从一件小事看美国在反身份窃取方面的努力

身份窃取(Identity Theft)指的是窃取代表他人个人身份的数据信息（例如身份证号码、信用卡号码、账户信息和密码等）的行为。攻击者通过得到他人的个人身份信息，可以冒充他人进行交易、消费或从事违法犯罪活动等。随着信息技术及其应用的不断发展，攻击者通过身份窃取获利的机会越来越多，利益越来越大，身份窃取事件数目不断增长。直接通过网络环境实现身份窃取的情况，称之为“在线身份窃取”，例如大家经常听说的“网络钓鱼”（phishing）就是其中的一种。

身份窃取攻击在给用户和企业带来重大损失的同时，还严重打击人们对信息社会的信心，从而阻碍整个社会的发展。因此，反身份窃取是这几年的热点话题之一。反身份窃取工作中的一个国际共识是强调提高公众安全意识：用户更多地了解如何保护自己的身份信息，对提升自己的安全性至关重要。这方面有不少好的实践经验，其中一个是散发简单易懂的宣传页。

前几天在西雅图“执照处”（Department of Licensing）领驾照的时候，看到他们散发的反身份窃取的宣传页，觉得不错，在这里介绍和点评一下，既给网络安全工作者们提供一些启发和参考信息，更是提醒每位读者在生活中需要注意的地方（尤其是在美国的读者。在中国的读者，需要举一反三啊，还好这方面中国人的能力不错）。

这个宣传页是华盛顿州政府执照处和巡警（Washington State Patrol）共同提供的。执照处负责身份证、车辆船舶牌照管理、驾照、营业执照等。（评：以前看到的都是第三方研究或者服务机构散发这种东西，例如日本、澳大利亚等，在中国也只看到CNCERT/CC散发的这种材料。而这次看到的是在每个人必须打交道的政府部门散发这个材料，一是显示出政府的努力和态度，二是普及面可能更广，用户也更容易相信。这是好的经验，但愿我们的有关部门也能作这种虽然小但是很实在的事情。）

宣传页非常薄，折起来后相当于3页约12x30厘米大小的纸。（评：非常重要，避免长篇大论，必须简单易懂而且便于携带）

宣传页的内容包括简介、怎么避免、如何处置、以及附属信息几部分：
简介：
别人怎么窃取你的身份的？身份窃取发生在当有人未经你的同意而使用你的个人身份信息进行欺诈或者其它犯罪活动的情况下。你的个人身份信息包括你的姓名、社会安全号（注：相当于中国的身份证号码，不过更牛一些，所有的个人信用、犯罪记录等等信息，都可以通过这个号码获得）、信用卡号码、或者其它标识信息等等。这个小册子为你提供注意事项和有关的信息资源，来帮助你避免成为身份窃取的受害者，同时也告诉你如果不幸成为受害者的话应该如何应对。

如何避免成为身份窃取的受害者
你可能不能完全避免身份窃取，但是可以让你的风险最小化。有助于避免身份窃取的做法：

• 不要把你的社会安全号码、母亲的婚前姓、或银行帐号告诉通过电话、互联网或者邮件联系你的陌生人。
  身份窃贼会装作公司、银行或者政府机构的代表，来获取你的个人信息。他们可能看起来是合法的和有说服力的。永远不要泄露你的信息给任何你不认识的人。与你相关的可信的金融或政府机构，已经拥有了你的这些信息。
  （评：对中国一样适用，只不过我们用的不是社会安全号—身份证当然现在能力也没有这么强----，我们也不使用母亲的婚前姓作为个人信息，因为妇女解放早就不因为结婚而改姓了，所以母亲的婚前姓根本不是秘密，呵呵）
  

• 防止你的邮件被偷窃。
  不要把要寄的邮件放在你的邮箱里。有些窃贼会在小区察看谁家的信箱里面有要发送的信件，被称为“小红旗窃贼”。（注：在美国，每家的邮箱上有个金属的红色小三角旗，如果你有信件发出，可以放在自家邮箱里，然后把小红旗立起来，邮递员在给你送信的时候就会知道信箱里有你要寄出的信件。）把你要寄出的邮件拿到邮筒或者附近的邮局。随时取走你信箱里的邮件。如果你计划出门远行，让你的亲戚朋友帮你每天收集邮件，或者在你的当地分支邮局办理寄存手续。到你的银行去取新的支票本，而不是让他们寄到你家里。
  （评：坏人总是带来麻烦，麻烦则影响到我们生活的方便性。这就是“安全和方便是一对矛盾”。另外，在美国，银行还是普遍邮寄支票本的，看来银行还需要提高安全意识啊。）
  

