读者来函:当港人用科技工具动员百万人上街时,我们如何用它保护自己?

一个混迹互联网20年的网民写下的网络安全“懒人包”。
2019年7月1日,示威者在立法会外示威,并占领马路。

有话想说吗?端传媒非收费频道“广场”欢迎各位读者投稿,写作形式、立场不拘,请来函community@theinitium.com,跟其他读者分享你最深度的思考。

六月的香港,街头上出现许多黑衣青年人的身影,他们手举标语,走在游行队伍的前列。值得注意的是,抗议者往往用口罩遮住嘴鼻,在试图抵御催泪瓦斯的同时,也遮挡住自己的模样。这是抗议者保护自己的一种方法。据英国《金融时报》观察,此次香港示威者创新地利用了Telegram,LIHKG,AirDrop等多种科技工具来保护自己,并成功动员了百万人上街。

随着数字极权时代的到来,保障信息流畅与个人安全的科技手段变得愈发重要。我希望通过分类阐述一些常用的科技工具,能帮助你在网络世界中获得多一份的安全感。

想要获取信息的你

在大陆,想要获取未经审核的信息是艰难的。内地读者想了解香港的事态,除了通过官媒的评论外,在微博等即时社交媒体上也会零星出现评论与报道。但你并不总能预测它们会什么时候消失,这时就需要迅速保存信息以方便日后查阅。截图是最容易的方式。Chrome浏览器的“全页面屏幕捕获”(Full Page Screen Capture)等截图工具也可以方便保存长篇文章。如果你想保存整个网页,archive.is这样的网页时间胶囊可以帮助抓取网页内容,并以短连接的方式分享。

身在墙内,同样有几种方法接触墙外的信息。除了邮件订阅,RSS(简易信息聚合)订阅可以让你方便阅读经常更新的网站。许多被屏蔽的媒体与博客提供免费的RSS推送,读者只需一个墙内可用的阅读器,如Inoreader,便可接收。

想要在网上发言的你

在墙内发表言论首先面对的就是敏感词审核。这项技术是通过提取句段中的文字,并与一个已知的数据库比对实现的。Citizen Lab的一份研究表明,一款常见的聊天软件中便存在约18000个关键词。面对这样一个蜡烛Emoji便可导致封号的“净网环境”,许多网友创造性地使用代词交流,例如用“渔村”代替“香港”,“散步”代替“游行”。但鉴于文字有可以直接提取的特性,许多代词在使用过后也被加入了数据库中,使得这种躲避审查的方法变得愈发困难。

相比于直白的文字信息,图片中的文字往往更难被机器解读。审查机构常用的OCR(光学文字识别系统)通过比对文字照片与数据库进行提取,但往往因字体、排版等因素使得识别率较低。因此,把文字转化成图片是在有审查平台上发表言论的有效方法。常用的图片PS工具可以通过旋转、颠倒、滤镜等来进一步降低机器的可读性,但却不会对信息的传播造成较大影响。在敏感时期,微博会禁止用户使用图片评论。我们可以推测,对图像审查会比文字消耗更多的资源。

上文中提到的代词其实是加密技术的一种简单实现。将你的信息加密后再传递,可以避免运营商或中间人进行截取或审查,而信息接收方只需解密,便可读取原文。Base64编码就是一种可将无限长的中文或英文转换成密文的技术。

在香港得到广泛使用的Telegram则是一款使用了加密技术的即时通讯软体。Telegram使用了“端对端加密”技术,来防止第三方的窃取。

端到端加密 (End-to-end encryption,E2EE)是一个只有参与通讯的用户可以读取信息的通信系统。总的来说,它可以防止潜在的窃听者——包括电信供应商、互联网服务供应商甚至是该通讯系统的提供者——获取能够用以解密通讯的密钥。此类系统被设计为可以防止潜在的监视 或篡改企图,因为没有密钥的第三方难以破译系统中传输或储存的数据。 举例来说,使用端到端加密的通讯提供商,将无法将其客户的通讯数据提供给当局。--Wikipedia

值得指出的是,Telegram并没有默认开启端对端加密,亦不支持群聊中的加密。在香港六月的游行中,Telegram受到来自大陆猛烈的网络攻击,一度宕机,一名Telegram公海群主也遭警方逮捕。尽管Telegram的安全性不是最佳,但其较完整的中文生态圈与订阅功能,吸引了大量华语用户使用。相比于Telegram,Signal则是另一款受到多个网络安全机构赞扬的加密通讯软体。

