第三方消息来源表示多名乌云 ... 阅读更多
收起
Protonmail做到最安全的原理是什么? 1

Protonmail做到最安全的原理是什么?

Protonmail做到最安全的原理是什么?
收起
ios 系统中的中文语音识别,是否已经被中国安全部门监听? 1

在苹果的隐私声明里面没有看到,语音识别是否会接受政府的审查?

Report on Government and Private Party Requests for Customer Information
Apple 处理执法请求时的指导原则 (网页底部)

(PS: 无法查阅到 ios 语音识别是在哪里处理,不明地理位置)

在苹果的隐私声明里面没有看到,语音识别是否会接受政府的审查?Report on Government and Private Party Requests for Customer Informati ... 阅读更多
收起
在美国, 携号转网 (transfer number) ,原来的运营商还能查看用户的个人信息吗? 1

有这样的担心, 在美国携号转网,是需要 Account Number 以及 pin code。之前的运营商,是知道这两样信息的。 有个朋友,已经把运营商从美洲电信 (CT-Excel),迁移至At&T。 他还是担心,原运营商可以继续监视。请问有这样的风险吗?谢谢!

有这样的担心, 在美国携号转网,是需要 Account Number 以及 pin code。之前的运营商,是知道这两样信息的。 有个朋友,已经把运营商从美洲电信 (CT-Excel),迁移至At&a ... 阅读更多
收起
ct-excel 美洲电信是否安全? 1

ct-excel 或者 ct-mobile ,美洲电信,是中国电信在美国的分公司。 虚拟移动通讯提供商。从网络信号上判断,应该是使用T-Mobile的网络。如果使用其的服务的话是否安全?(这里指个人信息是否可能被监视。包括通话记录,短信记录, 上网流量的数据,是否回传到国内被安全部门备案)

(PS:最近这公司优惠活动很多,很多同事和同学都在安利这家公司的plan。个人挺担心的,毕竟伟大的祖国干的那些事情)

最适合在美华人的通讯业务—中国电信CTExcel

ct-excel 或者 ct-mobile ,美洲电信,是中国电信在美国的分公司。 虚拟移动通讯提供商。从网络信号上判断,应该是使用T-Mobile的网络。如果使用其的服务的话是否安全?(这里指个人信 ... 阅读更多
收起
如何评价李彦宏言论“中国人要用隐私换效率”? 2

“唉,老板又说错话了” 昨天一篇关于网络上个人信息泄露的文章你在“裸奔”吗?你的所有隐私,可能此刻正在暗网上拍卖!引起了很多读者的共鸣。 当Facebook为了自己泄露的5000万用户数据事件被搞得焦头烂额之际, 当大家都意识到自己在网络极度发达的当下无法保护自己隐私的现在 百度创始人李彦宏今天说的一番话,激怒了半个中国的人。


李彦宏指出,百度在当下会更加注重隐私问题,中国也在加强法律法规的建设,“我想中国人可以更加开放,对隐私问题没有那么敏感,如果他们愿意用隐私交换便捷性,很多情况下他们是愿意的,那我们就可以用数据做一些事情。 这个话音刚落,报道刚出,微博上就炸了。


百度这流氓耍得,真的是不敢恭维啊。

其实早在2015年,乌云漏洞平台就曾曝出WormHole漏洞事件,其中百度数十款产品均中招上榜。 据悉,WormHole漏洞寄生于APP,攻击者可以对装有这些APP的用户手机进行远程静默安装应用、远程启动任意应用、远程打开任意网页、远程静默添加联系人、远程获取用用户的GPS地理位置信息/获取IMEI信息/安装应用信息、远程发送任意intent广播、远程读取写入文件等。 此漏洞不仅具有极强的权限,更能通过恶意软件的植入,造成被攻击者的隐私财产损失,受影响用户预计将达三亿。

“唉,老板又说错话了” 昨天一篇关于网络上个人信息泄露的文章你在“裸奔”吗?你的所有隐私,可能此刻正在暗网上拍卖!引起了很多读者的共鸣。 当Facebook为了自己泄露的5000万用户数据事件被搞 ... 阅读更多
收起
如何评价Facebook泄漏5000万用户隐私可能面临万亿美元的罚款? 0

在美国大选中,Facebook 到底有没有通过精准推荐来左右选票?


