当你手握真相:最基本的防护知识(1)

  • 真相是危险的东西,这在任何国家都一样,撒谎是每一种权力稳固自身的通用方式。正因为如此,真相是捍卫民主的最有力武器。当您手握真相时,安全保护是非常关键的基础部分

本文不仅提供给在职记者,也包括公民记者,所有手握真相的人。真相是危险的东西,它会激怒作恶的人,尤其是不择手段作恶的人,他们会不惜一切地阻止真相的曝光。

但是很多人依然不重视这个问题,当我们谈论安全防护时总会听到一些记者这样回复:“我没有什么可隐瞒的”;或者:“反正我也不写任何敏感的东西“……但本文面向的就是普通记者和任何公民记者,如果是参与透明度革命的深度调查记者,则需要在保护层面做得更多

作为普通人,请考虑一下:你会写一些可能让某人感到不安的东西吗?因为更常见的状况是,对手会试图通过散播你的个人、家人、财务等隐秘信息来恐吓你或羞辱你。这种事可能很难彻底避免它,但你完全可以通过自我保护让攻击变得足够难。

一直以来,我们大多数人都没有足够的知识、经验或时间来真正了解对我们的隐私至关重要的技术细节。本指南介绍一些更容易获得的措施和解决方案,至少可以减少您的脆弱性。因为隐私保护通常与锁自行车的工作方式相同:你只需确保自己的锁比您旁边的自行车更坚固

基本规则

请注意,这些解决方案的使用仅在技术上有所帮助 — — 它不能减轻我们对良好实践的需求(例如,确保不打开可疑的附件和可疑链接,尤其是来自未知发件人的链接;不要安装来自未知生产商的应用程序等等)。最后但同样重要的是:计算机和手机都应该配备最新的防病毒软件。

  • 延伸阅读:当您不确定一个链接是否安全但又非常想知道其中的内容,应该怎么办《把危险隔离出去

还必须记住,不要对不同的服务使用相同的密码,以及选择一个安全的密码,它不能是单词组成的,而是一个由大小写字母、数字和特殊字符的组合。

另一个相当不错的解决方案就是在您的计算机和手机上使用密码管理器(如 LastPass.com或 1Password)在所有设备上都适用。不幸的是,这也是存在风险的,尤其是对敏感人士来说,因为最终,如果有人抢走了您的计算机或管理员密码,那么就能立即获取您的所有密码

我们现在专注于监控的主要威胁,但不关注公司的广告或跟踪 — 因此不会讨论像 Adblock,Adblock Plus 这样的应用程序(虽然更好的似乎是 uBlock Origin),还有 Privacy Badger,uMatrix 或 Ghostery,但绝对鼓励您比较它们并选择合适您的方案使用它。

还有一件事。在您能够使用 Wifi 之前许多公司需要自定义安装证书(弹出窗口说:’点击此处接受’)。您必须记住,即使站点使用了安全的 https 连接,它也可能使我们暴露在监控中(有时因为提供 WiFi 的公司要求监控所有流量) — 简而言之,如果您使用带有自定义证书的 Wifi,那么就关闭 wifi 进行机密传输,一般情况下,当你真正想要确定连接时,总是使用VPN(要选择安全的 VPN:在这里验证您的 VPN 连接是否安全;推荐的安全 VPN 在这里)。

在计算机上

-1 Tor browser

适用于 Windows,Mac,Linux 的免费浏览器,可防止第三方(例如您的 ISP)跟踪您的浏览历史记录。它对阅读特别有用,而不是积极参与,因为那时你仍然会提供信息。它还避免了各方确定我们的位置。值得记住的是,不要用它登录 Google 帐户,否则您的搜索信息仍将被谷歌记录(所以您应该使用的是 DuckDuckGo 或 StartPage 这样的搜索引擎)

我们推荐过挂 Tor 登陆 Twitter、Facebook 等老大哥平台,但是要知道,由于 Tor 的三级跳隐藏性,您的账户很有可能因此被这些老大哥公司视为可疑。您大概会经常遭遇要求验证手机的状况。

