資訊科技與社會 (中興通識) 小考 D (2016/01/07)

(結尾有充足的提示。 必須將正確答案完整抄寫, 該題才有滿分。 答案請另外寫在答案紙上, 或在正面或背面一片空白處按照 A,B,C,... 的順序作答; 寫在題目旁邊的答案不計分。 姓名學號如果寫在 答案那一面右下角, 可以多得 3 分。)

2011 年在美國上市的許多手機 -- 包含蘋果、 三星、 HTC、 Sony Ericsson、 T-mobile 等等廠商的產品 -- 都在美國電信業者的要求之下, 預先安裝了一個隱密且不可移除 (除非你有最高權限) 的側錄程式 (A)。 2012 年巴林民運人士請加拿大多倫多大學公民實驗室所分析的惡意手機程式 (B) 不只會竊取手機用戶個資, 還會接受神秘伺服器的遙控。 這個程式由德國廠商 Gamma International 所開發, 專門賣給各國政府用以監控民眾。 它透過 iTunes 的一個漏洞入侵用戶手機; 這個 iTunes 漏洞早在 2007 年被發現, 專家多次要求蘋果修補, 蘋果卻拖到 2011 年維基解密把 (B) 的廣告公諸於世的時候才修補。 (B) 甚至獲得蘋果、 Nokia、 RIM 三家廠商的數位簽章。 (為什麼惡意 app 會獲得手機大廠的簽章?)

3C 軟硬體大廠要大眾相信棄權比較安全、 官方預載的或認證過的 apps 比較安全; 但事實並非如此。 以上兩個例子, 還有 『百度 wormhole』、 『三星後門』、 『iMessage 後門』、 『windows 的 NSA 後門 (C)』 等等諸多例子都是反例。 有太多的案例顯示: 各國政府 (包含英美等等所謂民主國家) 跟軟硬體廠商經常彼此配合、 聯手入侵民眾的電腦/手機。 江宜樺任行政院長時, 除了三次企圖管制網路之外, 還發了一份名為 「行動裝置資通安全注意事項」 的公文, 公然說謊企圖誘使全國公教人員安裝遠端監控軟體 (D)。 (D) 的應用場合主要是像貨運公司追蹤司機位置之類的情境, 公司在公司的財產上面安裝遠端監控軟體 (基本上就是由公司所控管的 rootkit)、 派發給司機, 並且應該明確告知其用途, 而不該是誘騙員工安裝在自己私人的手機上。

澳洲人 (E) 創立維基解密 (wikileaks) 網站, 致力於揭發政府及大企業的惡行, 以致遭美國政府追殺。 美國國安局前僱員 (F) 在 2013 年透過三大國際媒體揭露 NSA 對全球通訊監控, 也遭到美國政府通緝。 這些人做的事可能違法, 但卻對社會非常重要。 當政府違法監控民眾、 惡質廠商踐踏消費者權益時, 大眾的權益需要仰賴 「知道內情並且勇於揭發弊端」 的這類 (G) 人士來協助維護。

中國政府為了管制思想與言論而建立了 (被西方人士戲稱為) (H) 來封鎖外國資訊、 美國則舉著保護智慧財產權的大旗開始意欲管制網路。 不論管制的內容是什麼, 從技術的角度來說, 最終一定走向監控。 因為只要人與人之間存在私密溝通的管道, 資訊就不可能完全封鎖。 網路上來來往往的封包有 http、 ftp、 smtp、 pop、 ... 等等各種不同的 (I), 就像信封有各種不同的顏色與外觀。 意欲管制民眾通訊內容的政府與廠商可能會根據其外觀來決定是否傳遞此一封包。 於是民眾會開始採用 (J) 類型的技術, 相當於在 (違禁顏色的) 信封外面再包上一層不同顏色的合法信封。 管制者就會採取 (K) 措施來反制 -- 意思跟拆信檢查內容差不多。 最終, 民眾只好對資料加密 -- 相當於用火星文寫信。 最常被拿來做 (J) 的技術包含 (L) 與 (M), 它們同時也提供加密功能。 這些技術既可以用來保護個人隱私與商業機密, 同時也可以用來翻牆。

加密, 是保護隱私的終極防禦武器。 舊的加密方式, 加密與解密時採用同一把金鑰。 新的加密方式稱為 (N) -- 因為它加密時採用 (O) 而解密時採用 (P)。

至於指紋解鎖及虹膜解鎖等等依賴 (Q) 類型的技術, 適合拿來讓政府監控民眾而不適合拿來保護隱私。 蘋果的資安專家為什麼會犯這麼明顯的錯誤呢? 值得你好奇。

程式的臭蟲漏洞到處都有; 但後門則很難存在於自由軟體當中。 所以重視資訊安全的玩家, 經常透過 root 或越獄取得手機最高權限, 又透過刷機換成開放原始碼的 ROM, 並且從開放原始碼的 (R) 市集取得 apps。 「陽光是最好的消毒劑。」 Guardian Project 跟 EFF 的 Surveillance Self-Defense 都做相同的推薦。

潰客入侵你的手機電腦, 有時採取的並非硬碰硬的技術入侵, 而是 (S) 類型的軟性欺騙, 例如假造 e-mail、 釣魚、 機器人交友帳號等等。 此外, 還有人肉搜索、 google 眼鏡等等 「非本身採用技術」 所能夠應對處理的隱私外洩問題。 資安專家 Bruce Schneier 說 「Security is a process, not a product.」 同樣適用於隱私保護。 盡量堅持 「僅採用自由軟體」, 是保護隱私的必要條件, 但並非充分條件。

提示: anonymous, asymmetric encryption 非對稱式加解密, biometric 生物識別, Bradley Manning, camera 360, Carrier IQ, Chris Dodd, communication protocol 通訊協定, deep packet inspection 深度封包檢測, Dual EC DRBG, Edward Snowden, f-droid, FinFisher, Great Cannon of China, Great Firewall of China 防火長城, heartbleed, homomorphic encryption, Julian Assange, Mobile Device Management 行動裝置管理, Prism Project 稜鏡計畫, sip, social engineering 社交工程, spyfiles, ssh, stagefright, stylometry, tunneling, unhosted, vpn, whistle blower 吹哨者, wormhole, xcode, xmpp, 寄件人的公鑰, 寄件人的私鑰, 收件人的公鑰, 收件人的私鑰,