实锤!泄漏5000万用户信息后,Facebook 成操控美国大选的工具


比如,根据 Tom 在社交网络上的留言和点赞情况,大数据可以推测出他是一个喜欢枪的人,所以推送中会出现“希拉里将要禁枪”的内容;再比如,Lily 是一个认为宽松的移民政策会导致治安情况变差的人,所以会向她推送“希拉里要给任何移民绿卡”的内容……

原本还摇摆于川普和希拉里之间的 Tom 和 Lily,在看到这些内容推送后,最终把票投给了川普。

其实,自大选开始,关于 Facebook 是否将用户数据用于政治目的的争论就没有消停过,但一直没有落下实锤。获取真实敏感的个人信息可不是一件容易的事情,川普团队到底通过什么渠道?获取了哪些用户数据?利用这些数据如何影响大选?

3月17日,《卫报》和《纽约时报》同时刊登长文,共同将矛头指向了服务于川普团队的数据助选公司 Cambriage Analytica(文后简称CA),算是实锤落下,料很猛,且听雷锋网为你慢慢道来。

出于“学术研究”目的的数据窃取

自川普参与竞选以来,关于Facebook 助推其大选得胜的言论甚嚣尘上,但对此的质疑也不少,主要集中于-----拿数据做分析和推荐简单,但Facebook 的核心数据是你想拿就能拿的么?

最近,Facebook 暂停了CA 在其社交媒体平台购买广告和管理页面的权限,并解释了 Facebook 是如何“上当受骗”的,算是对上面的问题做出了回应-----用户的数据确实被拿走了,而且可能确实是被用于政治目的。


实锤!泄漏5000万用户信息后,Facebook 成操控美国大选的工具


据卫报的报道,CA公司的数据,来自于对共计5000万美国脸书用户信息的盗取,要知道,大选的总投票人数满打满算才1.3亿人,可以想见5000万的信息对于大选意味着什么。

爆料人来自 CA 的前员工克里斯托弗·威利(Christopher Wylie),他表示,CA 确实通过 Facebook 获得了很多用户的个人资料,并建立模型,为之后大选的精准推送打基础。

2014年,威利联系了剑桥大学心理学教授、俄罗斯裔美国人亚历山大·科根(Aleksandr Kogan),并称要与其合作。

为什么找他?因为科根不仅有数据,而且他对数据的获取方式也许能骗得过 Facebook 的审查。

科根所在的剑桥大学团队开发了一款名为“thisisyourdigitallife”的性格测试应用,在有关APP的介绍中,说这款应用时出于学术目的的研究,而且,参与测试的人会得到一些钱,作为对参与“学术”研究的回报。

据爆料人威利透露,先开始 CA 找的是“thisisyourdigitallife”这个团队的负责人,但其并未同意合作,所以他们“曲线救国”,找了团队成员科根。

讲真,平时五花八门的性格测试不给钱都有好多人做,何况是有剑桥大学心理学研究这样的背书,而且还有钱赚,所以很快吸引了27万人的参与,至于后来为什么扩大到5000万人,我们会在文后解释。

拥有剑桥大学教授身份的科根,先开始只是告诉Facebook,他收集这些信息完全为了学术目的,但实际上,他还将这些数据,提供给了CA,用于政治活动。

当科根答应合作后, CA 还掏出八百万美元,资助其成立了一家名为 GSR 的公司,这家公司实质上是以“学术研究”之名,从事用户数据挖掘的工作,而数据来源依然为“thisisyourdigitallife”的性格测试应用。


脸书在保障用户信息安全管理方面存在巨大漏洞

先来看看以“性格测试”为幌子的 APP,钓到了哪些个人信息。


实锤!泄漏5000万用户信息后,Facebook 成操控美国大选的工具


根据卫报的披露,“thisisyourdigitallife”这款应用搜集的信息包括用户的住址、性别、种族、年龄、工作经历、教育背景、人际关系网络、平时参加何种活动、发表了什么帖子、阅读了什么帖子、对什么帖子点过赞等。

要成功得到5000万的用户信息,分三步。

第一步,先在 Facebook 上发布广告,以“有偿心理学研究”为名,用少量金钱为奖励,诱导美国的 Facebook 用户下载这款应用软件,这款应用要求,只有拥有185名以上的好友才能参与这项有偿调查。(原因文后解释)

