新德里 :
2015年7月,维基解密(WikiLeaks)发布了意大利监控供应商Hacking Team的内部电子邮件记录,它罕见地窥视了印度情报机构的购物篮。一个机构想要“感染敏感区域中所有用户的手机或SIM卡,以持续高精度地跟踪其位置”,另一个机构则在寻找“一键式解决方案,以感染任何类型的平台,模型等。只发送短信,而不知道其目标的任何背景(原文如此)”。
这些机构正在询问Hacking Team的旗舰监视产品Remote Control System(RCS)。它专门出售给情报和执法机构,旨在远程监视目标:它可以复制文件,记录Skype通话,阅读电子邮件和即时消息,捕获键入的密码以及打开设备的网络摄像头和麦克风以监视目标。用户。
Mint审阅的电子邮件显示,许多印度机构正在秘密地(直接但主要是通过第三方承包商)与意大利公司进行谈判。但是,目前尚不清楚交易是否成功。
RCS的间谍功能与最近有关Pegasus的启示极为相似,Pegasus是由以色列网络安全公司NSO Group构建的间谍软件,其目标是WhatsApp用户,并促进了该设备的完全收购以捕获其所有活动。 Facebook拥有的WhatsApp起诉该公司,要求其在四大洲的1400名用户的电话上安装监视恶意软件,其中包括至少二十名印度激进主义者,记者,律师和学者。
与黑客团队一样,NSO Group声称仅向政府机构出售软件。尽管印度政府尚未确认与NSO Group的任何交易,但2015年的电子邮件转储表明这是标准做法。一位与印度情报机构密切合作的资深安全研究员在匿名的情况下告诉Mint:“至少从2016年以来,这些机构一直在寻找能够拦截WhatsApp消息的产品。”
WhatsApp黑客再次暴露了印度对监视滥用的担忧。辩论通常是在用户隐私和国家安全之间进行权衡的。官员们说,已经建立了检查权力滥用的程序,但是正如WhatsApp节目所强调的那样,不仅是可疑的恐怖分子,而且民权活动家也经常处于侵入式国家监视的末端。
实际上,我们对印度的监视制度所了解的只是冰山一角。即使没有部署像Pegasus这样的昂贵解决方案来侵入您的设备,政府也有足够的资源从您留下的数据跟踪中了解您的下落。您可以通过以下方法尝试领先侦听游戏。
加密很重要,但这并不是游戏的结局。移动电话常年通过广播信号向电信公司提供我们的位置
关于加密的谬论
传统上,监视被想象为执法人员听电话对话或阅读目标的文本消息。在网络时代,这扩展到了互联网流量:该州希望具有类似的数字通信功能,包括电子邮件,即时消息传递和VoIP通话(例如Skype)。
在这里,加密可以保护您的信息。通过众所周知的数学算法,计算机程序可以通过特殊密钥将纯文本(“我将在旁遮普巴格晚上8点与您会面”)通过特殊密钥转换为密文,只有那些能够使用密钥的人才能解密信息以推断出含义。例如,WhatsApp是端到端加密的,这意味着只有发送者和接收者才能读取内容。
这就是印度政府希望WhatsApp追踪被执法部门标记为非法的消息的来源的原因,这家美国公司表示,由于WhatsApp本身无法访问用于解密信息的特殊密钥,因此无法传递。
加密很重要,它为大规模监视提供了一定程度的保护。但这还不是游戏的结局:您手机上的恶意软件攻击可以控制您的设备,并使您的通信毫无攻击力。
恶意软件的力量
想象一下有数百扇门的城堡。每个门口都部署了数十名保安人员,以保护堡垒。您确定没有人可以进入城堡。但是在一个不为人知的角落里的一个小入口是未知的,没有保护。但是,对手首先发现了它,并使用路线进入城堡,破坏了安全性。
用网络安全的话来说,如果城堡是您的设备或软件,那么未知的门就是“零日漏洞”,这意味着如果攻击者知道某个漏洞,您将有零天的时间来保护系统。安全漏洞是无意中设计的软件的使用–在您执行操作之前,这就是最新的骇客所发生的情况。Pegasus利用一个未知的安全漏洞,在目标设备上远程安装间谍软件。
零日漏洞利用在市场上交易。许多公司都有“漏洞赏金计划”,聘请安全专家来报告其产品中的错误,这是将安全性外包的明智方法,攻击者可以通过多种方式感染恶意软件的目标漏洞:首先,发送受感染的PDF文件或通过电子邮件发送的图像附件:如果下载并打开,则无意中感染了自己的计算机,其中大多数是针对性强的活动,使内容看上去很有吸引力,值得您信任。
然后,仅访问受感染的网页可能会在您的设备上安装危险软件,而无需您下载任何附件或给予其他许可。受害者可能会通过社交媒体帖子或电子邮件链接找到此类链接。这种攻击通常利用Web浏览器中的安全漏洞,其目的是自动运行攻击代码来接管设备。
作为此攻击的特例,目标群体定期访问的一组利基但受欢迎的网站感染了恶意软件。用户下次访问该网站时,就可以用恶意软件感染目标群体了。 9月,TechCrunch报道说:“两年内用于入侵iPhone的许多恶意网站都针对维吾尔族穆斯林”,其中大多数人生活在中国的新疆州。
