从BBC记者保护隐私指南中看看自己该如何做

记者特别是这敏感领域的记者,对于自己的隐私信息的保护尤为重要,BBC网络事务专家保罗·迈尔斯(Paul Myers)解释为何记者需要认识到自己所用的器材容易受攻击,并了解相关的保护方法,可能包括加密、密码、sd卡、云端存储、销毁数据、手机、元数据、邮件、cookie、加密通信、VPN、手机VPN、病毒及恶意软件等。

储存在你的电脑或者手机上的资料数据是不断面临着风险的。你可能会把器材遗留在火车上。器材也可能在你在机场过关时被扣押,或者被警察甚至法庭没收。另外,黑客也可能入侵,盗取数据。

你需要了解所有可能面对的威胁,并懂得如何保护你自己、你的材料,以及消息来源。

加密(Encryption)

已加密的数据经过特别处理,需要密码才能解密阅读。你需要用加密软件才能把材料加密。你可能要征询专家意见,决定哪种软件最切合所需。

加密过程一般使用素数(prime number)。要把材料加密,你要使用两个素数,系统会把两个数相乘,然后给你一个公开密钥(public key)。你可以把公开密钥发送他人,让他们能够发送加密材料给你,你收到后可以予以解密。另外也有一个专用密钥(private key),只供你使用,其中包含了你的密码。

素数无穷无尽,目前还没全部被发现,因此,黑客要发动攻击就得把这些数字一个一个的去尝试,非常费时。

有些人目前仍然对一些加密软件的安全程度感到担忧。他们担心有关方面可能有一条万用解密钥匙,可以破解所有密码。他们宁愿选用开放源码(open source)加密软件。这些软件的源代码是公开的,可供专家检查。

加密通常有不同的程度,一般称为XX位加密。记者们应该使用最少256位加密(256-bit)。

你必须了解,按照《调节调查权法规》(Regulation of Investigatory Powers Act),有关方面可以强迫任何记者披露材料加密时所用的密码。如果记者拒绝,他们可能面临监禁的危险。

如果你在敌意环境中工作,加密可能并非解决问题的办法,因为有关方面可能对你的信息特别留意。保安部门经常都特别留意加密信息。很多时候,人们会用 所谓的‘森林藏树叶’(‘hide a leaf in a forest’)的办法,把信息隐藏于一般的网络材料中予以输送。在一些情况下,利用脸书(Facebook)传送信息可能比较用严密的加密方法更能保 密。

如果你真的要使用加密方法,这就好像编写其他密码一样,必须使用一个有一定长度的、很难猜测的密码,而且密码中包含有数字、符号和大写字母等。

密码

密码最常被所谓的‘字典攻击法’(‘dictionary’attack)所攻破。这种方法是利用字典里头的字词和数字的不同组合,尝试猜出密码是什么。因此,最佳的应付方法是用看似毫不相关的数字与字母组合编写密码。

每做一件事情你都应该使用不同的密码。对那些特别敏感的内容,请创建一个独特的密码。如果你真的要把密码写下来,请确保只有你自己才看得懂你自己的笔记。如果内容是敏感的话,千万别把密码储存在浏览器上。

SD卡

如果你在做真正敏感复杂的调查,你可能要考虑把材料储存在电脑以外的其它地方。如果你在极度恶劣的环境中工作,并担忧电脑可能被没收,你应该把材料 直接储存在SD卡或外部存储装置(external memory device)上。这样做的优点是,器材容易隐藏,但是,缺点是,这种器材容易受损或遗失。

云端储存(Cloud storage)

有时候,你可能不方便把材料储存在SD卡上,因为你要与同事们共用有关材料。

云端储存办法利用例如Box或者Dropbox之类的服务,使用一个网络上的一个集中点储存材料。BBC节目制作小组的同事经常使用这些平台分享文件。使用这种平台有两个考虑点,就是‘加密’与‘存取’。

请选择在储存和传送数据文件时都使用有加密程序的服务,而且,你也需要小心审查可以接触这些文件的人,确保他们是绝对可以信赖的。

销毁数据办法

即便你从电脑上把一些材料删除了,并清理了电脑上的‘回收箱’(recycle bin),这些材料其实仍然保存在有关电脑上,你可以使用例如:Encase或者FRED等应用程序,把文件恢复过来。这些软件几乎可以恢复你的电脑储存过的所有材料。如果你的电脑落入不当的人手中,他们绝对有可能把一些陈年材料恢复过来。

所谓的数字磨灭数据工具(digital shredder)不单会删除相关信息,而且会以随机产生的1和0组合来予以取代。这种工具可以用来清理系统文件,以及电脑上用于临时储存信息的文档,在 硬盘上腾出空间。除此以外,有关方面也已经推出了可以用于手机的数字磨灭数据办法。

手机

手机比较很多其它器材更容易丢失。记者的手机上所储存的信息往往多于他们的手提电脑。如果你的调查工作是秘密进行的,或者是特别困难的,你可能要考虑使用一台随用付费(pay-as-you-go)手机,这是因为你的手机有被黑客攻击或者被没收的危险。

