丹麦首都哥本哈根,市中心 Christianhavn 旁有个叫 Freetown Christiania 的自由城,它不受当地法律管辖,其中聚集了不少无政府主义者与嬉皮士,里面可以自由吸食大麻。法律规定警察只能在自由城周边执法,却不能入内。而同时,自由城内尽管允许贩卖大麻,但居民自治团体禁止售卖硬性毒品,虽然这是文本意义上的,自由城并没有执法力量,只能靠舆论与自觉。

何其相似的是,Tor 社区本着公民隐私保护的初衷,现在已成了非法交易的庇护所。人们更愿意谈论的不是斯诺登,Wikileaks 或是新闻记者。配合无法溯源的比特币,犯罪成了匿名网络的主流。不妨看下 『The Hidden Wiki』的索引,「Financial Service」里面清一色是信用卡与 Paypal 盗号,「Commercial Service」则是电子产品销赃、伪造 ID 证件与贩卖枪支,「Drugs」更不谈了,这些内容就占据了 The Hidden Wiki 超过一半的页面。虽然自己宣称 Tor 网络不应被称为「暗网」,但很难不对其产生负面的印象。

更为玩世不恭的一种主流观点是,在未来的互联网时代,隐私是一项可以被放弃的权利——没错,用户虽然可以拥有“捍卫权”,却同样可以不受压力影响的行使“放弃权”——就像曾经的一句网络流行语说的那样,“生活就像被强奸,如果无力反抗,不如索性闭上眼睛好好享受。”1

过多地谈论隐私会让人感觉是自我中心者过于吹毛求疵的自我保护意识,但事实上自己并非如此。我所惋惜的是一个强调隐私保护的工具被滥用,而 Tor 项目社区也无法提供管理,就像 Christiania 自由城的公民自治团体反对销售硬性毒品却无力执行如出一辙,靠自觉与共识换得的隐私保护与网络权利,在技术普及后被彻底滥用了,「作恶者永远都能找到隐藏自己的方法,那些正常使用Tor的“暗网”用户则不应受到牵连。在对“丝绸之路”提起公诉期间,检方亦表示不会对“暗网”技术抱有敌意,只是不能容忍里面的毒品贩卖、雇凶谋杀等行为。」2 丹麦警察并未闯入过 Christiannia, 可 FBI 早动手了。现在的 HiddenWIki 索引上,不知是托管到期不再续费,还是匿名站长与网站一起被端掉,有超过一半的非法交易网站无法打开。并且,里面的非法交易是不是真的「Honest Illegal」,谁都无法保证,比特币不是像支付宝或 PayPal 那样的信用担保支付体系,诈骗者只要换个 btc wallet,没了,就没了。

曾经相信,网络匿名是基本人权,至少我们应该有选择权。Tor 只是加密工具,靠着公民的自觉与自治,可以推动权利与义务对等的责任型公民社会,起码在网上可以实现。现在却证明这不过是又一次一厢情愿幻想的比特乌托邦。

有一次与好友聊起 Tor 隐私保护的话题,他原话大意是这么说的:

当发现女儿每次主动关起卫生间的门,我意识到这并不是关于羞耻心的问题。她才三岁,这年纪的孩子并没有 social awareness,不理解什么叫害羞。我们都从襁褓中的弱小发育而来。譬如上厕所,对于人来讲自卫能力也是最弱的时候,我们需要一个私隐,安全的环境。孩子的这个行为是与生俱来的本能。Tor 网络也是如此,它给了我们一个隐私的环境。

与他的对话给了我一个新的视角,隐私与其说是一种羞耻心,毋宁说这是一种普遍的生物性。同领地性 ( Terretoriality ) 一样, 它深深植根于自卫意识里,并表现在行动中。本质上,是作为人的个体,在生物祖先长久演化与自然选择过程中被写入基因的不安意识,和当代急速社会化所产生的矛盾,短时期内不可调和。长期看来,又有谁知道呢?或许『美丽新世界』,或许『1984』,也或许出现公民意识的自觉,普遍接受责任与义务的对等边界的时代。在我看来,无论对于隐私保护或是开放,重要的不是这两个对立论断的历史正确性,而是在人权意义下赋予知情与选择的权利。如果在欧盟上网,或挂起欧盟的 VPS 做出口访问 Google,总会在浏览器 banner 上提示正在使用 Cookies。下图是一家丹麦咖啡连锁店网站的俏皮提示:是咖啡总要配上 cookies。 

好吧,说说为什么偶尔使用 Tor。我个人厌恶『人肉』,更害怕它背后在数字空间里以暴易暴的逻辑,和带有群氓狂欢般的广场效应 ( Gustav Le Bon 语 ),剥光了被「审判」的对象让其在网上赤条条游街,大众忙不迭得主持正义,公共话题得以放大,舆论得以伸张。我们身边,存在着大量的社会工程库,或称「社工库」,通过交叉比对特征分析,很快能定位到一个具体而又活生生的人,由此引发的后果可以改变他或她接下来的生活。在这非对称的条件下,受害者往往连施害者是谁都不清楚。社会工程调查都能让私人侦探事半功倍,被调查人还浑然不觉,调查成本大幅减低,想想这意味着什么?

真正通过技术漏洞进入系统的并不占多数,很多人的被扒往往是通过个人信息泄漏所带来的交叉比对获得的。开房记录只是庞大社工库的一角,地下黑市交易的也不在少数,完全有理由相信再谨慎的人,或完全不接触互联网的人,或多或少都有一定的个人历史信息存留在「社工库」中。 我们可以通过构建新的网络身份混淆比对和追踪。大量被撞库和还未被撞库的人只是因为使用同一密码。除了使用 1Password 或 Enpass 之类的随机生成密码,最好还是对所有国内网站随机生成不同的用户名且不被联想。若注册没有 HTTPS 的网站,不仅要随机用户名密码,最好使用 Guerrila Mail 之类的一次性注册邮箱。

再进一步,服务器还会记录你的登录 IP,操作系统,浏览器版本,登录时间,调用 Cookie。一旦某网站被拖库,或者他人用现成「社工库」比对,就算随机用户名密码和一次性邮箱可还是会有痕迹。因此,我们需要用 Tor 来混淆比对。Tor 自动屏蔽网站上的统计脚本,禁用 cookies,显示 IP 是每次不同的出口地址,使用 Tor 能基本上能做到匿名。

这该是关于 Tor 的最后一篇文章了,就到这里吧。

Video Reference: