top of page
Search
Writer's pictureIYP

大规模间谍、作恶同盟、新VPN协议、匿名真相— Newsletters (01.10.2019)

大规模的间谍活动如何合法化?内战以来最大的威胁是什么?法国还想要利用监视技术出口赚取决利润吗?新的 VPN 协议如何预示了未来?GDPR 为什么不行?推荐两本书:美国间谍、匿名真相;一项研究:对政治敏感群体的协助如何才能更为切实?




【合法的大规模间谍】英国情报机构正在准备大幅扩展其大规模数据黑客的行动,公民自由团体和数字隐私权倡导者对“广泛设备干扰机制”(EI)的继续扩大对普通公民的个人隐私意味着什么产生严重担忧。#privacy


⚠️大规模 EI 机制是允许间谍机构 GCHQ 的代理商侵入个人电话、计算机、USB记忆棒、甚至整个通信网络的框架。EI 的扩张让隐私专家深表担心,这将使英国政府机构能够在不受控制和不受限制的情况下自由地进行大规模窥探行动。


当“ 调查权力法案”于 2016 年通过议会时,Edward Snowden 立即批评它是西方世界最彻底的政府监视计划。 “英国刚刚将西方民主史上最极端的监视合法化了。它比许多独裁者更进一步,“ 这是 Snowden 在当时发布的推文。


本月,安全部长 Ben Wallace 致信情报和安全委员会主席 Dominic Grieve,并解释说,自2016年“调查权力法案获得皇室同意”以来, GCHQ 对 EI 的立场已经“发展”。 这意味着 GCHQ 必须扩展 EI,以跟上自那时以来通信工具的技术“进步”。如果不扩展 EI,GCHQ 的间谍就无法正确定位全新的硬件设备和软件应用程序。


显著扩大已经广泛的政府监视范围当然会遭到英国隐私权倡导者的强烈反对。Liberty 的倡导和政策官 Hanna Couchman 旨在“证明在尊重权利的民主制度中,大规模监视永远不可能是正当的。”


Couchman 警告,“政府可以使用批量监控来访问我们最敏感的个人信息 —— 我们向朋友和家人发送的信息,我们访问的网站以及我们在线发布的任何信息,我们去了哪里以及我们准备去哪里。这些信息可用于建立关于我们的令人不安的详细资料。“ 不仅如此,政府机构的这种大规模无限制监视实践可能对整个人类行为产生深远的负面影响。Couchman 认为,批量监控完全会导致个人的自我审查并完全改变他们的行为。



【作恶同盟】电子前沿基金会(EFF)获得的文件更多地揭示了联邦特工与AT&T之间建立大规模电话监控计划的超级秘密合作关系。#surveillance 最初是在西雅图的一位公民活动家通过公开记录请求发现了这个名叫 Hemisphere 的项目。


以下是 Hemisphere 的首次公开披露:


通过 Hemisphere 计划,AT&T 协助联邦和地方执法部门访问和分析其庞大的呼叫详细记录数据库(CDR) —— 其中包括拨打和接收的电话号码信息,以及呼叫的时间、日期和通话时长,包括实时的位置信息。


更具体地说,Hemisphere 可以使用由 AT&T 运营的电话“交换机”来引导电话呼叫。由于其他提供商也使用AT&T“交换机”进行呼叫,因此数据库会包含所有呼叫详细记录,而不管运营商是谁。该数据库包含所有本地、长途、蜂窝和国际呼叫的记录。政府官方发布的报告估计,每天有40亿个呼叫详细记录填充在 Hemisphere 数据库中。这包括可追溯到1987年的记录,远远超过了大多数电信公司的记录规模。


AT&T 员工帮助运营该计划,为洛杉矶、休斯顿和亚特兰大的执法机构工作。联邦政府借助其高强度毒品交通区(HIDTA)计划,通过白宫的国家药物管制政策办公室(ONDCP)支付他们工资。