你也可以选用例如Wickr之类的程式,在你发送图片、信息之后把纪录磨灭。

元数据(Metadata)

在希腊文中,‘meta’这个词有‘随后’、‘超越’等意思。元数据(metadata)就是你在使用器材后留下来的使用痕迹。

你每次使用电脑,或者建立文档,除了创建出来的文件外,电脑也会设定另一个文档,储存有关文件性质的资料。元数据可能包括日期、地点、照相机型号、 手机种类、电脑种类、作者、所属公司,以及其他一些可能透露你是谁的资料。这些资料可能来自你发送的电邮、你创建的Word文件、你拍的照片或者你录制的 声音或者录像文件。

现在有不少网站或者软件,可以用来查阅电脑文档的元数据。你自己也可以尝试查阅有关资料。如果你使用视窗电脑,你只需要在文件名称上按老鼠的右键, 然后点击‘属性’(properties),或者在苹果电脑上点击‘查阅资料’(get info),就可以看到简单资料,但是,上述网站可以提供更多专业信息。

当然,你也可以用这种办法检查人家发送给你的材料的相关信息。

邮件

你可以利用邮件的元数据查出其来源。有时候,你可以看到邮件的发送地点、时间和日期、发送邮件的人所服务的公司,以及他所使用的网络服务供应商的相关资料。网络服务供应商有时候也可以提供相关人士的工作和居住地点。

小型文字档(Cookies)

你每次浏览一个新网站时,你会把有关你上网的过程的资料发送给网站的管理人。这些资料让他们了解你上网的方法,包括:你使用的电脑、浏览器,以及你的IP地址(IP address)。IP地址比较其他信息更为重要,因为它可以显示你的所在地点、家居何处,以及工作地点。

这些小型文字档也会透露你是用什么检索词找到相关网站的。如果对方知道你在BBC工作,而你又在做调查,他们可能会对你生疑。你在检索引擎上输入的检索词也可能透露你在做什么调查工作。

如果你是透过点击一个链接到达某一个网页的,有关网站的管理人可能看到相关链接所在的网页的网址,例如:脸书网页。如果这就是你的脸书网页,有关人士可能了解到你的身份,以及你的调查工作的性质。一些记者可能会考虑采取措施,避免这些资料泄露出去。

保密通信办法

发送电邮有点像寄明信片一样。在传送途中,任何人都可以看到电邮的内容,而且在抵达收件人之前也会经过不同的电脑处理,在过程中,发送电邮的电脑的识别资料(IP地址)、信息本身、电邮主题以及收件人的资料等都会披露出去。

如果你是在一个敌意环境中运作的话,你必须了解这一点。

虚拟专用网(VPN)

虚拟专用网是可以隐藏你的IP地址以及把你的运作保密的网络设定和安排。这种网络可以让你在一些禁止你从事你的工作的国家以保密形式使用互联网。举例说,在中国,不少网站都是被屏蔽的。虚拟专用网可以助你绕过当局的限制浏览网站。

如果你在困难环境中工作,而你又担忧有关方面监视你的活动或者使用网络的情况,使用虚拟专用网可能是一种好办法。

手机专用VPN

你也可以在手机上使用虚拟专用网来上网、浏览社交网站,或者使用电邮。不过,虚拟专用网一般不会把你的电话谈话加密。市面上有一些手机是会自动把电话谈话加密的。你也可以下载特别的程式把谈话加密。

病毒和恶意软件

病毒(virus)是任何可以在电脑和电脑之间传播的东西。有一派学说甚至认为,在社交网站上传播的坊间传闻也是病毒的一种。

恶意软件(malware)是可以造成破坏的软件,目的是侵犯你的隐私、向你发送大量电邮,或者破坏你的电脑。一些恶意软件也会试图盗取你的联络人的资料,用你的名义发送电邮,并自我传播到其它电脑。

一些恶意软件可能让你的保密措施徒劳。如果你的笔记和联络资料都存放在电脑上,你的调查对象有可能故意传播病毒到你的电脑上,读取有关资料。他们所 使用的办法是把所谓的‘远程访问工具’(RAT, remote access tool)或者所谓的‘木马’(Trojan)放到你的系统上。

这些远程访问工具可以透过电邮附件、网页(如果你的浏览器的版本太旧),安装到你的电脑上,方法是引诱你下载软件或者打开电邮附件。

恶意软件对手机的危害更大因为手机上集中了大量个人隐私资料。恶意软件不但泄漏你的电邮,也包括你的短信信息、联络人的资料、电话通话或互联网使用 纪录,以及社交网站的使用纪录等。这些软件一旦安装在手机上,对方就可以透过麦克风窃听你的谈话,或者透过镜头偷窥,甚或监视你的行踪。

攻击者容易得逞是因为人们没有安装防毒软件,即便这些软件很容易获取。

你必须确保器材上安装了防毒软件。如果你正进行调查工作,你更需要准备好应付受攻击的可能。为你的调查工作购置一台新手提电脑可能不是坏事,并请用胶带把录像镜头封上。

发表评论