第二步,在亚马逊旗下网站“Mechanical Turk”和“Qualtrics”上参加问卷调查,在问卷调查末尾,再请求用户同意该软件查看其脸书资料。

第三步,点击“同意”之后,这款应用开始搜集用户本人,以及用户好友的资料。敲黑板,重点在这里,该软件查看用户资料不仅是本人的,还有185名好友的!来,拿出你的计算器,27万*185=4995万。

这款应用伪装的还不错,它会评估你的“感知兴趣”,并将其分为5类:

尚武精神:枪炮、射击、武术、弩、刀。

暴力神秘主义:毒品、巫术和异教。

智力活动:唱歌、作曲、出国旅游和环境。

轻信:超自然事件、飞碟。

健康兴趣:野营、园艺、爬山。


这27万参与有偿调查的用户,活生生的成为了CA 公司盗取好友信息的“帮凶”,至此,那些毫不知情的好友也成为了CA获取信息的来源,他们在脸书上的发帖,阅读,点赞都悄悄的被CA公司所获取。

这点,也就是卫报和纽约时报所抓住的关键点-------脸书本身的技术和管理有着巨大的漏洞,即与我有关的信息,未经我的同意,在我完全不知情的状况下,同样可能被第三方获取,只要这个第三方经过我好友的同意即可!

换句话说,你的信息是否能被搜集,决定权并不在你,而是你的好友。

Facebook的“鸵鸟心态”

雷锋网(公众号:雷锋网)发现,据卫报和纽约时报的说法,让他们曝出如此重磅新闻的原因,实在是有些“恨铁不成钢”, Facebook一直抱着“鸵鸟心态”处理这件事,对所暴露出的严重问题采取视而不见的态度。


爆料人威利告诉卫报,科根的应用软件一开始下载海量用户数据, Facebook 的内部安全监控程序就已发现。但当科根向脸书解释说这一切都是为了“学术用途”时, Facebook 就没有再进行任何追究。

眼尖的卫报其实早在 2015年12月就已经爆料过,有脸书用户的个人数据被用于支持德州参议员克鲁兹参加共和党总统候选人初选,本想说,都曝了你了,起码得有点行动啊。

大半年过去了,佛系 Facebook 一直拖延到2016年8月,才通知威利,要求他删除所获得的数据,至于删没删,拿这些数据都干嘛了, Facebook 没有继续深究。

纽约时报认为,即使你没有能力追查真相,起码也应该告诉你的用户,有个叫“thisisyourdigitallife”的应用,虽然是出于学术研究的目的,但你们要长个心眼,他们可能会去挖掘你和好友的信息,而且他们并不知情。

但是, Facebook 没有这样做。

据纽约时报的说法,在记者在调查过程中,多次向 Facebook 提出质疑,他们先是不承认数据泄露范围有如此之广,直到获悉纽约时报即将发表调查报告后,才在网站上发表声明,承认有数据使用不当并表示要采取行动。

实锤!泄漏5000万用户信息后,Facebook 成操控美国大选的工具


即使是在声明中, Facebook也屡次强调,这不是严重的信息泄露,一切的信息使用已经得到了用户的同意,目前,他们已经暂停了这款应用对于用户信息的继续搜集,而且将展开进一步的调查。

总之,看完这场猛料重重“大戏”,雷锋网编辑是再也不敢随随便便在社交网络上做性格测试了,有可能坑了自己不说,还可能害了无辜的朋友。

... 阅读更多
收起
出门在外连接陌生wifi的时候如何最大限度保护个人信息? 0

有些大排档咖啡馆之类的能不连就当然不连,毕竟自己还有手机信号,但是有些地方手机信号不行又必须连接wifi(办公室)的话如何武装自己的手机/电脑?


好像挂vpn全局代理的话简单有效?一般的ssr用加密混淆的话可以不?

好像有些wifi连上了就直接看到手机的照片邮箱之类的?安卓/苹果可以安装什么软件来防止这种事情发生?


