讀者來函:當港人用科技工具動員百萬人上街時,我們如何用它保護自己?

一個混跡互聯網20年的網民寫下的網絡安全「懶人包」。
2019年7月1日,示威者在立法會外示威,並佔領馬路。

有話想說嗎?端傳媒非收費頻道「廣場」歡迎各位讀者投稿,寫作形式、立場不拘,請來函community@theinitium.com,跟其他讀者分享你最深度的思考。

六月的香港,街頭上出現許多黑衣青年人的身影,他們手舉標語,走在遊行隊伍的前列。值得注意的是,抗議者往往用口罩遮住嘴鼻,在試圖抵禦催淚瓦斯的同時,也遮擋住自己的模樣。這是抗議者保護自己的一種方法。據英國《金融時報》觀察,此次香港示威者創新地利用了Telegram,LIHKG,AirDrop等多種科技工具來保護自己,並成功動員了百萬人上街。

隨着數字極權時代的到來,保障信息流暢與個人安全的科技手段變得愈發重要。我希望通過分類闡述一些常用的科技工具,能幫助你在網絡世界中獲得多一份的安全感。

想要獲取信息的你

在大陸,想要獲取未經審核的信息是艱難的。內地讀者想了解香港的事態,除了通過官媒的評論外,在微博等即時社交媒體上也會零星出現評論與報導。但你並不總能預測它們會什麼時候消失,這時就需要迅速保存信息以方便日後查閲。截圖是最容易的方式。Chrome瀏覽器的「全頁面屏幕捕獲」(Full Page Screen Capture)等截圖工具也可以方便保存長篇文章。如果你想保存整個網頁,archive.is這樣的網頁時間膠囊可以幫助抓取網頁內容,並以短連接的方式分享。

身在牆內,同樣有方法接觸牆外的信息。除了郵件訂閲,RSS(簡易信息聚合)訂閲可以讓你方便閲讀經常更新的網站。許多被屏蔽的媒體與博客提供免費的RSS推送,讀者只需一個牆內可用的閲讀器,如Inoreader,便可接收。

想要在網上發言的你

在牆內發表言論首先面對的就是敏感詞審核。這項技術是通過提取句段中的文字,並與一個已知的數據庫比對實現的。Citizen Lab的一份研究表明,一款常見的聊天軟件中便存在約18000個關鍵詞。面對這樣一個蠟燭️Emoji便可導致封號的「淨網環境」,許多網友創造性地使用代詞交流,例如用「漁村」代替「香港」,「散步」代替「遊行」。但鑑於文字有可以直接提取的特性,許多代詞在使用過後也被加入了數據庫中,使得這種躲避審查的方法變得愈發困難。

相比於直白的文字信息,圖片中的文字往往更難被機器解讀。審查機構常用的OCR(光學文字識別系統)通過比對文字照片與數據庫進行提取,但往往因字體、排版等因素使得識別率較低。因此,把文字轉化成圖片是在有審查平台上發表言論的有效方法。常用的圖片PS工具可以通過旋轉、顛倒、濾鏡等來進一步降低機器的可讀性,但卻不會對信息的傳播造成較大影響。在敏感時期,微博會禁止用戶使用圖片評論。我們可以推測,對圖像審查會比文字消耗更多的資源。

上文中提到的代詞其實是加密技術的一種簡單實現。將你的信息加密後再傳遞,可以避免運營商或中間人進行截取或審查,而信息接收方只需解密,便可讀取原文。Base64編碼就是一種可將無限長的中文或英文轉換成密文的技術。

在香港得到廣泛使用的Telegram則是一款使用了加密技術的即時通訊軟體。Telegram使用了「端對端加密」技術,來防止第三方的竊取。

端到端加密 (End-to-end encryption,E2EE)是一個只有參與通訊的用戶可以讀取信息的通信系統。總的來說,它可以防止潛在的竊聽者——包括電信供應商、互聯網服務供應商甚至是該通訊系統的提供者——獲取能夠用以解密通訊的密鑰。此類系統被設計為可以防止潛在的監視 或篡改企圖,因為沒有密鑰的第三方難以破譯系統中傳輸或儲存的數據。 舉例來說,使用端到端加密的通訊提供商,將無法將其客戶的通訊數據提供給當局。–Wikipedia

值得指出的是,Telegram並沒有默認開啟端對端加密,亦不支持群聊中的加密。在香港六月的遊行中,Telegram受到來自大陸猛烈的網絡攻擊,一度宕機,一名Telegram公海群主也遭警方逮捕。儘管Telegram的安全性不是最佳,但其較完整的中文生態圈與訂閲功能,吸引了大量華語用戶使用。相比於Telegram,Signal則是另一款受到多個網絡安全機構讚揚的加密通訊軟體。

