Return to Video

關於監控軟體你要知道的事

  • 0:01 - 0:06
    我想大家和我一起回到過去,
  • 0:06 - 0:09
    回到之前的時間,到 2017 年。
  • 0:09 - 0:11
    我不知道你能否記起
  • 0:11 - 0:13
    恐龍在地球上漫遊。
  • 0:13 - 0:15
    我是個資安研究員,
  • 0:15 - 0:17
    我用了五或六年時間
  • 0:17 - 0:20
    做關於 APT 的研究,
  • 0:20 - 0:25
    即高級長期威脅的簡稱,
  • 0:25 - 0:29
    亦即是民族國家行動者
  • 0:29 - 0:33
    來監視記者、社會活動家、
  • 0:33 - 0:35
    律師、科學家,
  • 0:35 - 0:39
    還有對強權說真話的普通人。
  • 0:39 - 0:41
    我已經做了一段時間,
  • 0:41 - 0:45
    才發現我其中一位研究員,
  • 0:45 - 0:48
    這段時間一直與我共事的這個人
  • 0:48 - 0:53
    據稱是一名連續強姦犯。
  • 0:55 - 0:57
    所以我第一件做的事
  • 0:57 - 1:00
    就是讀了很多相關的報導。
  • 1:00 - 1:03
    而在 2018 年一月
  • 1:03 - 1:08
    我讀到一些據稱
    是他受害者的相關文章。
  • 1:08 - 1:12
    而有一點讓我很震驚,
  • 1:12 - 1:14
    就是她們有多害怕。
  • 1:14 - 1:16
    她們真的很驚慌,
  • 1:16 - 1:21
    她們用膠帶覆蓋手機的鏡頭,
  • 1:21 - 1:22
    筆電的也是。
  • 1:22 - 1:25
    她們擔心的是他是個駭客,
  • 1:25 - 1:27
    而他會駭進她們的東西,
  • 1:27 - 1:29
    他會毀了她們的生活。
  • 1:29 - 1:32
    因此令她們沉默了很長的時期。
  • 1:32 - 1:36
    所以,我怒火中燒。
  • 1:37 - 1:41
    我不想任何人再有那種感受。
  • 1:41 - 1:44
    所以我做了生氣時常做的事:
  • 1:44 - 1:45
    在推特發文。
  • 1:45 - 1:47
    (笑聲)
  • 1:47 - 1:49
    而我的推文是
  • 1:49 - 1:53
    如果你是遭到駭客性侵犯的女性,
  • 1:53 - 1:56
    而那個駭客威脅要駭入你的設備,
  • 1:56 - 1:58
    你可以聯絡我,
  • 1:58 - 2:00
    我會試著確保
  • 2:00 - 2:05
    你的設備得到了大致上
    完整的鑑識科學檢查。
  • 2:05 - 2:07
    然後我就去吃午餐了。
  • 2:07 - 2:09
    (笑聲)
  • 2:10 - 2:12
    然後被轉推了一萬次。
  • 2:12 - 2:13
    (笑聲)
  • 2:13 - 2:17
    我意外開始了一個計劃。
  • 2:18 - 2:23
    每天早上,我起床的時候
    信箱都是滿的,
  • 2:23 - 2:28
    充滿著男性和女性的故事,
  • 2:28 - 2:33
    告訴我發生在他們身上最壞的事。
  • 2:33 - 2:38
    聯絡我的包括被男性監視的女性、
  • 2:38 - 2:40
    被男性監視的男性、
  • 2:40 - 2:42
    被女性監視的女性,
  • 2:42 - 2:45
    但是絕大多數與我聯繫的人
  • 2:45 - 2:49
    是遭到男人性侵的女性,
  • 2:49 - 2:51
    現在被他們監視著。
  • 2:51 - 2:53
    一個特別有趣的案例
  • 2:53 - 2:55
    是有個男人來找我,
  • 2:55 - 3:00
    因為他男朋友向他極度保守的韓國家人
  • 3:00 - 3:04
    公開了他是個同性戀。
  • 3:04 - 3:09
    因此,這不只是男性監視女性的問題。
  • 3:10 - 3:13
    我在此分享
  • 3:13 - 3:16
    從這經驗學到的事。
  • 3:17 - 3:20
    我學到的是資料會流出。
  • 3:20 - 3:22
    如水一樣。
  • 3:22 - 3:24
    會到你不想它到的地方。
  • 3:24 - 3:25
    人會流出。
  • 3:25 - 3:27
    你朋友會流出關於你的資訊,
  • 3:27 - 3:30
    你家人會流出關於你的資訊。
  • 3:30 - 3:32
    你參加派對,
  • 3:32 - 3:35
    有人標記了你在此。
  • 3:35 - 3:36
    而這就是其中一個方法
  • 3:36 - 3:38
    令侵犯者得到
  • 3:38 - 3:41
    你不想他們得知的資訊。
  • 3:41 - 3:46
    侵犯者到家人朋友那邊
  • 3:46 - 3:49
    以擔心受害人的「心理健康」為由,
  • 3:49 - 3:52
    拿取受害人資訊的情況並不罕見。
  • 3:53 - 3:56
    我看到的一種流出形式
  • 3:56 - 4:00
    實際上就是我們所說的帳戶被盜用。
  • 4:00 - 4:03
    你的 Gmail 帳戶、
  • 4:03 - 4:06