有些大排档咖啡馆之类的能不连就当然不连,毕竟自己还有手机信号,但是有些地方手机信号不行又必须连接wifi(办公室)的话如何武装自己的手机/电脑?好像挂vpn全局代理的话简单有效?一般的ssr用加密混淆 ... 阅读更多
收起
试分析有道词典PC版的安全程度及潜在隐患,以及你日常生活中词典软件的使用习惯? 0

刚刚翻了一下自己Windows里的所有软件,仅有道词典这一款是大陆发行的。正式版和Beta我都装了,用途还是以英语为主。

这些年来并没有找到什么合适的替代产品。

说实话欧路我记得好像是因为UI太丑就没有再用了。必应桌面版看起来还可以,但用起来有一种说不清楚的蛋疼,总之既不灵敏也不流畅。灵格斯已经好多年没更新了,我用它的时候猪肉才3块钱一斤。有道Beta PC版现在体验很棒,我对网易的大致印象也还不错。

所以,有道词典是可以放心使用的软件么?如果是,或者不是,分别是什么原因?从政治和技术层面来看都可以。

以及,你在词典软件这方面有着怎样的习惯与选择?

多谢。

刚刚翻了一下自己Windows里的所有软件,仅有道词典这一款是大陆发行的。正式版和Beta我都装了,用途还是以英语为主。这些年来并没有找到什么合适的替代产品。说实话欧路我记得好像是因为UI太丑就没有再 ... 阅读更多
收起
如何防范语言指纹对匿名性的影响? 1

果壳 (译 / 红猪)他是天才、资产过十亿、不愿面对镜头:这些是我们对比特币的创始人中本聪(Satoshi Nakamoto)略微知道的几件事——但我们依然不知道中本聪到底是男是女,又或者到底是不是人。中本聪在金融界制造了一场振荡,但是自2011年起他就不再露面了,许多人想要追查这个名字背后的真人,可是谁也没有确切的证据。最近又有人称,这个世界上最隐秘的富豪终于被揭开了面纱,这都是因为他的写作风格。

2014年,在司法语言学家杰克·格里夫(Jack Grieve)的带领下,英国阿斯顿大学的一组学生分析了中本聪在2008年发表的一篇关于比特币的学术论文。他们统计了诸如“仍然”(still)、“只有”(only)之类不起眼的小词出现的频率,并分析了文中的标点模式,比如在“和”(and)和“并”(but)之前的逗号使用,从而发现了揭开作者身份的线索。他们指出,这篇论文的笔触符合密码货币领域的博学大师尼克·绍博(Nick Szabo)的风格。

尼克·绍博刚刚开发了一种通过无线电传输比特币的办法。图片来源:bitconnect.co

就在今年早些时候,美国企业家兼政治评论员亚历山大·缪斯(Alexander Muse)也宣称美国国家安全局运用类似技术破解了中本聪的身份,不过却并未公布他们的分析是否也指向绍博。

对中本聪的追查引出了几个有趣的问题,它们牵涉到每次我们写下文字时是如何泄漏身份的。从一个作者的文章风格,我们能对他了解多少?随着数字通讯的普及,我们的推特、电邮和短信中又暗含了多少可能出卖我们的线索?新兴软件已经能分析大量数据,从中找出模式。在它们面前,我们还能够隐身吗?

我们每次说话或者写作时,都会泄露大量关于自己身份、职业和家乡的信息。侦探利用文字破案已经有了千百年的历史,但是在近几十年中,计算机接过了一部分重任,负责在我们产出的大量数字信息中分析模式。

这种计量文体学分析(stylometric analysis)是计算机科学本科课程里的常见内容,也是大学和出版社每天都在使用的剽窃监察软件的核心功能。另外,刑侦专家也利用罪犯在网上留下的文字确认他们的身份。

一些软件可以分析文本作者。图片来源:temple.edu

这类分析最常见的用途,一是精确认定是谁写了某段文本,二就是总结一个未知作者的文笔特征:他的年龄、性别、教育程度、母语为何。分析的第一步一般是列出可能的作者和他们的文字样本,再由专家或软件从中提取出显著的特征。接着将待确认的文本与这些段落比对,任何匹配的作者都用概率表示,而不是一个绝对的“是”或“否”。最后,这些结果还要和案件涉及的其他证据一起考察,比如某某作者当时是否有不在场证明。“如果全部证据都指向同一个方向,你就能相当肯定地说出作者是谁了。”伊利诺伊理工学院的计算语言学家施洛莫·阿伽蒙(Shlomo Argamon)说道。

