毫无疑问,如今最臭名昭著的网络犯罪和黑客团体就是所谓的“Anonymous(匿名)”。不论你是否赞同他们的理念和行为,都无法否认他们破坏网站,发动DoS攻击,中断企业正常运行,甚至针对公民个人进行威胁等一系列行为是违法的。
而本文所要讨论的重点在于,当面对网络犯罪时,非实名制网络是好还是不好。目前来看,在网络上用假名(甚至没有名字)已经成为了一个既成事实的传统,这个传统可以追述到1993年,当年的纽约客杂志就曾以“在互联网上,没人知道你是只狗”为题对于互联网进行报道。
网络匿名传统的进化
很多人会发现,在互联网发展的早期,匿名情况要比现在更普遍。那时候人们更喜欢用一些简单好记的名字在IRC聊天室或Compu Serve和AOL这样的网络服务上,而自己的真实信息很少透露。你可能跟一个网友聊了一年,还不知道对方到底叫什么名字,甚至连对方是男是女都不清楚。
在如今的很多网络圈子里,匿名仍然是主流现象。在新闻网站的评论以及博客网站中,网民们基本都使用昵称,比如Fed Upin Frisco或Just Another Peon。而作为网上最大的信息资源库之一的Wikipedia,也表示其只能通过网名或IT地址来判断用户。
不过,与之形成鲜明对比的是,在流行的社交网站,比如Facebook和Google+,都在服务条款中要求用户使用真实姓名。实际上,Google+正在通过各种手段促进实名制策略,比如禁止那些被怀疑使用假名的用户登录Google+beta版等。更进一步,根据美国联邦计算机反欺诈和滥用法的有关解释,用户违背与网站签署的服务条款,有可能会以“超越授权访问计算机”的罪名被起诉定罪。所幸,在不断增大的处罚力度中,美国参议员司法委员会决定将那些用自己宠物名字来登录Facebook的用户,作为过失犯罪,并不追究这种违法行为。
鉴于目前信息安全领域对于个人隐私保护的重视程度不断加强,这种禁止网民使用匿名登录网站的做法似乎有些不合常理。而最近几年,对于隐私权的讨论也是逐步升温。
同时,随着越来越多的普通老百姓的个人隐私遭到泄露,取消网络匿名的呼声也出现了。由于网络世界没有真实世界所存在的法律风险,垃圾邮件制造者、骗子、恋童癖等各种不良行为者在网上利用假名躲避法律制裁。这也使得网络身份认证成为了一个巨大的市场。
2001年的911事件,使得美国政府和人民对于身份认证的重要性有了更深的认识,不论是在网上还是现实中。这场恐怖袭击促使了美国政府在全国推行身份证(I.D.card),而各州发放身份证时还有更严格的限制。美国的爱国者法案也要求银行和其它机构在办理客户业务时要求客户提供更多的身份认证信息。这就导致了两个不同目的的冲突:一方面是防止身份盗用的需求,保护那些没有做错事的普通公民不会在网上被跟踪或被人肉搜索到个人信息,另一方面是便于法律的执行,对于那些有犯罪行为的人进行更方便的跟踪和调查。
下面我要说的例子表现出了近几年人们对于匿名网络的态度上的转变:当电话的来电显示功能刚出现时,很多人认为这种功能会泄漏他们的隐私,因为被呼叫者在接电话之前就能知道这通电话是谁打来的,并且知道呼叫方的电话号码。很多人选择禁止该功能,这样在拨打电话时,对方不会知道自己的姓名和电话号码。而如今,我们对此事的看法有所改变了,我们都认为自己应该有权利知道电话是谁打来的,同时如果来电显示被禁用了,或者显示未知号码,大部分人都会拒绝接听。从一开始不愿意向别人透露电话号码,到现在拒绝接听没有号码显示的来电,人们对于匿名呼叫的态度有了180度的转变。
