為協助記者保護其裝置不受間諜軟體攻擊,無國界記者(RSF)在全球多個城市為記者提供免費服務,使用開源工具 SpyGuard 檢查裝置是否有遭受入侵的跡象。
有心人士利用間諜軟體攻擊記者的情況正在增加,報導威權政體的記者受害尤深。雖然 DangerZone 等資安全工具可以降低打開檔案的風險,但由於間諜軟體可以遠端離線安裝,記者手上的設備一旦被執法部門扣押,被安裝間諜軟體的風險也會變高。數位攻擊常發生得神不知鬼不覺,所以記者必須定期檢查自身設備是否遭到入侵。
於全球各地提供免費安全檢查
無國界記者在其巴黎總部及台北、突尼斯和達卡等地區辦事處免費提供這項服務。里約熱內盧和華盛頓特區也即將提供此服務。貝魯特新聞自由中心(Beirut Press Freedom Centre)同樣配有此類設備並提供免費服務。無國界記者柏林分部使用不同工具提供另一項間諜軟體偵測服務。
所有裝置分析的請求皆須透過無國界記者援助部門提出,其聯繫信箱為assistance(a)rsf.org。
SpyGuard運作方式
- SpyGuard 檢查間諜軟體的跡象。SpyGuard 可以透過分析進出設備的網路流量(跟網路服務供應商 (ISP) 做的事一樣)偵測可疑連線,並找出間諜軟體和其他網路異常潛在的入侵指標。
- 分析至少需要10 分鐘。這段期間進出設備的任何可疑網路流量都將被 SpyGuard 捕捉,並標記為潛在的「入侵指標」(IOC)。一般認為十分鐘足以拍出設備網路流量的「照片」。
- 除了設備連接的 Wifi 存取點,過程不會收集任何個人資料。SpyGuard 站只會捕捉網路流量(就像 ISP 一樣),不會收集任何個人資料,也不會在設備上安裝任何軟體。
如何判讀結果
- 綠色:未偵測到明顯的入侵指標。然而這不能保證設備 100% 沒有感染惡意軟體:極度複雜的間諜軟體可能會偽裝成合法網路活動,藉此逃避偵測。
- 橘色:偵測到中度入侵指標。這時某些指標(例如使用可疑網路協定的 IP 位址)需要進行進階分析才能消除疑慮。現場得出的檢測報告可以寄給 RSF 的網路專家和/或 RSF 資安實驗室 (DSL) 進行進一步調查,對可疑活動加以確認或釐清誤會。
- 紅色:偵測到重大入侵指標。設備可能已經被入侵。建議記者立即聯絡RSF 網路專家和/或 RSF 資安實驗室安排調查,並停止使用該設備。記者應要知道DSL將對他們的設備進行更深入的鑑識分析,也可能在記者同意的情況下分析他們的資料和備份。
SpyGuard 的限制
- 它只能根據收集到的入侵指標偵測到分析期間可能處於活動狀態的惡意軟體。
- 它無法檢測記者的線上帳號(例如電子郵件和社群媒體)是否已被駭。
- SpyGuard 只是檢測工具,它無法刪除發現到的間諜軟體,所以記者應考慮進行其他鑑識分析、取得其他協助,以進行進階評估和潛在的補救措施。