联邦政府秘密包装了该计划,包括故意将其使用的细节从逮捕报告和法庭诉讼中删除。联邦机构使用从 Hemisphere 收集到的数据进行平行施工 —— 前 NSA 首席技术总监 William Binney 称这是该国自“内战以来最大的威胁”。


EFF 揭示,在使用 Hemisphere 之后,警察设计了第二种更传统的方法来获取信息,并将这种逆向工程的方法书面化了。结果是,执法取决于其调查方法的起源,这也防止了被他们所针对的个人了解该监控计划,更不用说挑战了。


EFF 通过诉讼和最近发布的文件揭开了该计划的秘密面纱。 EFF 律师 Aaron Mackey 在接受法院新闻服务采访时概述了该计划的范围。


“政府与 AT&T 合作创建了这个数据库,在这个数据库中,执法部门获取信息的能力几乎没有任何障碍。保留信息是永久性的。“


EFF 表示,政府还可以使用数据模式分析来跟踪人们的社交网络、物理位置和移动。你可以在这里阅读更多 EFF 披露的内容。


这只是在州和地方政府以及AT&T等公司的支持下,违背第四修正案运作的许多联邦政府间谍计划之一



【世界上最大的监视国家合法化了】2018年将在印度的历史上被铭记为监视国家的开端。当局已授权10个中央机构窥探、监控和访问任何计算机、任何移动设备。你没资格问为什么。#Surveillance #India


根据12月20日的通知,内政部(MHA)已授权10个政府机构拥有绝对的权力可以随意访问任何数据,监视每个印度公民的电话。任何信息、存储在任何计算机中的数据以及任何通话和呼叫现在都可以在未经任何批准或同意的情况下进行监控、解密和拦截。


这些机构包括:情报局、麻醉品管制局、执法局、中央直接税务局、财政收入情报局、中央调查局、国家调查局、内阁秘书处(R&AW)、信号情报局(仅适用于查谟和克什米尔,东北部和阿萨姆邦的服务区)、德里警察局。


任何试图维护自己的权利而抵制政府窥探的公民都将面临七年的监禁


自从最近几年开始,印度的监视国家程度一直在明显增强。今年以来,印度政府已经明确计划通过 Netra 或 NEtwork TRAffic Analysis 实施大规模监视活动,该分析系统由印度人工智能和机器人中心(CAIR)开发,后者是国防研究与发展组织(DRDO)的一个分部。


去年已经由国家技术研究组织(NTRO)开发了一种名为“Vishwarupal”的监视技术,政府对类似的高级监控系统进行了测试。



Press freedom can wait no longer for tighter spyware export controls #HVWMedia #pressfreedom #journalists Tighter controls could be delayed for years if no agreement is reached at this meeting.


【法国想继续赚取邪恶的利润吗?】无国界记者组织(RSF)呼吁欧盟成员国,特别是法国,尽一切可能在1月9日举行的关于管制“两用”监视技术出口的会议上达成协议,如果在本次会议上未达成协议,更严格的控制可能会被延迟多年。这些监视技术被用来监视记者、活动家和所有异议人士。


关于限制监视技术出口的长达两年多的谈判现在处于危险的关键阶段,因为法国的代表正在拖延进程。欧盟内部采取法规的速度非常缓慢,法国的反对意见可能会破坏欧盟在下次选举前采用新出口管制的希望。一位接近谈判的消息人士说:“法国当局的这种反复拖延很可能会推翻整个进程。”


主要的关键点是更新法规所涵盖的监视技术清单。为了在欧盟选举之前通过拟议的新法规,成员国同意让欧盟委员会决定将哪些两用技术列入管制名单。决定一旦出现分歧,一个国家就能阻止整个进程。


法国最初接受了这种妥协,但该国现在又开始反对 —— 大多数观察者称其为“难以理解”。由于最近其他几个国家的支持,法国现在采取的立法应该是需要在列表中添加任何新的两用监视技术。但是这将非常缓慢。通过立法将新技术添加到清单中可能需要数月甚至数年 —— 这一程序与新技术进入市场的速度无关。


