记者应该学习如何保护自己免受网际互联网服务供应商(ISP)的窥探,因为政府经常利用它们来监视网路使用者。
网际互联网服务供应商(ISP)是提供硬体和物流基础设施的公司,让企业和个人能够使用网路。然而 ISP 具有潜在危险,因为它们可以读取通讯过程被分享的大量资讯,技术上也能够监视使用者。在未加密的预设值下,ISP 可以看到网路使用者所做的一切:阅读电子邮件、监听电话对话、监控应用程式使用情况以及查看发送给消息来源的讯息。
由于政府经常强迫 ISP 分享他们收集的数据,某些国家甚至将其作为经营该服务的法律要求,记者应该要意识到ISP对自身安全和消息来源之保密性有其潜在风险。
ISP – 网路世界的邮局
预设值下,讯息不会被加密,并会像明信片一样被转送,所以ISP能够读取上面写的内容。我们在实体邮局寄送包裹时,包裹会经过好几个人,最后才交到收件人的手上。这个类比适合用来解释发送电子邮件或跟网站索取资讯的情况。邮局会知道包裹的送件人和收件人、发送时间、包裹的尺寸、重量,并且可以在转发前确认其内容并无不法,ISP也一样,它们可以知道讯息的元数据,像是发送方和接收方的邮件地址、发送时间、消息大小以及是否夹带附件。
邮局这边通常会有法律确保他们不会打开你的邮件。一般来说确实会有一些禁止ISP查看发送方数据的法律,但没人可以判断元数据或未加密的数据是否已被读取,或是被做了什么。
此外,单个ISP可能不会包办数据传送的整个路程。就像一封信在寄送过程中会经过多个邮局一样,数据在到达目的地前可能会经过数十个国家的ISP,虽然ISP确实有权控制这条路径,但路径永远不会被公诸于世。例如来自越南的数据包在传送过程中可能会经过高度监控的中国和俄罗斯系统。基于上述原因,司法部、国土安全部和国防部在内的多个美国行政部门最近采取行动,防止美国网路流量经过中国ISP,以免受到监控。即便是在同个国家内交换的讯息,也可能在发送方不知情的情况下经过另一个国家的ISP。
如何进一步保护自己?
- 使用端到端加密(E2EE)来保护你讯息内容的隐私。
- 使用Freedome或NordVPN等加密的虚拟私人网路(VPN),因为它会隐藏某些元数据并对发送的消息进行加密。这种作法类似雇用快递服务,可以降低风险但不会消除风险。
- Briar或Bridgefy等离线通讯软体允许使用者在没有网路的情况下保持联系,增加另一层保护。
- Tor等加密浏览器、Brave等具有安全意识的浏览器或DuckDuckGo等私人搜索引擎透过保持使用者匿名身份的方式来避免第三方追踪。
- 浏览时,尽量使用HTTPS加密协议(超文本传输安全协定)的网站,而非HTTP的未加密网站。
作者 Benjamin Finn 来自美国休斯顿,在IT领域有十年的资历。这段期间他的工作主要为替大型企业部署内部资安工具。过去两年他在缅甸研究如何在高压民族国家里维持适当的资安。近几个月他持续和台湾的多个团体合作,为他们进行适当资安和安全措施的训练。