• 注意你的每月账单到达的日期。
  窃贼可能冒用你的名义修改你在银行等地登记的通信地址，以避免你通过每月账单发现冒名的消费。如果你的每月账单没有按期到达，请联系你的债权方（creditor）或者金融机构，以确认你的通信地址没有被人篡改。
  

• 在给所有的账号加上口令。
  避免使用容易被猜到的口令：母亲的名字，你的生日，社会安全号码的最后四位数字，你的电话号码，或者简单的数字排列比如1234等。
  （评：如何起一个安全的口令？这个话题需要年年讲、月月讲、天天讲。；-）
  

• 不要随身携带社会安全卡。
  把它放在安全的地方。只有当确实需要的时候才告诉别人你的社会安全号码。
  

• 不要随身携带你不需要的信用卡或者身份卡片。
  一直以来，随身携带现金是高风险的，现在携带信用卡或者借记卡也同样有风险。
  （评：汗啊！现在的社会。记得国内有报道犯罪分子胁迫受害人拿着卡去提钱。在美国好像没听说过这种情况，但是在这里很多地方是不用密码的，所以坏人偷了或者抢了你的信用卡，应该能直接消费---在你挂失之前。）
  

• 粉碎不需要的文档。
  收费的收据，信用申请的复印件，保险单，医生证明书，银行支票和结算单，过期的收费卡，以及信用授予记录等，应该粉碎到不易识别的程度。
  （评：这样做也有问题。应该是保管好这些资料，因为还有很多别的场合需要这些材料。不用的材料，如果涉及个人信息的，则销毁处理。）
  

• 每年至少索要一次你的信用报告。
  从本手册后面所附的三个主要的客户报告代理中的任何一个那里获取你的信用报告。确认报告是准确的，否则向他们反映。法律规定每个人可以每年获得一份免费的信用报告。额外的报告可能最多花费10美元。你也可以写信或者拨打******，要求退出以前同意卖给其他公司的清单。（注：对美国的系统还不太明白，所以最后这句不太好理解，估计是在这些信用代理机构是可以给各个公司提供个人的信用记录和等级信息，当发生身份窃取事件之后，个人信用可能受到危害，这时候用户可以要求这些代理机构暂时不再对其他公司提供这些信息。原文‘to request to ‘opt out’ of preapproved lists sold to other companies.’）
  

如果你成为身份窃取的受害者，该怎么办。

• 保存每一笔交易或有关活动的记录。
  组织和维护你的每一笔交易或者有关活动的记录。恢复你的身份和信用的过程，可能会非常麻烦和复杂。保留你发出或收到的所有信件或表格。建立你的文件系统，保存相关文档，哪怕是案件结束也要继续。记录你联系的每个人的名字，和联系的所有相关信息，谈话的日期，以及相应采取的行动或措施。
  

• 向警方或者当地的执法人员报告。
  身份窃取是重罪，在整个国家都可以对其提起控诉。请警方给你建立案件报告，并且给你一个案件的卷宗号。要坚持这一点！你将需要这些东西来恢复你的信用等级。华盛顿州巡警的身份窃取组在在本州拥有对身份窃取案件起诉的执法权。
  （评1：身份窃取在中国不知道什么时候能在法律上明确是犯罪？我们什么时候能建立专门的身份窃取部门？）
  （评 2：在美国，信用非常重要。如果你以前有过犯罪记录或者曾经有不良的经济信用，你可能找不到工作、租不到住房等等，因为这些东西都会被记录和查询。反之，如果你从来不出交通事故，你的保险就会越来越便宜。身份信息被窃取之后，可能被人恶意利用，哪怕是透支之类的，都会影响到受害人将来的利益。中国现在信用体系很不健全，但是相信中国会逐渐建立起来的，不过到那时候，反身份窃取的工作对大家的意义也更大了。）
  

• 向你的银行或其他债权人报告。
  其中不要忘记包括电力公司、电话公司、垃圾清理部门、以及有线电视或者卫星服务公司。要求和他们的反欺诈部门的人谈话。他们可能会要求你关闭原来的账号，建立新的账号。向你的金融服务机构确认一下，当你的信用卡或支票被偷或者被伪造的情况下，受害人需要办理哪些手续。（注：在美国，这些公共服务的费用会自动记到你的头上，然后每月给你寄账单。）
  

