Risk and Empowerment:Information Security and the Tibetan Community
- 主題|風險與培力:藏人社群及資訊安全
- 主講|Masashi Nishihata(The Citizen Lab, University of Toronto)
- 文字整理|西藏台灣人權連線志工 安安公主
Story:從一個大學的研究計畫到認識藏人族群
Threats in Exile:流亡藏人面臨的資安威脅
Behind the Great Firewall:數位審查制度造成與境內藏人溝通的障礙
Community Empowerment:流亡藏人社群對數位安全的意識提升與行動
-
Story
- 達蘭薩拉的藏人社群,他們長久以來對電腦及資訊安全有很深的關切。我們2008年有位同仁開始了解他們面臨什麼樣的風險,合作至今。
- 藏人NGO會收到像這樣的郵件:例如從freetibet.org寄來的,在講跟那些NGO相關的流亡情形。這看起來就像日常的一封郵件,還有個像word檔的附件,但這附件其實是個惡意程式。點下去會允許駭客連結到你的電腦,在你的電腦安裝GhOst RAT,讓駭客可以管理你的電腦中的檔案資料、擷取螢幕畫面、記錄所有打下的字以及操控電腦鏡頭和麥克風。有很多類似的遠端木馬程式,GhOst RAT是特別有效的一種。
- 很多藏人受了影響,我們研究也發現全球有超過一千台電腦遭受這樣的惡意攻擊。其中三成,包括政府機關、私人機構都是特別吸引駭客的目標。
- 追蹤後發現攻擊起源自中國,但我們現有的資訊還無法明確指出中國政府在其中扮演了什麼樣的角色。我們發現這是長期監視、竊取資訊的行動。
-
Threats in Exile
- 藏人被當成攻擊目標的時候,是以社群的角度出發,不是只有幾個人或達賴喇嘛被瞄準。
- 從駭客的角度來思考,假設這是藏人組織的電腦工作網絡。駭客會先到組織的網站搜集組織成員的email,然後寫惡意程式的信給這些成員,只要有一個人打開了,駭客就可以取得一台電腦的連結。
- 有可能這台電腦沒有特別的資訊,但這給了駭客一個跳板來找到更有用的電腦。擁有更多該組織的資訊後,還可以攻擊其他組織。
- 從藏人收到的幾封真實信件為例,有的留了寄件人姓名看起來較有真實性,或冒用真實的身份。可以注意寄信網址怪怪的,跟冒用的身份可能有不符合。
- 也有郵件裝作會議意見徵集、附上西藏文的新年快樂,都看起來非常量身定做。例如有封信寄了專門攻擊微軟系統的惡意程式,我們便試著回覆說我們的蘋果電腦點不開,對方回信後寄給我們一個連結來確認你的電腦是哪款,再給你哪個惡意程式。可見後面有真實存在的人在操作、設計。
- 藏人社群開始倡議Detach from attachments(意為:「勿開附檔」,也有佛教用語雙關「放下執念」之意),倡導大家盡量使用雲端服務。駭客後來也開始用雲端。當社群改變習慣,駭客也改變作法。
- 十個月前,又有新的做法,連結到一個輸入帳號密碼在同一個頁面的假google釣魚網站,而真的google是先輸入email才輸入密碼。比起以前要攻擊電腦,現在的攻擊是為了取得帳號資訊。大家可以用兩步驟驗證(手機驗證碼)來保障帳號安全。這些攻防演化是無止盡的。
- 藏人被當成攻擊目標的時候,是以社群的角度出發<,不是只有幾個人或達賴喇嘛被瞄準。
- 從駭客的角度來思考,假設這是藏人組織的電腦工作網絡。駭客會先到組織的網站搜集組織成員的email,然後寫惡意程式的信給這些成員,只要有一個人打開了,駭客就可以取得一台電腦的連結。
- 有可能這台電腦沒有特別的資訊,但這給了駭客一個跳板來找到更有用的電腦。擁有更多該組織的資訊後,還可以攻擊其他組織。
- 從藏人收到的幾封真實信件為例,有的留了寄件人姓名看起來較有真實性,或冒用真實的身份。可以注意寄信網址怪怪的,跟冒用的身份可能有不符合。
- 也有郵件裝作會議意見徵集、附上西藏文的新年快樂,都看起來非常量身定做。例如有封信寄了專門攻擊微軟系統的惡意程式,我們便試著回覆說我們的蘋果電腦點不開,對方回信後寄給我們一個連結來確認你的電腦是哪款,再給你哪個惡意程式。可見後面有真實存在的人在操作、設計。