-2 Bitlocker (Windows) FileVault (MacOSX)

从政府的大规模监控、到普遍的在线跟踪、再到网络犯罪分子,危险无处不在。但有一种明显的方法可以缓解各种隐私威胁:那就是加密。

请记住奥巴马三年前所说的话:“在任何情况下,我们都不希望真正强大的加密”。他非常诚实,因为好的加密能够给他们这些老大哥制造足够的麻烦。并记住 Snowden 说过的话:“加密会有效。正确实施强大的加密是您可以信赖的少数抵抗方法之一。”

当您试图保护自己的隐私时,可能完全不清楚该如何开始使用加密。但一个显而易见的起点是,隐私优势很高、技术学习曲线很低的方法,也就是所谓的全盘加密。只需要很少的工作量就可以开始使用。

如果你想加密硬盘并让它真正有助于保护你的数据,就不应该只是打开加密功能; 而是应该了解磁盘加密保护的基础知识,不保护的内容以及如何避免可能让攻击者轻易绕过加密的常见错误。

– 那么什么时候磁盘加密无效?

有一种常见的误解,即加密硬盘会使您的计算机安全,但这并非完全正确。事实上,磁盘加密仅对有物理访问您计算机的攻击者有用。它并不会使您的计算机更难以受到通过网络进行的攻击。

攻击者仍然可以利用社交工程学欺骗您安装恶意软件,您仍然有可能访问了恶意网站,等等无数被入侵的形式。当然,磁盘加密对阻止互联网监控也没有任何作用。像 NSA 这样的间谍机构,可以利用构成互联网骨干的光纤电缆,几乎可以监视你在网上做的所有事。需要完全不同的加密类别来解决该系统性问题。

但是现在重要的是要知道磁盘加密可以防止单一攻击:物理访问。磁盘加密的目标是,如果不是您本人的某个人访问您的计算机,比如抢走设备的警察,他们将无法访问您的任何文件,只会看到乱码,无用的密文。

BitLocker 和 FileVault 只是最懒的解决方案。更好的选择是免费开源程序 VeraCrypt(适用于 Windows,MacOSX,Linux)。它绝对是无价的,特别是如果你使用几个不同的系统并有特定的愿望的话。

在脑子里

作为记者,您将记录、存储和传输大量的材料。这些材料中的一些可能是很敏感的。如果不希望曝光它们的人知道你持有这些材料,您和您的信息源都会陷入危险。

您应该采取措施确保敏感材料的安全存放,并且不会使自己或自己的来源处于危险之中。

最佳实践:保护您的材料:

  • 查看材料的内容并评估是否可能使您或您的资源受到威胁;
  • 评估您与之联系的人的身份是否会使您或他们面临风险;
  • 考虑一下您的存储选项。您应该权衡将材料保持在线(在云端)或硬件(如硬盘驱动器或 USB)上是否更安全;
  • 考虑传输或发送材料的最佳选择。请勿通过社交媒体网站发送您不希望公开的敏感材料或线索;
  • 加密您的设备和文件;
  • 了解元数据,及其如何使您面临风险。元数据的示例可以包括在线消息的发送者和接收者的时间、位置和联系细节。

对于元数据的具体方案,接下来我们会有一个系列文章详细讲述,关于如何利用,以及如何防止被他人利用

私下共享文件

您可能需要通过 Internet 与他人共享敏感文件,但这可能会使您和其他人面临风险。以下是有关如何更安全地共享文件的一些提示。

1. 设置匿名电子邮件帐户:

您可能想要设置一个与您的身份完全无关的电子邮件地址。如果您这样做,您写信的人也应该设置一个与其身份完全无关的帐户。

研究您的电子邮件服务商,使用不在您或您的联系人管辖范围内的电子邮件服务提供商。

确保电子邮件服务提供商的所在国家/地区拥有强大的隐私权法律,并检查公司记录的信息。元数据可以包含诸如 IP 地址之类的信息,您应该希望公司尽可能少地保留元数据。

检查公司是否使用 SSL 连接,如果不是那就不安全。在此处输入您要查看的网站的网址,检查站点的 SSL 详细信息。需要 A 或 B 等级才行

连接到匿名电子邮件服务器时使用虚拟专用网络(VPN),而且不要在能识别您身份的地点使用 VPN(比如办公室或家);检查电子邮件服务提供的邮件存储量,并评估它是否足以满足您的需求。