“这些技术现在被专制政权用于将手机变成可以跟踪记者谈话的间谍,” RSF 新闻与技术服务台负责人 Elodie Vialle 说。“鉴于记者即便逃离到国外后仍然继续被监视,欧盟国家如果阻止通过旨在保护记者及其来源的法规是不可想象的。”


欧洲委员会在得知中东的专制政权利用法国的监视技术监视持不同政见者之后,于2016年开始起草关于两用监视技术出口的新控制措施。RSF 与非政府组织联盟一起,过去两年来一直在改进拟议立法方面发挥积极作用,该法案需要更好地考虑人权和保护记者来源的必要性。



【新的VPN协议】WireGuard 是一种新的 VPN 协议,可以同时实现更快和更安全。现在,您可以通过官方开源应用程序连接到 iOS 上的 WireGuard 服务器。它与其他 VPN 协议(如 OpenVPN 和 IPsec)相比更安全,即使您从一个网络切换到另一个网络,它也可以维持 VPN 连接。


假设您在酒店,正前往繁忙的会议中心。如果您已与 WireGuard 服务器建立连接,当您走出酒店并切换到蜂窝网络时,以及当您到达会议中心并连接到 Wi-Fi 网络时,您的手机将可以一直保持与 VPN 服务器的连接。


仅此功能就是一项很大的改进。其他协议允许您与 VPN 服务器“按需”建立连接,但每次网络状态更改时,重新激活 VPN 连接通常都需要至少几秒钟。WireGuard 团队表示 iOS 版应用程序仍处于测试阶段,但它足够稳定。安装应用程序后,您可以通过扫描服务器的 QR 码以添加 VPN 配置。


如果您想亲自试用 WireGuard,建议您使用 Algo VPN 构建自己的 VPN 服务器。不要相信任何付费和免费的 VPN 服务公司。 VPN 公司可以在自己的服务器上看到您的所有互联网流量,这是一个很大的安全风险。这些公司可以分析您的浏览习惯,将其出售给广告商,在非安全页面上注入自己的广告或窃取您的身份。最糟糕的是,他们可以向当局提供大量有关您的隐私数据。


除了 IKEv2 之外,Algo VPN 现在也支持 WireGuard了。


Algo VPN 可在任何 Ubuntu 服务器上运行,但托管服务器的最简单方法是在 DigitalOcean 上创建一个帐户。之后,您需要下载一个 zip 文件并按照说明操作。


设置完成后,您的硬盘驱动器上应该有一个新文件夹,其中包含连接到 VPN 服务器所需的一切。如果您使用的是 Mac,则可以双击 .mobileconfig 使用 IKEv2 从 Mac 连接到 VPN 服务器。


如果你想尝试 WireGuard,你需要一台运行 macOS 或 Linux 或 Android 的设备。使用 WireGuard 最简单的方法是安装 Android 应用程序并将 .conf 文件添加到手机中。


在 Mac 上,您需要使用 Homebrew(brew install wireguard-tools)安装 WireGuard 。然后,您可以将 myvpnserver.conf 文件移动到/etc/wireguard/ 硬盘驱动器上,并使用简单的命令行(“ wg-quick up myvpnserver”和“ wg-quick down myvpnserver”)进行连接。


还可以跳过终端窗口。在 macOS 上,您可以使用“脚本编辑器”应用程序创建 AppleScript,并通过启用设置中的菜单栏选项将其放在菜单栏中。



此设置提供了与商用 VPN 相同的便利性,但具有更稳定的 VPN 连接。



【把你的隐私控制权交给任何人都等于剥夺隐私】如果你指望法律法规能保护你的隐私,那就只能等着被骗了。这些法规很多时候只会让事情变得更糟。


如今人们都知道了欧盟的 GDPR 有多糟糕(详见下文)为了继续使用服务和阅读网页,绝大多数用户只能选择“同意跟踪”。

产生的摩擦也有很大的商机。要了解有多大,请在 Google 上搜索 GDPR + compliance。你将得到1.9亿个结果。这些结果都不适合您,即使您是 GDPR 应该保护的人也一样。请注意,对于 GDPR 来说,您仅仅是“数据主体”,而不是互联网通过设计支持的技术、社会和经济生态系统中的独立且功能齐全的参与者。