- 藏人社群開始倡議Detach from attachments(意為:「勿開附檔」,也有佛教用語雙關「放下執念」之意),倡導大家盡量使用雲端服務。駭客後來也開始用雲端。當社群改變習慣,駭客也改變作法。
- 十個月前,又有新的做法,連結到一個輸入帳號密碼在同一個頁面的假google釣魚網站,而真的google是先輸入email才輸入密碼。比起以前要攻擊電腦,現在的攻擊是為了取得帳號資訊。大家可以用兩步驟驗證(手機驗證碼)來保障帳號安全。這些攻防演化是無止盡的。
-
數位審查制度造成與境內藏人溝通的障礙
- 有的社群媒體在中國是被封鎖的,而當地的社群網站要遵循中國的規範。我們實驗室在研究這些規範如何操作。
- 像Skype在中國要跟TOM公司合作,變成TOM-Skype。2008年時我們想知道什麼內容會被禁止,我們就一台電腦用一般的Skype另一台用TOM-Skype。我們發現輸入特定關鍵字會加密連線到一個伺服器,檢視後,我們發現裡面有許多加密檔案。我們找到了解鎖的金鑰,打開後,可以看到一百二十萬筆的交談資料,包括看哪些人的聊天訊息。很多關鍵字都跟政治有關,例如「台灣獨立」。特殊的關鍵字有可能被審查,或被記錄到伺服器。關鍵字也會更新,跟上世界正發生的事件。例如加央班丹的名字在他自焚後,被加入了關鍵字清單。我們2008年提出了一份研究報告,Skype解釋說TOM在中國依法必須做這些審查。這讓我們有證據顯示,中國確實在審查、監控用戶。
- 而微信讓中國境內外的藏人得以聯絡,但這些好處帶來了風險。微信也需要遵守中國的規範,他們是說只審查中國的使用者而不影響國外的使用者。用中國電話來註冊就會被審查,即使換號碼還是會繼續受審查。有時關鍵字各自傳送沒問題,在同一則發言就會被擋,或字不連在一起就沒事。關鍵字也一直在增加。甚至簡體字、繁體字、英文、藏文、印度文都可能被擋。微信想掌握好中國內和國際用戶的隱私平衡有很多困難。
- 我們與流亡藏人組織有很多合作,例如Tibet Action Institute,一起做教育宣導。我們希望很多草根組織能對資安威脅有了解,並掌握知識。我們相信藏人社群的經驗可以讓許多其他的公民團體學習。
-
Q&A
- Q:請問新疆跟內蒙古有沒有受到類似的威脅,他們之間有什麼交流嗎?會推薦柬埔寨跟越南的組織用什麼來聯絡呢?
A:維吾爾、香港跟台灣的社群都有類似的威脅。交流學習數位安全也是一種團結。至於柬埔寨跟越南有什麼比較好的預防審查、監控的工具或通訊軟體,要回到當地的脈絡來想辦法。 - Q:據說很多中國製造的電信設備、硬體,有被設後門?
A:那不是我們實驗室的專長。美國也有很多謠言,因此很難對這些設備完全地信任。我想這是一個很大的題目不過我無法回答。 - Q:如果臉書跟中國政府達成協議,對現在的臉書用戶會不會是個災難?
A:我不確定臉書會不會這麼做,不過假使臉書要進軍中國市場,最好透明公開他們所做的妥協以及中國用戶會有哪些限制。 - Q:境內境外很多人用微信,像李明哲案的問題以及近期微信出狀況與十九大的關聯,會不會對藏人社群造成新威脅?
A:確實有藏人因為分享西藏旗幟、歌曲或達賴喇嘛的圖像被捕。我們不確定他們分享的資訊是如何流到官方手中,可能是群聊流出去的或其實受到了監控,這些都值得關心後續。 - Q:Google是美國公司,而美國也有很多監控的消息,有人說應該在網路設一個公海,讓倡議者可以被保障不被捕。
A:有很多國家,包括極權跟民主國家都有審查或監控的行為。其實這關係到你信任誰,例如有的藏人跟我說因為google不進入中國市場所以選擇相信google的立場。確實有很多人嘗試開發新的網路空間,但困難是怎麼讓大家來用新的平台,畢竟受歡迎的社群平台比較能連結朋友或分享資訊。 - A:我們在持續研究微信,對新推出的審查規範很感興趣,特別是與十九大相關者。我們也試著讓研究成果更有易及性。雖然也想了解數位的審查、監控如何影響社會,但這些很難研究。(何明諠補充:台灣的公用網路也有審查,像台北的網路會擋色情網站、賭博網站跟伊莉。)
- Q:請問新疆跟內蒙古有沒有受到類似的威脅,他們之間有什麼交流嗎?會推薦柬埔寨跟越南的組織用什麼來聯絡呢?
參考
- https://netalert.me/secure-accounts.html
- cybersuperhero.net