• 联系本手册提供的三个主要的信用报告代理。
  联系他们的反欺诈部门，要求在你的文件上标明“欺诈告警”以及“受害者声明”，要求债权人在用你的名字开新的账户的时要先联系你进行确认。每个代理机构将需要警方的报告号码才能激活欺诈告警。（注：对这几个代理机构的职责和作用我也不太清楚。只知道他们是企业，用户要买房、买车之类的，可以到这里查询和管理自己的信用等级。现在，他们也介入反身份窃取。）

• 要求有关企业提供使用你的名字进行交易的信息。
  华盛顿州的身份窃取法律要求企业提供关于使用你的名字进行的交易的信息。但是，企业可能要求你提供身份证明，包括一份警方报告和你的指纹。如果你因此需要获得你的指纹，华盛顿州巡警身份部能够提供这种服务。你需要缴纳很小的一笔费用，然后从你的当地警方部门可以拿到指纹卡。关于指纹的更多信息，可以联系华盛顿州巡警身份部（电话 ****）

• 联系联邦贸易委员会的身份窃取热线或者访问他们的网站。
  他们会提供有用的信息，和一个统一格式的身份窃取宣誓书，这个宣誓书被很多企业所承认。他们还提供一个表格使你可以向他们报告身份窃取事件。电话****网站****。
  

三个主要的信用机构：
Equifax （联系方法）
Experian （联系方法）
TransUnion （联系方法）
其他有用的网站和电话号码：
华盛顿州总检察长（网址、电话）
华盛顿州巡警/执照处身份窃取组（网址、电话、电子邮件）

总体评论：

1. 反身份窃取工作实际上十分复杂，不是一个单纯的技术问题，涉及到很多部门的合作，涉及到政府、企业、个人等的配合，涉及到法律法规的完善。
2. 美国政府在积极作出自己的努力，包括立法，也包括公共意识提高等。另外，政府和企业很多地方都开始设立专门的反身份窃取的机构，这些都值得我们学习。
3. 从中也看出，美国的很多企业和机构也都在互相配合来应对这种威胁，虽然不知道实际上的配合效果怎么样，但是显然这是必须的道路。
4. 这些年整个世界都在高速发展，很多事情都显得浮躁，很多事情停留在比较空的层面，具体的实际工作落实的不够。中国虽然还没有建立起一个象样的信用体系，但其实也已经受到身份窃取攻击的危害。而且，中国在建立自己的信用体系的过程中，如果能更早地考虑反身份窃取方面的需要，将来会少走很多弯路，老百姓的损失也会少很多。
5. 对于在线身份窃取，实际上比这个还要复杂，有些情况用户再怎么注意也无济于事，实际上需要通过法律给相关的政府部门以及企业施加明确的责任，提出足够的要求，让他们重视对用户身份信息的保护。
6. 关于反在线身份窃取，国内也热闹了有几年了（国内叫反网络钓鱼，但其实那只是一部分威胁）。但是似乎还是互相割裂的局面，只形成几个互相不怎么来往的小圈子，是达不到好的效果的。在这方面，国际上都在意识到跨国跨部门广泛合作的重要性，仅CNCERT/CC每年帮其他国家处理的有关事件都数百起，而国内还不能形成有效的合作机制，不知道是中国人本性使然呢，还是什么别的因素。但是，不论是什么因素，我们做不好这个工作，我们每个人都可能受损失，我们的企业竞争力也会受到影响。

微软“黑屏事件”对信息安全问题到底有什么启发

微软针对盗版用户强制黑屏的事件，目前成为一个热点话题了。本来对这个问题我是没有什么发言权的，因为这是一个打击盗版的手段是否恰当的问题。和多数人一样，我也认为盗版不对，认为现在很多软件太贵（尤其是对没有商业目的的学生用户来说），我也希望国产软件早日发展壮大等等。但是，现在很多人开始从信息安全的角度说这个问题，甚至媒体上出现了 “释放恐怖信号”、“威胁国家安全”等等一些看起来相当 “恐怖”的标题。作为信息网络安全行业的一名工作者，我觉得还是需要就这件事情对信息安全问题到底有什么启发说说自己的看法，因为信息安全领域最重要的工作之一就是提高用户的安全意识：正确的意识。

首先不能回避的一个问题是，微软的这种做法，技术上算不算“入侵”？

有人说微软这么做，是在“入侵”用户的电脑。“反入侵”就是我们做网络安全工作的主要内容之一。按照CNCERT的年度报告，现在每年发现中国大陆数百万台计算机被入侵，如果微软这件事情也算入侵的话，2008年的报告，这个数字可以直接引用CNNIC的“上网计算机”数字了：超过8千万！（拜托，那么所有作安全的人全体下岗好了）