或者至少这是几乎每个立法者、监管官员、律师和服务提供商都要遵循的解释。对于那些销售 GDPR 合规服务的人来说也是如此,他们在1.9亿个结果中占据大多数。


这些服务的客户几乎包括地球上每一个收集个人数据的网站和服务。这些实体没有经济动机以通常的方式停止收集、共享和销售个人数据,除了担心 GDPR 可能的实际制裁之外(除了极少数例外)。因此,这些网站和服务很容易在他们的网站上发布这些通知。


为了让您在每个网站上积极“管理”您对数据收集者的曝光程度,需要进入一个无法实现的泥潭。在这里看到演示过程。


这个世界仍然没有共同的或标准的方式来扩展我们对所有这些公司的选择或经验,如果我们想要真正的在线隐私,标准正是我们所需要的。


简单的事实就是,隐私是个人的,这意味着我们为自己创造的东西 —— 就如在自然界中我们用衣服和住所保护的东西,这两者都缺乏在数字世界中的等价物。隐私不是由每个公司不同的隐私政策和服务条款所提供的,而且我们都无法控制。特别是当那些同样的公司非常努力地使自己尽可能地远离可信赖标准的时候。


于是,我们保护隐私的努力必须在个人方面加强。我们使用标准和协议来实现它,这些标准和协议已经为我们提供了网络、桌面、电子邮件和其他内容。我们也需要用它来保护我们的隐私。很快就应该开始。


如果没有这样的工作,隐私仍将是一大批违规者的空洞承诺。


如果我们愿意,我们也可以将 GDPR 利用起来。这是因为 GDPR 第4条将数据控制者定义为“自然人或法人,公共权力机构,代理机构或其他机构,单独或与他人共同确定处理个人数据的目的和方式......”。


换句话说,我们每个人都可以成为我们自己的数据管理员。大多数处理 GDPR 的律师都不同意这一点。他们认为个人数据主体总是需要某种信托或中间人。但简单的事实是,我们应该在线控制我们自己的生活,这意味着在一定程度上控制我们的数据暴露,以及我们如何使用有关我们的一切数据。




【垂死挣扎:Facebook 正为 WhatsApp 开发用于转账的加密货币】WhatsApp 的这项新功能将首先关注“印度的汇款市场”(利用印度的无现金热潮?)。根据彭博社的说法,该货币被称为“stablecoin(稳定币)”,而为了尽量减少波动,该货币与美元挂钩。不过消息人士不愿透露更多内容。


目前还不清楚该功能何时上线,但报道指出时间点不会是近期,因为 Facebook “远未准备好发币”。


Facebook 一直寻求扩大其在金融领域角色的重要性,为其主应用程序和消息应用 Messenger 引入新的金融服务。


反 Facebook 的战斗任重道远。仅仅是在印度,WhatsApp 的用户数就超过了 2 亿。但据此前报道,出于对用户数据存储方式和其它若干问题的担忧,印度政府压下了 Facebook 计划在该国推出 WhatsApp 支付服务的计划。

  • 延伸阅读:“现金为什么是敌人?因为隐私是敌人,隐私是敌人是因为它使政府控制变得更加困难” 《恐怖的反现金之战


Two books about government surveillance win 2016 Palmer Civil Liberties Prize: The Future of Foreign Intelligence: Privacy and Surveillance in the Digital Age; American Spies: Modern Surveillance, Why You Should Care, and What to Do About It