路边草地透露的消息

所谓“显著的语言学特征”在不同的案件中可能也不相同。这方面有一个著名的例子:某绑匪写了一封勒索信,要求人质的家属把赎金放在“devil strip”上。警方找到华盛顿特区乔治城大学的语言学家罗杰·舒伊(Roger Shuy)帮忙。舒伊刚好知道“devil strip”指的是人行道和车道之间的那片草地,这个说法极其罕见,罕见到只有俄亥俄州阿克伦市(Akron)的居民才会用。他问警方是否有嫌犯来自阿克伦,他们惊讶得连嘴都合不拢了。他们果然有这么个嫌犯,他后来也招供了。

著名的“devil strip”勒索信里包含了许多揭示作者身份的线索。勒索信大意:你还想见到自己的宝贝女儿吗?那就在一只尿布包里装一万美元现金,放到18街和卡尔森街转角处街边草地上的那只绿色垃圾箱里。不要带别人来。不许报警!!要一个人来!我会一直监视你的。如果你带上别人,那么交易结束,你女儿死!!!图片来源:Newscientist

如果你不想被自己的文字出卖,光是避免方言或其他特殊词汇还是不够的。因为暴露你身份的线索往往是那些容易受到忽视的文本特征,而这些特征又是我们不会有意控制的,比如哪些单词大写,标点后空几格,段落前要不要缩进等等。“像‘devil strip’之类的词语是极少见的。”阿伽蒙说。“那次真是运气。”

比文本特征透露更多信息的,是所谓“功能词”(function words)出现的相对频次,它们的作用是将句子黏合在一起。阿伽蒙指出:“功能词就是介词、连词和人称代词。这些词语本身没有意思,只发挥语法功能。”这些词之所以对分析贡献良多(至少在英语里)是因为它们的数量十分庞大:加到一起,它们超过我们所写单词的一半。

德州大学奥斯丁分校的詹姆斯·彭尼贝克(James Pennebaker)在研究中指出,这些看似没有意义的语言成分能够指出某人的人格类型、健康状况、甚至会否自杀之类的将来行为。

还有人利用泄露身份的奇特语言特征渗透互联网上的犯罪网络。同样来自阿斯顿大学的蒂姆·格兰特(Tim Grant)训练卧底警察在网上假扮已经被抓获的恋童癖,以此引出其他罪犯,有时他们也会假扮成潜在的受害者诱使犯人上钩。格兰特归纳了这些罪犯的写作风格,并训练警官修正自己的模仿技巧。“那些人都在互不信任的环境中交流,你一旦说错了话就会使他们很警惕。”他说,“如果你在词语挑选或者沟通行为上出了错,和他们的互动就会变得很不顺利。” 

这些显著的模式,无论是字词选择、句子结构还是作者无意间使用功能词的频率,都指明了语言的高度灵活性。语言学家曾经认为,我们都是先学会一套标准的语法,再从这套标准上偏离出来表达个性的。不过现在更加普遍的观点却认为,我们从一开始就对母语有了一套自己的心智模型,我们习得母语的社会环境和情绪环境各不相同,使这套模型也和他人有了细微却重要的差别。

亚利桑那大学的计算机科学家陈炘钧(Hsinchun Chen)指出,正是这个差别造成了富于个性的文笔,他还首次提出了“笔纹”(writeprint)的概念。所谓笔纹就是语言的指纹,它是我们写作风格中的细微差异,包括词汇、句长和段落铺陈等的不同。

用看似没有意义的语言成分(如所谓的“功能词”)来揭示作者身份,这种分析方法已经有些年头了。2013年,宾州杜肯大学的帕特里克·尤奥拉(Patrick Juola)用类似的方法指出J.K·罗琳是长篇小说《杜鹃的呼唤》的作者,使这项技术进入了大众视野。

但如果作者已经死去,再要以此说服大众就比较困难了。比如《圣诞前夜》(Twas the Night Before Christmas)这首十九世纪诗歌,历来认为它的作者是克莱门·克拉克·摩尔(Clement Clark Moore)。但到了2016年,新西兰的文学学者麦克唐纳·杰克逊 (Macdonald Jackson)却发表了一份详尽分析,通过“that”和“the”之类的单词以及几对音素的使用认定诗的作者是亨利·利文斯顿(Henry Livingston)。

这个结论不是所有人都接受的。研究梅尔维尔作品的专家司各特·诺斯沃西(Scott Norsworthy)就嘲笑了杰克逊(和他的电脑)对于“无意义成分的分析”,说这些成分“无关紧要,在文本中的分布可能完全是随机的。”