您如何保护自己免受恶意软件攻击?如果攻击者获得了零时差,您几乎没有任何选择。但是作为预防措施,您应该确保使用最新版本的软件。过时的软件就像一座城堡,每个人都知道敞开的门,但没有任何警卫。不过,大多数人还是没有:根据分析公司StatCounter的最新数据,只有33%的印度智能手机运行的是最新版本的Android。
此外,更便宜的智能手机(带有其自己的定制版本的Android操作系统)将延迟发布更新,从而使用户容易受到已知攻击的侵害(请参见图形以了解更多反侦听方法)。
“ M”代表元数据
大多数人都可以从内容上想象政府的监视:窃听电话以收听对话,可以阅读电子邮件和消息的全文。但是幕后发生了很多事情:即使不知道内容的细节,也可以推断出一个人的下落。
仅仅通过使用服务(无论是拨打电话还是浏览互联网)的行为,我们就会向电信公司和互联网服务提供商(ISP)留下宝贵的数据踪迹:它包括通话详细记录(您与谁通话,何时通话?以及多长时间),呼叫者和接收者的位置和IMEI号码(唯一标识无线电话或设备)以及Web浏览历史记录。
这就是所谓的“元数据”,除了通讯内容之外的所有内容,其含义远比大多数人想象的要具启发性。将这些点连接起来,就可以为人们的生活提供一个亲密的镜头。
举例说明公司和政府可以从元数据中推断出的内容:他们知道您在夜间拨打了电话热线,但不知道您在说什么;他们知道您每天,每月一次或每年一次与您交谈的人,显示您的亲密和远方的联系;他们知道您打了预防自杀热线,但话题不详;他们知道举报人是否在反复与人权活动家或新闻工作者交谈,但不知道所泄露的内容;他们认识一个叫妇科医生的女孩,讲了一个半小时,然后叫了一个经常在深夜和他说话的男人,然后在那天晚些时候给当地的堕胎诊所打了电话。他们知道您访问的网站以及您花费在查看内容上的时间(不,隐身模式无法保护您免受ISP的攻击)。
普林斯顿大学计算机科学与公共事务教授爱德华·费尔滕在美国公民自由联盟提交的宣誓书中解释说:“由于呼叫的内容是非结构化的,因此很难以自动化的方式进行分析。”他写道:“由于一个小组的元数据可以揭示社会,政治和宗教协会的复杂性,因此,由于分析资源有限,分析元数据通常是一种更为强大的分析策略。而不是调查内容。”
位置,位置,位置
此外,移动电话每年都通过广播的信号向电信公司提供我们的位置信息。通过观察不同发射塔从特定用户的移动电话接收到的信号强度,运营商可以计算出该电话必须放置的位置。
位置跟踪不仅仅只是了解您在给定时间的位置:它还可以“用来找出某些人是否处于恋爱关系中,找出谁参加了特定的会议或谁在特定的会议上抗议,或试图找出记者的机密消息来源”,电子前沿基金会在博客文章中解释道。
在印度,电信许可证要求运营商即使没有授权,也必须向当局提供对所有通信数据和内容的直接访问。 2009年,政府宣布将建立一个中央监控系统,该系统将使其“集中访问该国的电信网络,并促进政府机构对电话,短信和Internet使用的直接监控,从而绕过服务提供商”,人权观察在2013年提到。
要保护元数据监视,尤其是呼叫和位置跟踪数据,您无能为力。您可以使用VPN(虚拟专用网络)服务来保护您的浏览活动不受ISP或Tor浏览器进行匿名浏览的限制,但是两者都有其局限性。
缺乏法律
普遍的说法是法律至少落后于技术创新一代,这不适用于印度。该国没有管辖大规模监视的法律。对于有针对性的拦截,有两个主要法令管辖印度监视的法律规定。首先是1885年的《印度电报法》,该法允许截获电话呼叫和消息。其次,2000年《信息技术(IT)法案》规定了拦截数字信息的规定,其中包括存储在计算机中的数据,互联网流量和其他数据流。
两项法案之间的主要区别在于:《信息技术法案》的依据更广泛,缺乏《印度电报法案》所规定的一些保障措施。在后者的情况下,拦截信息应具有“公共紧急状态”或“公共安全利益”的条件。 《 IT法案》没有这样的要求,这使其功能更加强大。
在印度即将制定法律以保护用户数据和隐私的过程中,印度是否会遏制其非法监视自己的公民的权力还有待观察。
结论
事实是,网络空间战争不对称地向攻击者倾斜,攻击者只需利用一个弱点就可以利用您。捍卫者需要保护一切。
这就是为什么在制定数字安全计划时,提出诸如“ X技术是否安全”之类的问题是没有用的。仅使用Signal(强烈推荐的加密即时消息传递应用程序)或Tor(允许匿名Web浏览) )不是解决方案,建议的方法是定义您要保护的对象,与谁进行保护,您愿意权衡多少便利,然后针对明确定义的目标采取特定的安全步骤。
通过采用最佳实践来确保在线安全并遵循计划,您可以使任何人都难以监视您。但是在极端情况下,如果一个民族国家真的想以您为目标,那么它可能会:您的努力将带来障碍,窥探您在财务上会更加昂贵,但是没有什么能提供完全隐私的保证。
Samarth Bansal是驻德里的自由记者。他撰写有关技术,政治和政策的文章。
