新德里 :
2015年7月,維基解密(WikiLeaks)發布了義大利監控供應商Hacking Team的內部電子郵件記錄,它罕見地窺視了印度情報機構的購物籃。一個機構想要「感染敏感區域中所有用戶的手機或SIM卡,以持續高精度地跟蹤其位置」,另一個機構則在尋找「一鍵式解決方案,以感染任何類型的平台,模型等。只發送簡訊,而不知道其目標的任何背景(原文如此)」。
這些機構正在詢問Hacking Team的旗艦監視產品Remote Control System(RCS)。它專門出售給情報和執法機構,旨在遠程監視目標:它可以複製文件,記錄Skype通話,閱讀電子郵件和即時消息,捕獲鍵入的密碼以及打開設備的網路攝像頭和麥克風以監視目標。用戶。
Mint審閱的電子郵件顯示,許多印度機構正在秘密地(直接但主要是通過第三方承包商)與義大利公司進行談判。但是,目前尚不清楚交易是否成功。
RCS的間諜功能與最近有關Pegasus的啟示極為相似,Pegasus是由以色列網路安全公司NSO Group構建的間諜軟體,其目標是WhatsApp用戶,並促進了該設備的完全收購以捕獲其所有活動。 Facebook擁有的WhatsApp起訴該公司,要求其在四大洲的1400名用戶的電話上安裝監視惡意軟體,其中包括至少二十名印度激進主義者,記者,律師和學者。
與黑客團隊一樣,NSO Group聲稱僅向政府機構出售軟體。儘管印度政府尚未確認與NSO Group的任何交易,但2015年的電子郵件轉儲表明這是標準做法。一位與印度情報機構密切合作的資深安全研究員在匿名的情況下告訴Mint:「至少從2016年以來,這些機構一直在尋找能夠攔截WhatsApp消息的產品。」
WhatsApp黑客再次暴露了印度對監視濫用的擔憂。辯論通常是在用戶隱私和國家安全之間進行權衡的。官員們說,已經建立了檢查權力濫用的程序,但是正如WhatsApp節目所強調的那樣,不僅是可疑的恐怖分子,而且民權活動家也經常處於侵入式國家監視的末端。
實際上,我們對印度的監視制度所了解的只是冰山一角。即使沒有部署像Pegasus這樣的昂貴解決方案來侵入您的設備,政府也有足夠的資源從您留下的數據跟蹤中了解您的下落。您可以通過以下方法嘗試領先偵聽遊戲。
加密很重要,但這並不是遊戲的結局。行動電話常年通過廣播信號向電信公司提供我們的位置
關於加密的謬論
傳統上,監視被想像為執法人員聽電話對話或閱讀目標的文本消息。在網路時代,這擴展到了互聯網流量:該州希望具有類似的數字通信功能,包括電子郵件,即時消息傳遞和VoIP通話(例如Skype)。
在這裡,加密可以保護您的信息。通過眾所周知的數學演算法,計算機程序可以通過特殊密鑰將純文本(「我將在旁遮普巴格晚上8點與您會面」)通過特殊密鑰轉換為密文,只有那些能夠使用密鑰的人才能解密信息以推斷出含義。例如,WhatsApp是端到端加密的,這意味著只有發送者和接收者才能讀取內容。
這就是印度政府希望WhatsApp追蹤被執法部門標記為非法的消息的來源的原因,這家美國公司表示,由於WhatsApp本身無法訪問用於解密信息的特殊密鑰,因此無法傳遞。
加密很重要,它為大規模監視提供了一定程度的保護。但這還不是遊戲的結局:您手機上的惡意軟體攻擊可以控制您的設備,並使您的通信毫無攻擊力。
惡意軟體的力量
想像一下有數百扇門的城堡。每個門口都部署了數十名保安人員,以保護堡壘。您確定沒有人可以進入城堡。但是在一個不為人知的角落裡的一個小入口是未知的,沒有保護。但是,對手首先發現了它,並使用路線進入城堡,破壞了安全性。
用網路安全的話來說,如果城堡是您的設備或軟體,那麼未知的門就是「零日漏洞」,這意味著如果攻擊者知道某個漏洞,您將有零天的時間來保護系統。安全漏洞是無意中設計的軟體的使用–在您執行操作之前,這就是最新的駭客所發生的情況。Pegasus利用一個未知的安全漏洞,在目標設備上遠程安裝間諜軟體。
零日漏洞利用在市場上交易。許多公司都有「漏洞賞金計劃」,聘請安全專家來報告其產品中的錯誤,這是將安全性外包的明智方法,攻擊者可以通過多種方式感染惡意軟體的目標漏洞:首先,發送受感染的PDF文件或通過電子郵件發送的圖像附件:如果下載並打開,則無意中感染了自己的計算機,其中大多數是針對性強的活動,使內容看上去很有吸引力,值得您信任。
然後,僅訪問受感染的網頁可能會在您的設備上安裝危險軟體,而無需您下載任何附件或給予其他許可。受害者可能會通過社交媒體帖子或電子郵件鏈接找到此類鏈接。這種攻擊通常利用Web瀏覽器中的安全漏洞,其目的是自動運行攻擊代碼來接管設備。
作為此攻擊的特例,目標群體定期訪問的一組利基但受歡迎的網站感染了惡意軟體。用戶下次訪問該網站時,就可以用惡意軟體感染目標群體了。 9月,TechCrunch報道說:「兩年內用於入侵iPhone的許多惡意網站都針對維吾爾族穆斯林」,其中大多數人生活在中國的新疆州。