香港此次游行的去中心化特点引人注目,而已发展多年的去中心化网络(decentralize)技术也因近些年加密货币的兴起再次受到广泛关注。在中心化的网络中,如微博与Facebook,用户的数据统一储存在中心服务器上,因此可供权力机关进行方便的删帖,或迫使平台进行自我审查。而去中心化的网络则让每个参与者都变成网络中的一个节点,使得数据分布在网络的每一台设备上。BitTorrent是一种成熟的网络文件分享协议,仅需一个种子文件,用户便可从其他用户处下载原文件。而由比特币的区块链协议引申出的IPFS(星际文件系统)则可在全球范围内永久保存文件或网页,让404成为过去。基于此理念,MattersSteemit建立了去中心化的公共讨论空间。

想要保护互联网上隐私的你

尽可能地将对话从不安全的网络平台转移到加密平台是保护隐私的重要举措。中国网信办在2019年5月出台了《数据安全管理办法(征求意见稿)》,意在保护公众数据安全,并打击APP的越界信息收集行为。然而,与其期待法条得到有效执行,用户不如主动减少对向来不尊重隐私的国产软件的使用。Firefox火狐与Chrome谷歌浏览器提供了比中国国产浏览器更好的安全特性。

同样,由于未采取任何通讯隐私措施与最不透明,国际特赦组织将微信与QQ在隐私通讯排名中评为垫底0分(满分100)。国产输入法也多次被爆出肆意收集用户输入的信息。

在使用网络平台时,减少使用真实个人信息可以隐藏网络身份与真实身份的关联。在香港游行中,有几份数码安全指南得到广泛流传。他们都指出使用Telegram时,用户应该输入假名与假头像,并隐藏电话号码。这样同时可以减少被“人肉”的可能。

除了用于翻墙,VPN的另一用途是建立代理连接,隐藏用户的真实IP。使用无痕浏览或Tor网络可以进一步擦除网上冲浪遗留下的“指纹”。电子前哨基金会(EFF)在其官网提供HTTPS Everywhere等一套加强网络安全的自我保护工具

想要参加活动的你

报道,苹果设备的AirDrop功能被香港示威者用来在现场传递图片,向公众宣传。在人群密集地建立无需电信运营商的沟通渠道是一个聪明的选择。 AirDrop与Firechat等近程通讯系统,可以通过搭建临时的网状网络(Mesh network)来绕过通讯系统,并建立简单的对等通讯网络(peer-to-peer)。

但在活动现场使用数码设备,用户应该提高警戒以保证自己的数据安全。使用预付款手机卡,强密码,加密手机数据并删除指纹与Face ID等手段都已被示威者广泛使用。开放科技基金会(Open Technology Found)的专家编写了一份数码安全指南,提供了更详细的指南,方便读者查阅。

在“数字利维坦”的大环境下,个人的权利与隐私正在被大公司与公权力不断压缩。仿佛未来的人们会被划分为两种:一种理解科技的运作模式并利用它,另一种则在不知情的情况下被“利用”。此文中提到的科技工具远非完善,更不能奢求创造出一个绝对安全的数字环境。但有感于两岸三地的种种事态,分享出来,供大家讨论。

参考资料:

The New York Times The Privacy Project

数字极权时代生存手记

EFF: Surveillance Self-Defense

Citizen Lab: Security Planner

编程随想博客

读者评论 6

会员专属评论功能升级中,稍后上线。加入会员可阅读全站内容,享受更多会员福利。
  1. 文章中“散步代替游行”游行的引号反了

    1. 謝謝指出,已修正!

  2. 这篇文章讲的挺全https://steemit.com/life/@iyouport/7nfymr

  3. base64 is NOT encryption. It's an encoding method. It cannot protect the content. Anyone can decode.

  4. 感谢作者和这篇文章,用自己知道的来提醒和警示。我也还是觉得微信WeChat、QQ(也包括微博吧)等很有威胁性,不是审查社交内容这样普通,正常的话你给了它权限(也有些权限也是默认的但手机不会显示出来),它就会过滤手机上的信息,发现异常时也能记录并后台反馈。国产安全类软件和华为手机也不建议用。有需要用微信等社交软件又看重隐私就备个旧手机用吧。