从技术上来说，这件事情并不能和入侵划等号。用户的计算机在每一次升级的时候，会主动联系升级服务器下载新的程序代码，这些程序通常用来解决原来产品中存在的问题（例如漏洞），或者增加更多或更优的功能。整个过程如果用现实世界的情形来打比方的话，就如同用户给一个家用电器公司打个电话，告诉这个公司自己是它的产品用户并报上自己所用的产品类型以及序列号，公司那边核对之后派出服务人员到用户家里，提供零件替换或者修理服务。

对这个过程，需要注意这样几点：

1） 家用电器公司是应用户的请求才来用户家里更换零件的，而不是哪天一高兴自己随便可以去哪个用户那里看看；

2） 用户计算机里面除了微软的系统，还有很多很多的软件也都要更新，更新的模式现在也都是如此。另外，现在新发现漏洞的频率非常快，每天都需要有极大量的程序需要升级，否则用户的系统就面临很大的风险；

3） 面对计算机软件、互联网这些“虚拟世界”，现实世界中的绝大多数用户是无法了解每一个软件，并且亲自逐一进行升级的。现实中的模式是，用户“同意”一次以后（经常是在安装的时候），用户计算机里的软件就会将来自动发请求要求更新的，而且每次更新的时候，虚拟世界中也没有一扇“门”需要用户自己打开。这一切经常让现实世界中的用户感觉自己的计算机不知道在干些什么。

所谓入侵，指的是未经用户许可，进入用户的系统，进而获取用户信息、使用用户资源等。从这个意义上说，类似微软的这种升级活动本身不能算作入侵。但是这次不同的是，升级以后的结果是对用户不利的（黑屏），这就好像电器公司让修理工借给用户服务的机会检查用户的产品是不是侵犯了公司的知识产权，如果是则在服务的时候做点手脚。这种情况怎么算？其实这才是本次争议的焦点：公司有没有权力这么做。但是不能把这种情况等同于“入侵”，否则现在几乎所有的软件全都存在入侵行为，应该禁止销售了。

关于“用户同意”，也确实有被恶意软件利用的先例：曾经有间谍软件（spyware）收集用户敏感信息最终被告上法庭，结果发现该软件在安装时候那一大堆文字中一些写明了要拿这些信息，可是用户选择了“我同意”！实际上绝大多数用户都根本不会看那一大堆文字，为了安装软件就去点“同意”的。“同意”了什么？基本不知道。

第二个问题是，这件事情是否暴露出安全上的隐患，以及这个隐患到底是什么？

大家担心得不错：不论微软通过什么手段，反正是他能够做到让很多计算机出现问题，这就是一个安全上的隐患，或者说是风险。不过，请注意以下情况：

1） 在微软推出XP的时候，其在线“激活”机制就曾经遭受过很多人的质疑，因为这意味着用户计算机的正常使用和企业的服务器存在某种挂钩机制了。甚至当时就有人说，借助这一机制，微软是不是也可以让用户计算机被“激死”呢？理论上这是可以做到的，想想看，这是多大的风险！（现在‘黑屏’才想起说？）

2） 还记得当年赛门铁客误杀事件吗？当时很多中国用户因为赛门铁客升级之后误杀系统模块，导致计算机不能工作，损失惨重。（例如炒股中断）

3） 刚来这边就参加过不少研讨会，听到一个案例说，西雅图市负责城市水、电等基础设施供应的机构，曾经两千多台计算机同时不能工作，因为某著名防病毒系统（不知道有没有公开报道，按照惯例这里不点名了）自动升级以后，这些计算机CPU全都处于100%占用状态（证明我的上一篇博文有理吧）。这属于影响城市基础设施的案例了！

这些情况说明，风险的根源来自于“在线升级”这种模式，而不是来自于某个特定的产品。现在的软件产品大量采用这种模式，确实给用户带来了方便，但是也带来了风险：正常情况下，一个漏洞出来之后，本来要经过包括用户测试等诸多环节之后才应该被正式使用的，如今省略了很多环节，可能导致由于升级模块本身的问题，或者升级后和用户某些应用不兼容的问题而导致用户系统瘫痪。更加恶劣的情况是，如果有人利用这种模式瘫痪大量系统，也会比较容易。

微软因为用户多，所以如果出现这种问题，影响面会非常大。但是从上面介绍的情况也可以看出，用户没那么多的软件系统，如果出现类似问题，后果同样可怕，同样可以影响到基础设施，涉及国家安全。

