为协助记者保护其装置不受间谍软件攻击,无国界记者(RSF)在全球多个城市为记者提供免费服务,使用开源工具 SpyGuard 检查装置是否有遭受入侵的迹象。
有心人士利用间谍软体攻击记者的情况正在增加,报导威权政体的记者受害尤深。虽然 DangerZone 等数字安全工具可以降低打开档案的风险,但由于间谍软体可以远端离线安装,记者手上的设备一旦被执法部门扣押,被安装间谍软体的风险也会变高。数字攻击常发生得神不知鬼不觉,所以记者必须定期检查自身设备是否遭到入侵。
于全球各地提供免费安全检查
无国界记者在其巴黎总部及台北、突尼斯和达喀尔等地区办事处免费提供这项服务。里约热内卢和华盛顿特区也即将提供此服务。贝鲁特新闻自由中心(Beirut Press Freedom Centre)同样配有此类设备并提供免费服务。无国界记者柏林分部使用不同工具提供另一项间谍软件侦测服务。
所有装置分析的请求皆须透过无国界记者援助部门提出,其联系信箱为 assistance(a)rsf.org。
SpyGuard 运作方式
- SpyGuard 检查间谍软体的迹象。SpyGuard 可以透过分析进出设备的网络流量(跟网络服务供应商 (ISP) 做的事一样)侦测可疑连线,并找出间谍软体和其他网络异常潜在的入侵指标。
- 分析至少需要10 分钟。这段期间进出设备的任何可疑网络流量都将被 SpyGuard 捕捉,并标记为潜在的“入侵指标”(IOC)。一般认为十分钟足以拍出设备网络流量的“照片”。
- 除了设备连接的 Wifi 存取点,过程不会收集任何个人资料。SpyGuard 站只会捕捉网络流量(就像 ISP 一样),不会收集任何个人资料,也不会在设备上安装任何软体。
如何判读结果
- 绿色:未侦测到明显的入侵指标。然而这不能保证设备 100% 没有感染恶意软体:极度复杂的间谍软体可能会伪装成合法网络活动,借此逃避侦测。
- 橘色:侦测到中度入侵指标。这时某些指标(例如使用可疑网络协定的 IP 位址)需要进行进阶分析才能消除疑虑。现场得出的检测报告可以寄给 RSF 的网络专家和/或 RSF 数字安全实验室 (DSL) 进行进一步调查,对可疑活动加以确认或厘清误会。
- 红色:侦测到重大入侵指标。设备可能已经被入侵。建议记者立即联系RSF 网络专家和/或 RSF 数字安全实验室安排调查,并停止使用该设备。记者应要知道DSL将对他们的设备进行更深入的鉴识分析,也可能在记者同意的情况下分析他们的资料和备份。
SpyGuard 的限制
- 它只能根据收集到的入侵指标侦测到分析期间可能处于活动状态的恶意软体。
- 它无法检测记者的线上帐号(例如电子邮件和社群媒体)是否已被骇。
- SpyGuard 只是检测工具,它无法删除发现到的间谍软体,所以记者应考虑进行其他鉴识分析、取得其他协助,以进行进阶评估和潜在的补救措施。