資訊科技與社會 (通識) 小考 D (2013/12/17)

(結尾有充足的提示。 必須將正確答案完整抄寫, 該題才有滿分。 答案請另外寫在答案紙上, 或在正面或背面一片空白處按照 A,B,C,... 的順序作答; 寫在題目旁邊的答案不計分。 姓名學號請 跟答案寫在同一面, 放在那一面的 右下角。)

政府及資訊大廠透過手機/電腦/網路, 監聽民眾、 管制言論。

中國在骨幹網路上佈有一個監聽/管制機制, 官方名稱叫做 (A), 網友則戲稱它為 (B)。 這個機制封鎖了 Facebook、 Youtube、 Twitter 等等西方的社群網站。 今年四到六月間, 臺灣政府一連串動作企圖封鎖網路, 包含 1. 智財局依照不明身份的 「權利人團體」 要求, 企圖封鎖 「境外侵權網站」 2. 修改 (C), 名為對抗 「駭客入侵」 與 「恐怖主義」, 實為阻止吹哨者揭弊 3. NCC 企圖修改 (D), 授權電信業者封網。

美國大兵 (E) 發現美國直升機在伊拉克射殺平民 -- 包含路透社記者。 他將影片及相關資料交給出生於澳洲的 (F) 所建立的揭弊網站 wikileaks。 這段影片在網路上被稱為 "collateral murder" 並引起世界矚目, 也顯示美國政府的軍事行動已不再具有正當性。 另外, 今年六月起, (G) 透過幾家報社連續爆料美國的 (H) 秘密執行許多監聽計畫, 包含最早曝光的稜鏡計畫 (Prism Project) 等等, 顯示美國政府透過入侵資訊大廠、 與資訊大廠合作安置後門、 主導訂定資安標準安置後門、 ... 各種方式來監聽國內外公民。 (E) 和 (G) 兩人都是廿一世紀重要的 (I) -- 這是內部揭弊者的通稱, 他們把大企業或政府背著消費者與公民暗中傷害社會的真相攤在陽光下。 至於 (F) 則因為建立 wikileaks、 鼓勵各國的 (I) 把秘密文件送給他, 而被美國政府視為眼中釘並透過政治力施壓瑞典與英國以各種罪名起訴他。

資訊產業也發展出很多監聽與管制的資訊科技。 除了中國奇虎 360 安全衛士名為保護實為蒐集個資的大木馬之外, 美國的資訊大廠也有許多監聽與管制消費者的不良紀錄。 有一大半的技術以保護智財之名而行 -- 例如 DRM 與信任運算。 但另一個比較出人意料之外的領域是資安保護/加解密演算法。 目前資安界普遍採用 (J) 類型的加密演算法: 每組密碼包含公鑰 (public key) 與私鑰 (private key) 兩部分, 前者公諸於世, 後者私密保藏。 RSA 就是 (J) 類型演算法當中的一個最具代表性的例子。 大家萬萬沒想到的是: 如果用以產生公鑰私鑰的 (K) 被動了手腳, 那麼就連這個舉世公認安全的演算法也會被藏後門。 Intel 的 Ivy Bridge 系列 CPU, 以及 (H) 要求微軟安置在 Windows 裡面的 DUAL_EC_DRBG 加密演算法, 最終的疑點也都指向 (K)。 另一個危險的 "資安科技" 是 (L)。 它的著眼點是從擁有眾多手機的企業或機關組織出發, 而不是從持有手機的員工出發, 讓企業或機關組織的行動裝置管理員可以透過它監聽與遙控任何員工的手機或平板電腦。 所以有人稱它是 「公司/網管人員安裝在你的手機上的 rootkit」。 蘋果電腦的 iMessage 後門, 正好就是留給 (L) 管理員用的。

從資訊科技的角度來看, 指紋、 虹膜、 ... 等等身體特徵稱為 (M)。 它很適合被集權政府拿來監控民眾 (surveillance) 不適合用來作為解鎖的鑰匙。 密碼才是保護個人資安的終極解 -- 如果密碼被破解了, 就換一個; 但如果 (M) 被破解, 你該怎麼辦呢? 可是因為 (M) 使用上遠比密碼方便, 所以一般民眾不明就裡, 很容易被誤導捨棄密碼、 選擇 (M)。 印度政府正在大規模蒐集 (M); 蘋果電腦卻竟以指紋解鎖作為產品安全號召, 也引起電腦高手質疑其動機可疑。