在风格中隐身

那么,当有人想要采集你的语言指纹时,你又该如何脱身呢?阿伽蒙表示,从某种意义上说,这很容易做到。假设有100位作者,每人提交了一段文字,你身为其中的一员,不想让别人知道哪一段是你写的,那么“你要做的,只是让自己的文字看起来像那99位中的一位。”

这种做法有时候效果很好。萨迪亚·阿弗隆兹(Sadia Afronz)现在供职于加州大学伯克利分校的国际计算科学研究所,她在宾州的德雷塞尔大学工作期间曾和同事开展过一项研究,她们要求参与者写下自己当天早晨的经历,并模仿美国作家科马克·麦卡锡(Cormac McCarthy)的文笔。结果这些文字骗过了一款已经学习过麦卡锡作品的计量文体分析程序:它认为这些都是麦卡锡的原作。 

可惜的是,一般人在这一点上总显得业余,很少有人能用恰当的修改伪装自己。比如在“devil strip”的案子里,那个勒索者故意拼错了一些单词(把“cop”拼成“kop”,“can”拼成“kan”),想以此伪装成一个文化程度不高的人。但这个文字计谋并未得逞,因为他反倒把一些难词拼对了,这个矛盾戳穿了他的伪装。 

阿伽蒙指出:“当一个人想要掩盖自己的文风、模仿别人的笔触时,他却往往会在无意中流露出更多表明身份的特征。”蒂姆·格兰特回想了2003年和同事杰克·格里夫参与调查吉米·斯塔巴克(Jamie Starbuck)一案的经历。斯塔巴克在近三年的时间里周游世界,其间用妻子黛比的邮箱给别人发送电邮,而实际上他已经在31个月前、也就是两人结婚仅一周后杀死了黛比。直到黛比的亲戚产生怀疑,他才开始模仿她的文体。“黛比很喜欢用分号,而且用的方式很古怪。”格兰特说,“而吉米突然开始大量使用分号,但用的方式又和妻子不同。”他终于在返回英国后被捕,判处终身监禁。

那么,我们可不可以用计算机本身来修改文本、骗过计量文体分析程序呢?可以,你只要上传自己的文字,然后按照程序的指示修改就行了。这现在已经是一个蓬勃发展的领域,称为“反向计量文体学”(adversarial stylometry),阿弗隆兹就是推动这个领域的研究者之一。她说,因为这项目工作,老是有人要求她揭开中本聪的真实面目,最后她在自己的网站上贴出了一则公告,表明拒绝。“我研究计量文体学的目的,一是向人们指出它的危害,二是考察机器学习的弱点,三是开发工具改善匿名性。”她这样写道。

在网上保持匿名身份并不容易。图片来源:anonews.co

保护匿名性可以是符合正当职业利益的,比如学界人士就希望能对基金和论文的同行评议保持匿名。而对那些检举者甚至程序员,匿名性可能同样死攸关。

你或许认为计算机源代码是纯粹功能性的,但其实它们同样会泄露编码的人或者团体的许多信息。就像写作者有“笔纹”一样,编码者也有独特的“码纹”(code print),因为同样一段程序,编写的方式却有很多。

“根据程序员的舒适水平及编程技术的不同,他们也会选择不同的编程方式。”加州大学伯克利分校国际计算科学中心的萨迪亚·阿弗隆兹说道。

码纹中可能包含一些看似琐碎的选择,比如用空格键而不是制表键(tab)来缩进代码,这些选择都会留下独特的数字痕迹。即便是对计算机下达的底层指令,也会因为编写者的不同而呈现差异。

2015年,谷歌举办了一年一度的编程大赛(Google Code Jam),来自宾州德雷塞尔大学的一组计算机科学家也用软件分析了1600名参赛者的编程风格。软件考察了代码中的关键字和句法等特征,最后成功把近93%的代码和它们的作者匹配了起来。

通过分析程序员在一段时间内的作品,这支团队还发现了程序员们的编程风格会在几年之内维持不变。码纹的这种稳定性有时很有参考价值,因为可能某个程序员的已知代码样本都是几年前获得的。

可是,程序员又为什么要保持匿名呢?我们或许立刻会想到那些恶意软件的作者逃避法律制裁的例子,但实际上也有正派的程序员想要隐藏身份,而且理由完全正当。比如有的地区认定开源软件非法,那么这些软件的开发者就可能不想公开身份。

因此,有人呼吁开发对文本做匿名化处理的软件,也就顺理成章了。

问题是,这类软件真的有效吗?

