資訊科技與社會 (通識) 小考 E (2015/01/05)

(結尾有充足的提示。 必須將正確答案完整抄寫, 該題才有滿分。 答案請另外寫在答案紙上, 或在正面或背面一片空白處按照 A,B,C,... 的順序作答; 寫在題目旁邊的答案不計分。 姓名學號請 跟答案寫在同一面, 放在那一面的 右下角。)

在網路時代, 資訊封鎖/資訊流通之間的戰爭, 可以用寄信的比喻來理解。 各國政府經常以各種理由封鎖資訊。 -- 例如防堵色情、 保護國家機密、 保護智慧財產權、 或是直接了當的言論管制。 最初, 管制的方式可能是觀察網路封包的外觀。 例如封鎖 pps 或封鎖各種 p2p 協定, 就像是郵局依據信封的顏色來決定是否過濾、 丟到垃圾桶裡面去。

於是想要傳遞資訊的一方, 便開始在原來的信封外面多包另一層 (顏色政治正確、 不受管制的) 信封 -- 以網路科技的術語來講, 這種技術叫做 (A)。 ssh 跟 vpn 最常被用來作為 (A) 的工具。 對管制方來說, 這迫使他們不得不拆開每一封信來檢查 -- 相對應的網路技術稱為 (B)。 而被管制的民眾, 最後的終極手段就是採用火星文寫信。 只要人與人之間私密通訊的管道還存在, 資訊就不可能完全封鎖。 所以 censorship 必然走向 surveillance; 另一方面, 保護隱私的終極手段, 就是加密。

最早的加解密方式, 加密時跟解密時使用同一把金鑰, 這類的加解密方式稱為 (C)。 後來出現了 (D) 類型的加解密演算法, 加密時採用 (E), 解密時採用 (F), 前者是公開在網路上的資訊, 後者則是私密的資訊。 End-to-end encryption 是保護隱私最好的方式。 但是如果採用某些較舊的加密演算法 (例如 Diffie-Hellman, 或是沒有讓通話雙方直接用對方的金鑰加密 (例如 iMessage 不合常理的設計), 那麼雖然加密了, 還是有機會遭到訊息傳遞途中網管人員採取 (G) 手段/類型的竊聽。

2013 年行政院發給各級公家機關及學校的 「行動裝置資通安全注意事項」 建議公教職僱員的手機/平板安裝 (H) 軟體。 這類軟體的著眼點是替財產擁有單位 (機關行號) 遠端管理借出去的手機/平板, 而不是替持用人保護隱私或資訊安全。 換個方式說, (H) 是屬於 rootkit 類型的軟體 -- 安裝了 (H) 的手機平板, 其最高控制權在機關行號網管人員手上, 而不在持用人手上。 也就是說, 安裝了 (H) 之後, 網管人員可以任意側錄竊聽手機持用人的通訊, 甚至強制安裝 apps。 非常湊巧地, 上述 iMessage 的後門, 正好為 MDM 管理人員大開。 又非常湊巧地, 該公文一直暗示蘋果的產品比較安全。

另外還有一種出人意料之外的攻擊方式, 就是在亂數產生器裡面動手腳。 加解密演算法需要用它來製造很長的質數來當做金鑰。 如果這個程式碼以特殊的規則縮小選取範圍, 那麼寫程式的人就有可能不需要記錄每一筆金鑰, 而是只需要看到公鑰, 就可以推算出私鑰。 2013 年 Edward Snowden 爆料 NSA 監聽之後, 證實了 (I) 演算法就是這樣的一個後門。 它被 NSA 安插在 Windows、 RSA 加密演算法、 Intel 的 Ivy Bridge 系列 CPU 以及美國國家標準裡面。