雖說加密是資訊安全的終極解, 但如果你的手機被植入惡意軟體, 隨時在側錄你的一舉一動, 那麼它就很可能可以看見加密之前或解密之後的資訊。 除了由潰客所撰寫的眾多惡意軟體之外, 有兩套最有名、 疑似/已證實是政府用以入侵公民手機的全面惡意側錄監聽軟體。 一是 (美國政府要求?) 美國電信業者要求各家手機業者出廠預裝的 (N), 包含 iPhone、 HTC、 三星的手機都被發現暗藏此軟體; 另一個則是由德國公司 Gamma Group 開發, 並賣給各國政府, 經常被拿來監聽異議份子的 (O)。

Wikileaks 在 2011 年推出一組文件 (P) 詳細記載哪些資通訊大廠販售哪些監聽/管制技術給各國政府。 (O) 就是在此時曝光的。

可以用 「寄信」 的類比來理解 「網路上傳遞封包 (packet)」, 以便了解網路封鎖與突破封鎖之間的對抗戰爭。 掌管網路設備的單位如果決定要 「鎖定特定通訊協定 (例如 p2p) 把這類封包全部丟掉」 那就好像是寄信時遇到某種顏色 (比方說紫色好了) 的信封就把信丟掉, 或故意把這類信件的一定百分比丟掉, 或只是降低其傳輸速度。 這些行為都破壞了網際網路早年的 (Q) 特性 -- 對所有封包 (信封) 一視同仁, 不偏袒。 這時被封鎖的民眾很可能會採用 (R) 類型的技術來翻牆, 也就是把紫色的信封再裝到別的、 未被封鎖顏色的信封袋當中。 於是封鎖者可能進一步實施 (S) -- 就像是把每封信都拆開來檢查一樣。 當然, 如果某類信封具有加密效果 -- 例如採用 ssh (R) 技術翻牆, 那麼 (S) 就只好投降認輸了。 也就是說, 能夠保護隱私的技術, 經常也可以拿來翻牆。 另一個例子是 (T) 技術 -- 它可以讓一個企業裡位於不同大陸的數家分公司之間也能私密通訊, 仿佛他們自己拉了專屬的海底電纜一樣。 這也是為什麼中國和美國政府都要打壓這類技術。

除了政府及資訊大廠勾結、 惡意入侵, 傷害民眾隱私之外, 民眾自己不小心, 或是廠商為了廣告客製化/便利等等正當理由也都有可能造成隱私流失。 FB 跟 google 是最常因此而遭抱怨的公司; 至於 pdfonline 洩個資的案例則是民眾自己沒注意其條款的典型案例。 事實上, 幾乎可以說: 雲端沒有隱私。 真正能夠完全確保雲端隱私的技術有二: (U) 讓雲端服務商可以矇著眼睛幫你計算, 即使它看不懂你的資料, 照樣可以算出你要的結果。 這技術由 IBM 開發, 微軟已實作出來。 (V) 則是自由軟體社群推出的方案, 把資料和程式分在不同的兩朵雲, 兩者只在你的電腦交會。 可惜 (U) 還沒商業化; (V) 不太容易商業化。

以下是保護隱私與資安的一些建議:

  1. 家中無線網路分享器應選取 (W) 方式加密
  2. 搜尋 「firefox privacy」 或類似方式找到保護隱私的瀏覽器外掛套件
  3. 盡量只從開放原始碼的 (X) android 市集下載 apps
  4. 改用 ChatSecure 或是 pidgin 之類支援 (Y) 加密且不留紀錄的即時通軟體
  5. 有必要時, 採用 ssh (R) 或 (T) 之類的翻牆技術, 從安全的主機探頭上網
  6. 不要輕易亂點 e-mail 裡面來歷不明的連結或附件, 以免中了 (Z) 類型 (非技術破解入侵) 的詐騙計謀。

最終, 如同資安專家 Bruce Schneier 所提醒的: Security is a process, not a product. 要保護自身的資安與隱私, 最重要的是有資安概念、 養成良好的使用習慣, 而不是仰賴哪一套產品。


提示: asymmetric encryption 非對稱式加解密, biometric data 生物識別資訊, Bradley Manning, Carrier IQ, Central Intelligence Agency, deep packet inspection 深度封包檢測, Department of Homeland Security, Edward Snowden, f-droid, Federal Bureau of Investigation, FinFisher, firesheep, homomorphic encryption, Julian Assange, mobile device management 行動裝置管理, National Security Agency, network neutrality 網路中立性, off the record messaging, random number generator 亂數產生器, social engineering 社交工程, Spyfiles, tunneling, unhosted, virtual private network, wep, whistleblower, wpa/wpa2, 國安法, 智慧財產法, 金盾工程, 防火長城, 電信法,