【还认为谷歌间谍全球的揭露是“阴谋论”吗?】研究人士多次警告,斯诺登揭露的东西并不是*新鲜事*。隐形政府+间谍全球是某种传统,只是谷歌等科技巨头的技术给了这一“传统”以前所未有的增长和肆虐。


再推荐一本书《American Spies》这是 2016 年 Palmer 公民自由奖得主,充分揭示了对硅谷的监视资本主义应有的恐慌。加上以前推荐过的各种书籍、文档资料和论述(如下),能够更好的理解这一问题:


2016年,芝加哥 - 肯特法学院/ Roy C. Palmer 公民自由奖授予 Laura K. Donohue,她的著作《外国情报的未来:数字时代的隐私和监视》(牛津大学出版社2016)和 Jennifer Stisa Granick 她的著作《美国间谍:现代监视,为什么你应该关心,以及如何处理它》(剑桥大学出版社,即将出版2017)。


Laura Donohue 是乔治城大学法律中心的法学教授、国家安全和法律中心主任,以及隐私和技术中心主任。她的奖学金专注于宪法、法律史、新兴技术和国家安全法。她屡获殊荣的《外国情报的未来》一书记载了第9修正案之后大规模政府监视计划如何削弱了第四修正案的隐私权,并提供了解决方案


Jennifer Granick 是斯坦福大学法学院讲师、斯坦福大学互联网与社会中心的公民自由主任。Granick 撰写了有关计算机犯罪与安全、电子监控、安全漏洞披露、加密政策和第四修正案的文章。在她的获奖作品“美国间谍”中,Granick 展示了监视法案如何落后于监视技术,为美国间谍提供了巨大的新权力,并引导读者通过提出控制大规模监视的建议,最终目标是监督改革


在这里看到她的访谈《American Spies: Live with author Jennifer Granick


从2012年到2017年,Granick 专门研究监视法案、网络安全、加密政策和第四修正案。她以此身份广泛发表了关于美国政府的监视实践的研究,并在这些问题上帮助法官和国会工作人员。 Granick 还在2007年至2010年期间担任电子前沿基金会的公民自由主任。在她的职业生涯早期,Granick 花了将近十年的时间在加利福尼亚州执行刑事辩护法。


Granick 的作品在隐私和安全界广为人知。 2015 年黑帽美国安全会议的主题演讲“革命的生命周期”使观众受到同等的影响。2016年3月,她凭借在该领域的专业知识以及她对安全行业年轻女性的指导和影响,获得了 Duo Security 的女性安全学术奖。参议员罗恩·怀登(D-Ore)称 Granick 为“NBA 监控法全明星”。



Defending Politically Vulnerable Organizations Online: The paper, “Defending Politically Vulnerable Organizations Online,” provides an overview of cybersecurity threats to civil society organizations targeted for political purposes, and explores the ecosystem of resources available to help these organizations improve their cybersecurity.


【如何让协助更为切实?】长期网络安全中心(CLTC)发布的一份新报告详细说明了媒体、人权组织、非政府组织和其他政治上脆弱的组织如何面对重大的网络安全威胁 —— 这些威胁通常由强大的政府掌控 —— 但这些组织资源有限,无法保护自己。


CLTC 研究员 Sean Brooks 撰写的论文“ 在线捍卫政治上的弱势组织 ”概述了针对政治目的的民间社会组织的网络安全威胁,并探讨了可用于帮助这些组织改善其网络安全性的资源系统。


“从对泰国政治异议人士的大规模监视到对墨西哥记者的间谍软件攻击,近年来针对民间社会组织的网络威胁已经成为一个长期存在的问题,”CLTC 学院院长 Steve Weber 说。“虽然记者、活动家和其他人采取了一些措施保护自己,例如安装防火墙和防病毒软件,但是,他们往往缺乏技术能力或资金来建立更适合他们面临的威胁的保护措施,包括网络钓鱼攻击。很少有组织和资源可以帮助他们扩展网络安全能力。“