网络犯罪份子如何利用匿名网络
在绝大多数网络环境下,犯罪分子都可以很方便的隐藏自己的身份。这种身份的隐藏方法很多,从最简单的非技术手段的表面隐藏,如修改电邮客户端的名字,到复杂的连技术刑侦人员都难以根据IP地址进行跟踪定位的技术手段,甚至通过ISP的记录都无法跟踪到的手段。
匿名网站(Anonymizers)是一类帮助人们隐藏自己身份的工具。Web匿名网站通过代理服务为网络通信充当“中间人”角色,从而隐藏网络通信中一方的真实身份信息。此类服务器基本都是处于通信发送端一方的法律监管范围之外的地区,专用于提供匿名服务。为了让各种流量分析手段更加难以确定匿名者身份,此类服务还会使用多个代理服务器,形成链状结构,而原始的通信数据可能需要经过位于多个国家的代理服务器才能到达,这给数据追踪和定位工作带来了非常大的难度。另外匿名服务还可以通过加密隧道方式传输数据。而同时使用代理服务的匿名用户数量越多,就约难以追踪到某个特定的匿名用户。
而Email匿名网站或者叫做回邮器/匿名重发服务器,则是接受并将邮件转发到最终目的地,从而隐藏发送者的邮件地址、服务器信息和IP地址等内容。回邮器可以是链状结构,也可以是独立存在的,一般来说,它都会将邮件分隔打包成相同大小,所有数据包看上去都是一样的。回邮器一般会被用于合法的目的,比如Craigslist或Match.com这样的网站会让潜在客户通过回邮器与销售商联系,从而避免销售商获得潜在客户的真实邮件地址。不过这种回邮器并不是真正的匿名。因为它只是对邮件接收方隐藏了发送方的邮件地址,而真正的邮件地址和关联的IP地址都会被记录在回邮器上。要真正做到邮件的匿名,则需要在多个回邮器间进行转发,这样每个回邮器上都不会记录最初的邮件发送方地址和最终的邮件接收方地址。
当然,还有很多合法的理由来使用匿名网络。事实上,非实名制网络不但被网络犯罪分子利用来掩盖身份,也为广大普通网民提供了避免身份信息泄露的机会。
非实名制网络如何保护网民避免遭受身份泄露
大多数人可能都知道美国政府的证人保护计划,起码通过电影电视对这个计划也有大概认识。那些在政府打击暴力犯罪等行动中作为证人或提供有价值情报的人,很可能遭受犯罪集团的打击报复,因此美国联邦政府会为这些人提供新的身份证明和新的住址,防止犯罪集团发现他们并实施报复。而更多的受害人则无法享受到证人保护计划,他们通过搬家等方法来实现自己的保护计划。但是如今,地理位置的改变并不能确保这些人安全。网上的一些追踪者可以从千里之外发现一个人并进行一系列影响该人的行为,更有甚者可以通过网络上的各种信息,定位目标人物的物理位置。
也许有人说,不上网就可以避免个人信息泄漏了,但是在这个互联网发达的年代,不上网基本是不可能的。而且,一个无辜的人或犯罪受害者也不应该因为别人的犯罪行为而放弃自己合法的社交权利,比如在Facebook上交友等。对于这种情况,一个显而易见的解决方案就是在网上使用另一个名字避免仇家找上门。
而且,就算没有犯罪集团在追杀你,作为某个犯罪案件的受害人,可能你也不希望每次上线都要被天下人知道。如果你的名字曾经上过报纸或电视新闻,那么让自己的网络生活过的更舒适的方法就只有使用假身份登录网络了。
结论
目前很多人都在呼吁更有效的隐私保护,而同时另一方面又在呼吁实施网络实名制(包括使用经验证的真实姓名上网,将匿名技术定位为犯罪技术,匿名上网行为定位为犯罪行为等)。而现实是,在实名制上网这个问题上,我们只能在隐私保护和打击网络犯罪这两者之间找一个平衡点。