加密文档和文件。

切勿将帐户链接到您的任何其他帐户或将其用于任何其他目的。使用完毕后始终删除帐户。

2.使用临时文件共享服务

如果您不想设置匿名加密电子邮件帐户并且无法亲自与某人见面,则可能需要使用临时文件共享服务。这些服务允许您发送文件而不将其链接到您的身份。

常用的临时文件共享服务包括:Firefox Send 、Onion Share

3. 元数据

您的文件可以存储诸如姓名或姓名缩写、公司或组织名称、和/或计算机个性化信息之类的数据。还可以保存有关从中复制文件的网络或其他计算机的详细信息,任何文件编辑者或贡献者的姓名以及编辑历史记录等。

图像和视频则包含大量有关所用摄像机类型的数据,以及创建图像或视频的时间、日期和位置,您的设备信息等,大量与您的身份相关的信息。

注意: 如果处理敏感报道,请使用与您完全无关的设备

通过将文档和照片上传到 Exifdata 来测试哪些元数据存储在文档和照片中。不要将任何敏感材料上传到网站; 而是使用不包含重要内容的文件。

您可以使用适用于 iOS 的应用程序,检查使用 iPhone 拍摄的照片的元数据,这里:iPhone

您可以通过 Chrome 和 Firefox 浏览器上的附加功能检查 Internet 上找到的图像文件的 exif 元数据:Exif add for Firefox 、Metadata on add for Chrome

您还可以采取措施从材料中删除元数据。以下内容可用于执行此操作:

在您的设备上保持材料安全

a)永久删除文件

从垃圾箱中删除的材料会保留在硬盘驱动器上,并可以被恢复。要确保永久删除材料,您需要重新擦除文件。您可以使用许多工具来执行此操作。

永久删除文件的工具 — 橡皮擦:适用于 Windows 的适用于 Mac 的永久橡皮擦

b)远程擦除

有时可能会丢失设备或者设备被抢走。为了保护您的材料和数据并将风险降至最低,您应远程擦除计算机上的内容。

1、如何仅擦除 Intune 托管应用中的数据?

这里可以删除从应用直接同步到本机通讯簿的联系人。 无法擦除从本机通讯簿同步到另一个外部源中的任何联系人。目前仅适用于 Microsoft Outlook 应用。

创建擦除请求

  • 登录到 Azure 门户
  • 选择“所有服务”,在筛选器文本框中键入“Intune”,然后选择“Intune”。 Intune 窗格随即打开,选择“客户端应用”窗格。
  • 在“客户端应用”窗格中,选择“应用选择性擦除”。
  • 选择“新建擦除请求”。 “新建擦除请求”窗格打开。
  • 选择用户,然后点“选择”,以选择你要擦除其应用数据的用户。
  • 然后,从“新建擦除请求”窗格中选择“设备”。 此操作会打开“选择设备”窗格,其中列出了与所选用户关联的所有设备,还提供了两个列:“设备名称”(用户定义的友好名称)和“设备类型”(其设备平台)。 选择要擦除的设备。
  • 现在已返回“新建擦除请求”窗格。 选择“确定”以提出擦除请求。
  • 服务会为设备上的每个受保护应用以及与擦除请求相关联的用户创建并跟踪单独的擦除请求。

监视擦除请求

您将获得一个汇总报表,其中介绍了擦除请求的总体状态,并包括挂起请求数和失败次数。 若要获取更多详细信息,请按以下步骤操作:

  • 在“客户端应用 — 应用选择性擦除”窗格中,可以查看按用户分组的请求列表。 由于系统会为设备上运行的每个受保护应用都创建一个擦除请求,因此对于某个用户,你可能会看到多个请求。 状态指示擦除请求是“挂起”、“失败”还是“成功”。
  • 此外,还可以查看设备名称及其设备类型。
  • ⚠️ 用户必须打开应用才能进行擦除,进行请求后可能需要最多 30 分钟才能完成擦除。

删除擦除请求 — — 非常重要

手动删除擦除请求:

  • 在“客户端应用 — 应用选择性擦除”窗格上。
  • 从列表中,右键单击要删除的擦除请求,然后选择“删除擦除请求”。
  • 系统将提示你确认删除,请选择“是”或“否”,然后单击“确定”。

远程擦除 iCloud 就非常简单了,见苹果的帮助页面

对于手机的远程擦除

从 Android 2.2 开始,远程擦除已经成为操作系统的一项功能。必须通过 Exchange 服务器或中央 Google Apps 帐户启动远程擦除。如果您是独立或小型公司从业者,或者您只是独立于办公室使用该设备,您可能需要安装第三方应用程序才能启用远程擦除。

这个功能的两个流行的应用程序是:

Android Lost (免费)

允许用户通过互联网或短信远程控制 Android 手机。可以用它来阅读短信收件箱/发送短信,擦除手机,锁定手机,找到设备等等。

Where’s My Droid Pro (3.99美元)

就是类似「Find My iPhone」的程式。

如果是黑莓可以安装 RIM 提供的应用程序:BlackBerry Protect。该应用程序通过 BlackBerry AppWorld 下载,安装后您将能够无线备份设备,锁定或擦除其内容,通过 GPS 定位设备,并快速将设置和数据恢复到新设备。

但是要知道,无论是 Apple 或是 google Android 的寻找手机程式,都是防君子不防小人的,如果有目的的人拿到您的手机,只要立即移除该 Wheres My Droid 程式,或是关闭 Wi-Fi 或 3G 行动上网的话,这些都会不起作用。所以还要看运气,并且您的动作要尽可能快速。

在社交媒体

TROLLING 和 DOXXING 是最常见的。社交媒体对于记者来说已经变得越来越重要,作为促进他们的工作和发表意见的工具。这便也导致了 trolling 形式的在线滥用程度增加。

Trolls 可以是真人或机器人运行的虚假账户。他们有几个目标。一是通过留下非常多的评论以淹没正常的讨论,使记者无法参与对话。另一种是恐吓或威胁记者。并且在某些情况下,trolls 可能会试图入侵记者的账户。一旦记者被确定为 trolling 的目标,上述状况随时可能会发生。

当记者涉及某些政治问题,或政治、人权、种族、女权主义和妇女权利等问题时,非常可能成为 trolls 的目标。重要的是要确定 trolling 的原因和 trolling 的目的,以保护自己

分为两部分。

1、在攻击前:

  • 通过创建安全的加长密码和/或考虑使用密码管理器来保护您的帐户免遭黑客入侵;
  • 为您的帐户启用双因素验证。如果有人试图破坏您的帐户,系统会提醒您;
  • 查看社交媒体帐户的隐私设置,并锁定您不希望公开的任何信息;
  • 在线筛查您的照片,并评估使用这些照片是否会被用来诋毁您。Trolls 经常盗用在公共领域中发现的图像,并将其用作玷污记者形象的一种方式。这些图像通常是完全正常的日常照片,但是您应该用攻击者的视角来判断它们,一旦有可能,请立即删除;
  • 定期查看您的社交媒体网站,以及时掌握可能表明 trolling 情况开始的评论。在报道发表之后要特别警惕,特别是如果它是一个吸引 trolls 兴趣的话题的话。