您如何保護自己免受惡意軟體攻擊?如果攻擊者獲得了零時差,您幾乎沒有任何選擇。但是作為預防措施,您應該確保使用最新版本的軟體。過時的軟體就像一座城堡,每個人都知道敞開的門,但沒有任何警衛。不過,大多數人還是沒有:根據分析公司StatCounter的最新數據,只有33%的印度智能手機運行的是最新版本的Android。
此外,更便宜的智能手機(帶有其自己的定製版本的Android操作系統)將延遲發布更新,從而使用戶容易受到已知攻擊的侵害(請參見圖形以了解更多反偵聽方法)。
「 M」代表元數據
大多數人都可以從內容上想像政府的監視:竊聽電話以收聽對話,可以閱讀電子郵件和消息的全文。但是幕後發生了很多事情:即使不知道內容的細節,也可以推斷出一個人的下落。
僅僅通過使用服務(無論是撥打電話還是瀏覽互聯網)的行為,我們就會向電信公司和互聯網服務提供商(ISP)留下寶貴的數據蹤跡:它包括通話詳細記錄(您與誰通話,何時通話?以及多長時間),呼叫者和接收者的位置和IMEI號碼(唯一標識無線電話或設備)以及Web瀏覽歷史記錄。
這就是所謂的「元數據」,除了通訊內容之外的所有內容,其含義遠比大多數人想像的要具啟發性。將這些點連接起來,就可以為人們的生活提供一個親密的鏡頭。
舉例說明公司和政府可以從元數據中推斷出的內容:他們知道您在夜間撥打了電話熱線,但不知道您在說什麼;他們知道您每天,每月一次或每年一次與您交談的人,顯示您的親密和遠方的聯繫;他們知道您打了預防自殺熱線,但話題不詳;他們知道舉報人是否在反覆與人權活動家或新聞工作者交談,但不知道所泄露的內容;他們認識一個叫婦科醫生的女孩,講了一個半小時,然後叫了一個經常在深夜和他說話的男人,然後在那天晚些時候給當地的墮胎診所打了電話。他們知道您訪問的網站以及您花費在查看內容上的時間(不,隱身模式無法保護您免受ISP的攻擊)。
普林斯頓大學計算機科學與公共事務教授愛德華·費爾滕在美國公民自由聯盟提交的宣誓書中解釋說:「由於呼叫的內容是非結構化的,因此很難以自動化的方式進行分析。」他寫道:「由於一個小組的元數據可以揭示社會,政治和宗教協會的複雜性,因此,由於分析資源有限,分析元數據通常是一種更為強大的分析策略。而不是調查內容。」
位置,位置,位置
此外,行動電話每年都通過廣播的信號向電信公司提供我們的位置信息。通過觀察不同發射塔從特定用戶的行動電話接收到的信號強度,運營商可以計算出該電話必須放置的位置。
位置跟蹤不僅僅只是了解您在給定時間的位置:它還可以「用來找出某些人是否處於戀愛關係中,找出誰參加了特定的會議或誰在特定的會議上抗議,或試圖找出記者的機密消息來源」,電子前沿基金會在博客文章中解釋道。
在印度,電信許可證要求運營商即使沒有授權,也必須向當局提供對所有通信數據和內容的直接訪問。 2009年,政府宣布將建立一個中央監控系統,該系統將使其「集中訪問該國的電信網路,並促進政府機構對電話,簡訊和Internet使用的直接監控,從而繞過服務提供商」,人權觀察在2013年提到。
要保護元數據監視,尤其是呼叫和位置跟蹤數據,您無能為力。您可以使用VPN(虛擬專用網路)服務來保護您的瀏覽活動不受ISP或Tor瀏覽器進行匿名瀏覽的限制,但是兩者都有其局限性。
缺乏法律
普遍的說法是法律至少落後於技術創新一代,這不適用於印度。該國沒有管轄大規模監視的法律。對於有針對性的攔截,有兩個主要法令管轄印度監視的法律規定。首先是1885年的《印度電報法》,該法允許截獲電話呼叫和消息。其次,2000年《信息技術(IT)法案》規定了攔截數字信息的規定,其中包括存儲在計算機中的數據,互聯網流量和其他數據流。
兩項法案之間的主要區別在於:《信息技術法案》的依據更廣泛,缺乏《印度電報法案》所規定的一些保障措施。在後者的情況下,攔截信息應具有「公共緊急狀態」或「公共安全利益」的條件。 《 IT法案》沒有這樣的要求,這使其功能更加強大。
在印度即將制定法律以保護用戶數據和隱私的過程中,印度是否會遏制其非法監視自己的公民的權力還有待觀察。
結論
事實是,網路空間戰爭不對稱地向攻擊者傾斜,攻擊者只需利用一個弱點就可以利用您。捍衛者需要保護一切。
這就是為什麼在制定數字安全計劃時,提出諸如「 X技術是否安全」之類的問題是沒有用的。僅使用Signal(強烈推薦的加密即時消息傳遞應用程序)或Tor(允許匿名Web瀏覽) )不是解決方案,建議的方法是定義您要保護的對象,與誰進行保護,您願意權衡多少便利,然後針對明確定義的目標採取特定的安全步驟。
通過採用最佳實踐來確保在線安全並遵循計劃,您可以使任何人都難以監視您。但是在極端情況下,如果一個民族國家真的想以您為目標,那麼它可能會:您的努力將帶來障礙,窺探您在財務上會更加昂貴,但是沒有什麼能提供完全隱私的保證。
Samarth Bansal是駐德里的自由記者。他撰寫有關技術,政治和政策的文章。