无国界记者(RSF)台北办事处提供免费服务,使用开源工具 SpyGuard 检查帮记者设备是否有遭入侵的迹象,协助记者确保设备不受间谍软体侵害。
有心人士利用间谍软体攻击记者的情况正在增加,报导威权政体的记者受害尤深。虽然 DangerZone 等资安全工具可以降低打开档案的风险,但由于间谍软体可以远端离线安装,记者手上的设备一旦被执法部门扣押,被安装间谍软体的风险也会变高。数字攻击常发生得神不知鬼不觉,所以记者必须定期检查自身设备是否遭到入侵。
免费安全检查
位于台北的无国界记者组织亚太办公室为记者提供服务,用开源工具 SpyGuard 对设备进行物理分析、检查是否有遭间谍软体入侵迹象。
- SpyGuard 检查间谍软体的迹象。SpyGuard 可以透过分析进出设备的网络流量(跟网络服务供应商 (ISP) 做的事一样)侦测可疑连线,并找出间谍软体和其他网络异常潜在的入侵指标。
- 分析至少需要10 分钟。这段期间进出设备的任何可疑网络流量都将被 SpyGuard 捕捉,并标记为潜在的“入侵指标”(IOC)。一般认为十分钟足以拍出设备网络流量的“照片”。
- 除了设备连接的Wifi 存取点,过程不会收集任何个人资料。SpyGuard 站只会捕捉网络流量(就像 ISP 一样),不会收集任何个人资料,也不会在设备上安装任何软体。
如何判读结果
- 绿色:未侦测到明显的入侵指标。然而这不能保证设备 100% 没有感染恶意软体:极度复杂的间谍软体可能会伪装成合法网络活动,借此逃避侦测。
- 橘色:侦测到中度入侵指标。这时某些指标(例如使用可疑网络协定的 IP 位址)需要进行进阶分析才能消除疑虑。现场得出的检测报告可以寄给 RSF 的网络专家和/或 RSF 资安实验室 (DSL) 进行进一步调查,对可疑活动加以确认或厘清误会。
- 红色:侦测到重大入侵指标。设备可能已经被入侵。建议记者立即联络RSF 网络专家和/或 RSF 资安实验室安排调查,并停止使用该设备。记者应要知道DSL将对他们的设备进行更深入的鉴识分析,也可能在记者同意的情况下分析他们的资料和备份。
SpyGuard 的限制
- 它只能根据收集到的入侵指标侦测到分析期间可能处于活动状态的恶意软体。
- 它无法检测记者的线上帐号(例如电子邮件和社群媒体)是否已被骇。
- SpyGuard 只是检测工具,它无法删除发现到的间谍软体,所以记者应考虑进行其他鉴识分析、取得其他协助,以进行进阶评估和潜在的补救措施。
→ 如果您想预约在台北分析设备,请和我们联络。
强烈建议在接受 Spyguard 分析之余,一并接受 RSF 资安实验室的分析,消除感染进阶间谍软体的疑虑。