第三个问题是，不用微软的产品，这个风险是否就会降低呢？

其实从第二个问题的分析已经有答案了：不用微软的产品，这个风险依然在那里。从国家安全的角度，关键技术设施相关的信息系统可能因为某个其它软件产品的升级导致瘫痪；从企业和个人用户的角度，所使用的系统也可能因为其中的任何一个软件升级的时候出现各种问题。

所以，降低这种风险的方法，不是说不用某一种或者某一类产品，而是改进我们的漏洞处理流程和软件升级流程。否则，哪怕全部都改成国产软件了，问题依然存在。

曾经把系统化的漏洞处理总结为10个阶段，这里不想赘述，只是希望用户和各级决策者明白，针对“漏洞”的工作，并不是建个库那么简单，之后还有大量的、艰苦的工作要做。

说到这里，又想起来2003年从冲击波等蠕虫那里得到启发后，曾经向微软提出过一个建议，其中一个核心的意思是需要建立一个第三方的补丁升级平台。这个第三方是用户可以更加信任的。由这个第三方向重要的用户直接提供经过更多第三方检测和测试之后的升级补丁（当然，这里还需要另外一个第三方的体系独立于微软作大量测试，一些特殊用户也还需要增加自己的兼容性测试）。这个建议提出的时候是要解决多个问题，也可以用于减少直接在线升级带来的风险。

微软作了很多技术上的改进，也推动了一些项目，但最终和我们的建议还是有很大不同，当然离规避这个风险的目标也就相去甚远了。降低在线升级的风险，最终需要解决的是信任问题和第三方监督的问题，不是纯粹的技术问题。

开篇竟然是因为忍无可忍

本来倒是打算开个博客，方便和国内的朋友们分享工作和生活上的新东西。不过这个设想迟迟没有兑现，因为总是有其他的事情“加塞”（本质上是因为自己偷懒- 呵呵，这话不能明说）。如今终于痛下决心，兑现设想，却是因为忍无可忍---------看来，人是需要刺激的啊！

事情是这样的：
前几天晚上，我的计算机变得奇慢无比，一看任务管理器，发现CPU利用率100%，其中超过80%都是被卡巴斯基的几个进程占掉了。想临时停掉卡巴斯基，却 发现它根本不听我的--停不掉！来不及细想，当时正有重要的事情要和朋友谈，只好先进入带网络的保护模式。之后重启了，也没什么问题了。

第二天，再次出现这个问题，无法暂时停掉卡巴斯基，也无法让卡巴斯基把CPU给我让出来，眼看着机器僵在那里。拜托，这是我的机器还是卡巴斯基的机器？！

费了好半天功夫，成功“说服”卡巴，让它什么也别管了，然后重启。现在，整个世界终于安静了，卡巴先休息了，让出了我的CPU，使我能够先工作一会儿了（谢谢你啊，卡巴）------哪怕现在是“裸奔”（看看vista到底怎么样，呵呵）。

可以理解卡巴的做法：担心被病毒程序关掉，想出很多保护自己的办法。但是，作为一个新用户（以前一直用瑞星来者，这次新换了机器，托同事买防毒软件，结果买了卡巴），我却感觉非常不舒服，甚至是忍无可忍。

我 们为什么需要信息安全？因为我们要使用信息技术。安全始终是配角，是信息技术应用的保镖，而不是主角：没有信息技术，就没有了信息安全问题的存在。安全当 然是“快捷”、“方便”等的敌人，但是为了信息技术带来的好处能够“长远”、“可持续发展”，安全带来的不便是必然的代价。可是如果做过了头，让信息技术 无法应用、停滞不前，就成了本末倒置了。

卡巴斯基是不是忽略了这个问题？用户自己不能控制自己计算机里面的程序？当然，这个案例或许也是冤枉卡巴了，可能是由于当时其他的原因导致的，但是，就凭卡巴出现让自己的程序消耗80%以上CPU资源的情况，就是无法接受的。我的计算机是给我用的，不是买来给你用的！（说到这里，就又该怀念UNIX/Linux了，在那里才有自己真的是计算机主人的感觉。在微软环境下，总是不知道，自己的计算机整天忙乎啥呢？！）

就如同我以前在报告中说的，计算机是人们用来完成各种工作的工具，不能要求每个人天天去关心计算机是不是“健康”的，否则，人类岂不是变成了计算机的奴隶了!

我们其它作安全的，恐怕也需要牢记这一点吧。