到今天为止,唯一向公众发布的匿名工具只有“Anonymouth”,它由德雷塞尔大学的隐私、安全和自动化实验室开发。这款工具于2012年发行,旨在将计量文体分析的准确性下降到随机猜测的水平。为达到这个目的,Annonymouth使用了一款称为“JStylo”的风格分析软件,它能通过采集几篇文章样本,评估其中的句子长度、词语选择和某些字母的使用频率等特征,绘出一个作者的肖像。接着再由Annoymouth指导作者修改文字,告诉他怎样才能让作品不符合自己的肖像,比如把时态由过去时换成现在时,或者少用某个人称代词等等。

开发者宣称,JStylo只要采集6500字的样本,就能将一段文字和它已经研究过的一众作者做对比甄别,结果能达到80%至85%的准确率。今年早些时候,另有开发者宣布了一个名叫“艾玛身份”(Emma Identity)的人工智能项目,号称只凭8000字就能为一名作者建立肖像,在和匿名文本对比时的准确率达到85%。

这样的成功率还远谈不上十全十美,但它们已经比随机猜测高得多了。能有这么高的成功率,是因为分析都是在类似实验室的环境中进行的,软件要寻找怎样的计量文体特征,都有明确的指导。然而现实世界就不同了,用来训练JStylo或艾玛的样本可能只是一篇短文、或是匆匆打出的一封邮件,而需要甄别的匿名文本却可能是一封认真撰写的信件或是一篇科学论文。

在将来,我们或许还会见到“反向作者分析”(adversarial authorship)技术,一边是识别作者的技术,一边是为作者掩饰的技术,两边开展不断加速的军备竞赛。北卡罗来纳州立农业技术大学正在开发一款名叫“作者网络”(AuthorWeb)的工具,能用来帮助作者规避计量文体分析。它会给写作者设立风格目标,以一块视觉仪表盘提供实时反馈,告诉他们写下的文字和某些特征的匹配程度。这应该能帮助写作者在较长的时间内轻松而统一地隐藏自己的文风。

与此同时,阿伽蒙指出,躲避计量文体分析的最佳手段依然是联合写作:一个人写下文本,再由另一个人编辑。你不必依靠机器帮忙或自己动手来修改文风,只要找人合作,那么两个或更多个作者的语言指纹就自然会相互抵销。这或许也是令中本聪藏身如此之久的策略:已经有人猜想藏在比特币背后不是一个人,而是一个群体。因为语言指纹互相覆盖,他们或许还能安全地潜伏在暗处,继续窥视那些追踪者。(编辑:游识猷)


果壳 (译 / 红猪)他是天才、资产过十亿、不愿面对镜头:这些是我们对比特币的创始人中本聪(Satoshi Nakamoto)略微知道的几件事——但我们依然不知道中本聪到底是男是女,又或者到底是不是人 ... 阅读更多
收起
如何看待Twitter员工在老家被国安喝茶事件?在海外工作者应该如何应对? 3

一名Twitter员工在回国时被贵州国安带走,并被要求利用职务之便协助调查、给网站加入后门。

此人在自己的Twitter上直播了过程,目前已经删除,只剩一条表示自己已经自由的推文,但有快照存档。

https://web.archive.org/web/20180222155415/https:/twitter.com/eddiex

https://www.solidot.org/story?sid=55586

各位葱油认为是否真实?中国目前有很多人在海外企业工作,应该如何防止陷入这种威胁?

一名Twitter员工在回国时被贵州国安带走,并被要求利用职务之便协助调查、给网站加入后门。此人在自己的Twitter上直播了过程,目前已经删除,只剩一条表示自己已经自由的推文,但有快照存档。http ... 阅读更多
收起
推送到亚马逊中国的kindle电子书,会被审查么? 0

有几本禁书是推送到kindle上的,想到苹果把中国用户的数据迁到贵州,突然想到亚马逊中国的数据应该是在中国,有点担心。

有几本禁书是推送到kindle上的,想到苹果把中国用户的数据迁到贵州,突然想到亚马逊中国的数据应该是在中国,有点担心。
收起
更多