本文将列出资安专家提供的建议,协助记者在威权国家报导时保护自身资讯的安全。
记者在威权国家报导时面临的资安威胁与日具增。本文由资安专家提供建议,协助记者在所处国家严密的监控下确保自身的线上资讯安全。基于安全理由,本文作者要求匿名。
1/ 定期评估威胁
- 记者的硬体设备上有哪些资讯/资料需要保护?
- 他们需要保护自己不被哪些个人或组织骇入?
- 他们成为目标的可能性有多大?
- 如果他们的设备受到威胁,最坏的情况是什么?
2/ 避免使用当地政权可能有权访问的设备和服务
只要是本国公司及在境内营运的外国公司处理的资料,威权政府通常都可以自由且合法地访问。许多来自威权国家的电子设备(如华为手机)、应用程式(如VKontakte、微信)和网络服务(如Yandex、百度)都开了可收集用户资料的“后门”。
3/ 尽可能使用提供端到端加密的服务
- 连上网络(例如虚拟私人网络 (VPN) 或 Tor 网络);
- 传送简讯(例如 Signal、ProtonMail 和 Tutanota);
- 线上搜寻(例如 Mojeek 或 MetaGer)。
4/ 学会设定并更新数位设备
记者在评估当地政权的监控技术能力后,应该要能决定关闭哪些功能(追踪、个性化广告、地理定位、浏览器历史记录、cookie)来保护自己。只要确保作业系统和应用程式(防毒软体尤其)时时刻刻保持最新状态,就能大幅减少安全漏洞。切记,硬体设备的设定值可能会在软体更新后回到预设值,另外也建议大家对自己使用的应用程式和网站进行所有权及可信度背景调查。
5/ 删除敏感资料或将敏感资料备份到未连接网络的硬碟上
为保护自身和消息来源的安全,记者务必定期从设备中删除过去为撰写报导所收集的资料,避免被威权政府骇入。若要备份收集到的资讯,应另于未连上网络的设备上进行。
6/ 避免使用智慧型手机
智慧型手机是最难确保100%安全的设备,所以记者在处理敏感议题时,应避免使用打电话和传讯息以外的功能,并在不使用时把手机放进可阻断无线电讯号的法拉第笼。执法机关可以轻易地对智慧型手机发出的讯号进行三角测量并找到其物理位置,手机连到Wi-Fi热点、未加密网络或使用地理定位 (GPS) 时尤其容易。从智慧型手机中完全删除数据也非常困难,因此每下载一个新的应用程式,都会让手机所有人的安全暴露在更高的风险之中。
7/ 随身携带抛弃式手机
由于威权政府可能会没收记者的电子设备并在上面动手脚,或进行恐吓以获取登入资料,建议随身携带一至多支不含敏感资讯的诱饵设备,以便在必要时交给当局。
8/ 创建多个数位身份
比对密码、搜寻历史、定位和线上行为,都足以让有心人士把不同数位身分连结起来。记者于公于私应分别使用不同的设备、应用程式和帐户,避免个人身份遭披露。同理可证,记者可用不同的身份(包括电子邮件和社群媒体帐号)报导不同的主题,这样有关当局就无法在其中一个帐户遭骇时立即访问所有其他的工作资料。
9/ 小心管理收件箱
记者务必要定期清理电子邮件的收件箱,因为当局无法获得不再存在的资讯。记者无论如何都不该使用“回覆”功能,因为回覆电子邮件时通常会一并显示完整的信件往来记录。记者也应事先与消息来源、同事讲好,每次只发送新的电子邮件给对方。记者还应对未知发信人寄来的可疑电邮保持警觉,这些电子邮件可能会导致记者的设备被远端安装 Pegasus 类型的恶意软体和病毒。
无国界记者曾于2023年3月为记者和新闻自由捍卫人士举办培训课程,本文为课程摘要。