香港此次遊行的去中心化特點引人注目,而已發展多年的去中心化網絡(decentralize)技術也因近些年加密貨幣的興起再次受到廣泛關注。在中心化的網絡中,如微博與Facebook,用戶的數據統一儲存在中心服務器上,因此可供權力機關進行方便的刪帖,或迫使平台進行自我審查。而去中心化的網絡則讓每個參與者都變成網絡中的一個節點,使得數據分布在網絡的每一台設備上。BitTorrent是一種成熟的網絡文件分享協議,僅需一個種子文件,用戶便可從其他用戶處下載原文件。而由比特幣的區塊鏈協議引申出的IPFS(星際文件系統)則可在全球範圍內永久保存文件或網頁,讓404成為過去。基於此理念,MattersSteemit建立了去中心化的公共討論空間。

想要保護互聯網上隱私的你

儘可能地將對話從不安全的網絡平台轉移到加密平台是保護隱私的重要舉措。中國網信辦在2019年5月出台了《數據安全管理辦法(徵求意見稿)》,意在保護公眾數據安全,並打擊APP的越界信息收集行為。然而,與其期待法條得到有效執行,用戶不如主動減少對向來不尊重隱私的國產軟件的使用。Firefox火狐與Chrome谷歌瀏覽器提供了比中國國產瀏覽器更好的安全特性。

同樣,由於未採取任何通訊隱私措施與最不透明,國際特赦組織將微信與QQ在隱私通訊排名中評為墊底0分(滿分100)。國產輸入法也多次被爆出肆意收集用戶輸入的信息。

在使用網絡平台時,減少使用真實個人信息可以隱藏網絡身份與真實身份的關聯。在香港遊行中,有幾份數碼安全指南得到廣泛流傳。他們都指出使用Telegram時,用戶應該輸入假名與假頭像,並隱藏電話號碼。這樣同時可以減少被「人肉」的可能。

除了用於翻牆,VPN的另一用途是建立代理連接,隱藏用戶的真實IP。使用無痕瀏覽或Tor網絡可以進一步擦除網上衝浪遺留下的「指紋」。電子前哨基金會(EFF)在其官網提供HTTPS Everywhere等一套加強網絡安全的自我保護工具

想要參加活動的你

報導,蘋果設備的AirDrop功能被香港示威者用來在現場傳遞圖片,向公眾宣傳。在人群密集地建立無需電信運營商的溝通渠道是一個聰明的選擇。 AirDrop與Firechat等近程通訊系統,可以通過搭建臨時的網狀網絡(Mesh network)來繞過通訊系統,並建立簡單的對等通訊網絡(peer-to-peer)。

但在活動現場使用數碼設備,用戶應該提高警戒以保證自己的數據安全。使用預付款手機卡,強密碼,加密手機數據並刪除指紋與Face ID等手段都已被示威者廣泛使用。開放科技基金會(Open Technology Found)的專家編寫了一份數碼安全指南,提供了更詳細的指南,方便讀者查閲。

在「數字利維坦」的大環境下,個人的權利與隱私正在被大公司與公權力不斷壓縮。彷彿未來的人們會被劃分為兩種:一種理解科技的運作模式並利用它,另一種則在不知情的情況下被「利用」。此文中提到的科技工具遠非完善,更不能奢求創造出一個絕對安全的數字環境。但有感於兩岸三地的種種事態,分享出來,供大家討論。

參考資料:

The New York Times The Privacy Project

数字极权时代生存手记

EFF: Surveillance Self-Defense

Citizen Lab: Security Planner

编程随想博客

讀者評論 6

會員專屬評論功能升級中,稍後上線。加入會員可閱讀全站內容,享受更多會員福利。
  1. 文章中“散步代替游行”游行的引号反了

    1. 謝謝指出,已修正!

  2. 这篇文章讲的挺全https://steemit.com/life/@iyouport/7nfymr

  3. base64 is NOT encryption. It’s an encoding method. It cannot protect the content. Anyone can decode.

  4. 感谢作者和这篇文章,用自己知道的来提醒和警示。我也还是觉得微信WeChat、QQ(也包括微博吧)等很有威胁性,不是审查社交内容这样普通,正常的话你给了它权限(也有些权限也是默认的但手机不会显示出来),它就会过滤手机上的信息,发现异常时也能记录并后台反馈。国产安全类软件和华为手机也不建议用。有需要用微信等社交软件又看重隐私就备个旧手机用吧。

  5. 啥都没讲