澳洲人 (J) 成立維基解密 (wikileaks) 網站, 致力於揭發政府與企業的惡行, 也因而成為美國政府追殺的對象。 他登上時代雜誌封面時, 被美國國旗摀住嘴, 就是象徵著美國政府意圖管制他的言論。 維基解密當中的 (K) 系列文件, 蒐集了許多 「企業與政府用資訊科技聯手監控民眾」 的事證。 美國大兵 (L) 則因為將 「美軍在伊拉克射殺平民」 的錄影帶交給 (J) 公諸於世, 而遭美國政府不人道對待。 2013 年六月, 美國國安局 (NSA) 外包廠商前僱員 (M) 將英美政府聯手監聽全球的諸多事證提供給德國明鏡週刊、 英國衛報、 美國華盛頓郵報, 以 「稜鏡計畫 prism project」 開啟了一系列的爆料。 (L) 與 (M) 都屬於 (N) -- 這些知情人士勇敢揭發政府與企業的騙局, 讓世人看見真相。 2013 年臺灣國安修法名為防堵駭客; 但如果你仔細分析條文, 會發現真正的用意其實是要阻止 (N) 揭發政府黑箱弊端。

『galaxy 後門』、 『iMessage 後門』、 『酷派 後門』、... 電腦及手機大廠侵犯消費者隱私與權益的案例屢見不鮮。 最令人掉下巴的是: 政府跟廠商聯手入侵消費者電子產品。 2011 年底, 開發者發現: 包含蘋果、 Nokia、 RIM (黑莓機製造商)、 三星、 HTC 在內的諸多廠商, 其美國上市的產品當中出廠即暗藏側錄軟體 (O), 竊取用戶在手機上的按鍵輸入、簡訊內容和瀏覽網站等等資訊。 HTC 表示: 因為產品與電信業者搭售, 配合他們的要求才安裝的。 2012 年, 巴林民運人士收到可疑的 e-mail, 於是轉交給加拿大多倫多大學的 Citizen Lab 分析。 專家分析之後, 發現這些 「偽裝成圖檔的可執行檔」 其實是一個執行檔。 它入侵電腦之後, 很刻意地隱匿自身行蹤, 然後竊取螢幕快照、 鍵盤輸入側錄、 skype 通話側錄、 各廠牌的即時通密碼、 各廠牌瀏覽器所儲存的密碼。 事實上早在 2011 年, wikileaks 的 (K) 系列文件就顯示 Gamma International 把 (P) 竊聽工具賣給許多國家政府用以監控其公民。 更不可思議的是, 這隻程式獲得蘋果、 Nokia、 RIM 幾大廠商的數位簽章認證。

消費者應該覺醒: 收你錢的廠商, 未必替你服務, 甚至有可能反過來侵犯你。 想要保護隱私與資訊安全, 最好的方法並不是信任廠商的預設值及官方的 app 市集, 而是要求看見原始碼。 沒有原始碼, 就沒什麼資訊安全好談了。 這也是為什麼技術能力夠的人, 應該認真考慮 root 與刷機, 並且改從 (Q) 這個開放原始碼市集下載 apps。 這個計畫正是因為西藏人的手機隱私不保、 人身安全受到威脅而發起的。 另外, e-mail 可以採用 (R) 加密; 簡訊可以改採用 (NSA 自己也採用的) (S)。


提示: asymetric encryption 非對稱式加解密, backtrack linux, Bradley Manning, carrier IQ, Chris Dodd, cookie monster, coolreaper, deep packet inspection 深度封包檢測, Dual_EC_DRBG, Edward Snowden, f-droid, finfisher, firesheep, Julian Assange, Lawrence Lessig, line, Linus Torvalds, Man-in-the-Middle attack 中間人攻擊, mobile device management 行動裝置管理, Pretty Good Privacy 或 Gnu Privacy Guard, privacy badger, Richard Stallman, Spyfiles, symmetric encryption 對稱式加解密, tunneling, wechat, whistleblower 吹哨者, xmpp/jabber+OTR, 寄件人的公鑰, 寄件人的私鑰, 收件人的公鑰, 收件人的私鑰,