为了编写这份报告,Brooks 和他在 CLTC 的同事对100多个支持政治弱势组织的组织进行了广泛的开源审查,并对活动家、威胁研究人员和网络安全专业人员进行了30多次访谈。该报告详述了政治弱势组织面临的各种威胁 —— 从网络钓鱼电子邮件、Trolling活动、政府批准的审查到复杂的“零日攻击” —— 报告暴露了限制这些组织获取专业知识的重大资源和技术限制。


报告称,“政治上脆弱的组织和整个民间社会都面临着拥有日益复杂的工具包的在线对手”。“使这些威胁如此阴险的部分原因在于它们可以越来越多地可以被购买力有限且技术复杂程度低的行为者执行。如果没有额外的资源和方法来建立资源贫乏的组织的网络安全能力,政府、仇恨团体和私人间谍软件公司将进一步破坏民间社会在线运营的能力。“


该报告强调迫切需要额外的技术专业知识,以帮助民间社会组织在线保护自己,因为目前需要提供支持的大多数组织都设在北美和欧洲,主要以分析和宣传的形式提供援助。


报告建议,需要新的直接援助模式,例如,定制支持以匹配每个组织的风险和能力,提供长期支持和伙伴关系,记录和分发经验教训,以便为更广泛的世界各地的弱势组织提供信息。为了应对这一挑战,加州大学伯克利分校长期网络安全中心正在开发一种新的技术援助模式,致力于支持民间社会组织的网络安全。


报告总结道:“政治上脆弱的组织可能总是倾向于夸大他们的对手的能力。” “但是,如果提供网络安全支持的组织社区能够继续深入发展,它们将有助于推动新闻工作者、人权组织、非政府组织、和民间社会其他成员的在线安全和使命。 “



【对匿名协作的研究】这是关于黑客、恶作剧者和活动家的全球运动的终极研究,以 Anonymous 为例,就如赫芬顿邮报所评论的:展示了“所有匿名者所了解的最深刻,最黑暗的秘密。”


半年前,人类学家 Gabriella Coleman 开始研究这一全球现象的兴起,当时其一些成员转向了政治抗议和危险的破坏(在匿名者成为 Wikileaks、阿拉伯之春和占领华尔街之战的关键人物之前)。她最终与 Anonymous 的关系如此密切,以至于那些棘手的故事最终形成了这本幽默诙谐而且完全引人入胜的著作的主题之一。


叙事的边缘出现了一个臭名昭著的神秘亚文化,半传奇的骗子 - 如 Topiary,tflow,Anachaos和 Sabu -- 错综复杂、多样化、政治和文化丰富的人群。经过多年的交流和与众多黑客的接触,包括被监禁的活动家 Jeremy Hammond 以及帮助他离开的双重间谍 Hector Monsegur,《Hacker, Hoaxer, Whistleblower, Spy》这本书充满了洞察数字行动主义的意义和对互联网时代文化的鲜明理解,包括“Trolls”的历史、黑客的伦理和形而上学,以及“lulz”的起源和多种含义。


Julian Assange 评价为对匿名者组织最好的简要理解。美国政府及其盟友多年来一直在谴责、起诉和监禁匿名者成员,美国国家安全局局长甚至警告说匿名者领导的权力颠覆的可能性。


但是,加布里埃拉·科尔曼(Gabriella Coleman)迷人的匿名者历史讲述清楚地表明,几乎所有这些都归因于这个全球集体的黑客主义致力于揭露不法行为,而不是破坏性,她也仔细地表明了匿名者并不是一个阴暗的组织,而是一个松散的全球各地的积极活动人士的集合,他们努力争取的是政府和企业的透明度。


国家安全局对匿名者组织成员的处理是令人不安的和极端的,匿名者组织令人惊讶的活动家们已经转变为令人振奋。⚫️


感谢帮助 iYouPort!

PayPal 捐赠渠道已开通 https://paypal.me/iyouport

53 views0 comments

Comments


bottom of page