2、在攻击期间

  • 当发生 trolling 时尽量不要与攻击者交战,因为这会使情况变得更糟;
  • 看看 trolling 的类型(真人还是机器人),并试图确定谁是背后的人。挖掘 trolls 背后操纵者的身份 IYP 有两篇文章介绍这一方法,见下面👇;
  • 您可能想要阻止或静音 trolls。您应该向社交媒体公司报告任何辱骂或威胁的 trolls。更改Twitter上的设置以控制您在Feed上看到的内容;
  • 如果 trolling 涉及诽谤您的角色和/或您的工作,请考虑动员一组支持者在社交媒体上联合抵制;
  • 如果攻击特别糟糕,您可能需要考虑下线;
  • 考虑让您的编辑和主要工作联系人了解情况;
  • 记录攻击。有关如何执行此操作,请参阅 TrollBusters 在线骚扰指南(下图大图)。

Doxing

Trolling 攻击也可能涉及 doxing,发生在个人信息(例如地址或电话号码)在线公开的时候。此信息通常来自公共数据库或记者的在线资料。攻击者还可以破解您的帐户以获取个人数据。然后,该信息被用作骚扰和/或恐吓记者的方式。这可能会有不同的威胁程度,从电话骚扰到拦路威胁等等。

在攻击之前

  • 查看您的在线个人资料,最好使用 OSINT 的方法筛查包含有关您和您家人的个人信息的网站,例如搜索目录和名册等。您可以删除这些信息,这取决于不同国家的网站和法律,比如在美国就可能需要花钱,在欧洲不需要;
  • 删除社交媒体网站和网站上公开的联系方式和个人数据,例如您的出生日期等。为与您联系的一切人创建仅限工作使用的电子邮件地址
  • 锁定社交媒体帐户上的隐私设置。记住对手有可以通过您的家人和朋友的账户获取大量信息;
  • 为您的帐户创建强密码;
  • 查看您帐户中的内容,包括社交媒体上的电子邮件和私信,以获取可能会使您面临风险的任何信息。如果可能的话,删除任何可能会对您造成伤害的内容。

在攻击期间

  • 如果您认为您或您家人的生命可能处于危险之中,请考虑重新安置。在这种情况下,Rory Peck Trust 等组织可能会提供建议和支持;
  • 记录攻击并创建事件日志;
  • 查看您的在线个人资料并删除所有个人信息;
  • 更改常用帐户的密码。攻击者有可能尝试访问这些帐户;
  • 让您的银行、公用事业公司和移动电话公司知道您需要防止欺诈性地使用这些服务;
  • 让人们知道你已经被攻击,包括家人、雇主和您的朋友,告知他们小心。

在社会上

正如有许多不同类型的记者一样,也有不同类型的计算机程序员。

其中一些人致力于保护互联网言论自由,其中包括从事数字安全问题的技术人员。他们设计、构建和测试工具,以帮助人们在线保护自己。

这些计算机程序员通常喜欢透明度,是开源的支持者,以便其他人可以查看代码并查找错误。开源是一个绝好的标志,表明您使用的工具得到了技术社区成员的认可

数字安全建议会定期更改,这对记者来说既困惑又麻烦。作为记者,重要的是要了解为什么会发生这些变化,并随时了解数字安全领域正在发生的事。

于是我们强烈建议您与当地的技术社区合作。计算机程序员、设计人员和数据专家经常会创建新工具,他们当然希望记者与他们合作并提供有关软件设计、可用性或其他方面的反馈。

就像自由撰稿人一样,一些计算机程序员经常很难通过工作获得足够报酬。许多项目通过赠款和捐赠来资助,或者在空闲时间无偿的服务。

总体上看起来,中国最缺乏的就是组织和联合的能⼒(⾹港缺乏社区间协作能⼒)或者说,没能充分使⽤互联⽹的优势。社区间的联合能保证⼤家不会重复劳动、互相助益,并能有效的分⼯和协助,还能促进凝聚⼒和提升解决问题的效率。

⼀万个前提是:安全!我们不需要出师未捷。上述只是最基本的安全保护,每一位掌握真相的人不论是不是专职记者,都应该掌握这些知识。并且,衡量您掌握的信息的敏感程度,如果敏感程度过高,则需要更多和更深入的安全保护。IYP 经常提供安全知识和技术的介绍分析,希望能为所有需要的人提供帮助。⚪️

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据