    你的推特帳戶、
  • 4:06 - 4:08
    你的 Instagram 帳戶、
  • 4:08 - 4:10
    你的 iCloud 帳戶、
  • 4:10 - 4:12
    你的 Apple 帳戶、
  • 4:12 - 4:13
    你的 Netflix、抖音——
  • 4:13 - 4:15
    我查了才知道抖音是甚麼。
  • 4:16 - 4:18
    只要需要登入帳戶,
  • 4:18 - 4:21
    就有可能被盜用。
  • 4:21 - 4:26
    因為侵犯者並不總是你的侵犯者。
  • 4:26 - 4:30
    戀人之間分享密碼很常見。
  • 4:30 - 4:33
    此外,親密的人、
  • 4:33 - 4:34
    知道對方很多事的人,
  • 4:34 - 4:36
    可以猜中對方的安全提問。
  • 4:36 - 4:38
    或是他們可以從背後偷看
  • 4:38 - 4:42
    對方在用甚麼密碼解鎖手機。
  • 4:42 - 4:44
    他們很常可以接觸到那手機,
  • 4:44 - 4:47
    或是他們可以接觸到那筆電。
  • 4:47 - 4:51
    這給了他們很多機會
  • 4:51 - 4:54
    對別人的帳戶做很多事,
  • 4:54 - 4:56
    而那是非常危險的。
  • 4:56 - 4:59
    好消息是我們對避免帳戶被盜用
  • 4:59 - 5:01
    提出了一些建議。
  • 5:01 - 5:05
    這個建議已經存在,它就是:
  • 5:05 - 5:10
    所有帳戶都用強、獨特的密碼。
  • 5:12 - 5:15
    用更強、更獨特的密碼
  • 5:15 - 5:18
    作為你安全問題的答案,
  • 5:18 - 5:22
    那麼那個知道你童年寵物名字的人
  • 5:22 - 5:24
    就不能重置你的密碼。
  • 5:25 - 5:29
    最後,打開你可以輕鬆使用的
  • 5:29 - 5:31
    最高級別的雙重身份驗證。
  • 5:31 - 5:35
    因此就算侵犯者成功盜取密碼,
  • 5:35 - 5:37
    因為他們沒有第二重認證,
  • 5:37 - 5:40
    就不能登入到你的帳戶。
  • 5:40 - 5:42
    另一件你應該要做的事
  • 5:42 - 5:48
    是你要看看安全和隱私頁面,
  • 5:48 - 5:49
    所有的帳戶都一樣。
  • 5:49 - 5:51
    大多帳戶都有安全和隱私頁面,
  • 5:51 - 5:55
    它會告知你甚麼裝置登入了,
  • 5:55 - 5:58
    亦會各告知你登入的位置。
  • 5:58 - 6:00
    例如,我在這,
  • 6:00 - 6:02
    由拉昆塔登入 Facebook,
  • 6:02 - 6:03
    也就是我們這次會議的地點,
  • 6:03 - 6:05
    而作為示範
  • 6:05 - 6:08
    我看了 Facebook 的登入紀錄,
  • 6:08 - 6:10
    看到有人從杜拜登入,
  • 6:10 - 6:12
    我會覺得那很可疑,
  • 6:12 - 6:15
    因為我已經有一段時間沒去杜拜了。
  • 6:16 - 6:19
    但有時,那其實是 RAT。
  • 6:19 - 6:22
    RAT 就是遠端存取工具的意思。
  • 6:22 - 6:25
    而遠端存取工具
  • 6:25 - 6:30
    本質上就是我們說的監控軟體。
  • 6:30 - 6:34
    能全面進入你的設備
  • 6:34 - 6:36
    對政府來說這麼誘人的原因之一
  • 6:36 - 6:39
    就和能全面進入你的設備
  • 6:39 - 6:44
    對侵犯人的現任和前任伴侶
    這麼誘人的原因一樣。
  • 6:45 - 6:49
    我們整天攜帶著追蹤裝置。
  • 6:49 - 6:53
    我們攜帶的裝置有我們所有密碼,
  • 6:53 - 6:55
    所有通訊,
  • 6:55 - 6:58
    包括我們的端到端加密通訊。
  • 6:58 - 7:01
    所有電郵、所有聯絡人、
  • 7:01 - 7:05
    所有我們的自拍都齊集一身,
  • 7:05 - 7:08
    有時我們的財務資料也在這。
  • 7:08 - 7:11
    所以擁有一個人手機的完整權限,
  • 7:11 - 7:16
    僅次於完全進入一個人的腦袋。
  • 7:16 - 7:22
    而監控軟體的作用就是給你權限。
  • 7:22 - 7:26
    那你可能會問,它怎樣做到?
  • 7:26 - 7:27
    監控軟體的運作方式
  • 7:27 - 7:31
    就是個商業程式,
  • 7:31 - 7:34
    當侵犯者購買後
  • 7:34 - 7:37
    就安裝在他們想監控的裝置上,
  • 7:38 - 7:39
    很常是因為他們能親自拿到,
  • 7:40 - 7:45
    或者誘騙他們的目標自己安裝。
  • 7:45 - 7:46
    像是說這樣的話,
  • 7:46 - 7:50
    「這個程式很重要,你應該要安裝。」
  • 7:50 - 7:54
    然後就付款給監控軟體公司
  • 7:54 - 7:57
    取得進入裝置的入口,
  • 7:57 - 8:00
    來得到那裝置的所有資料。
  • 8:00 - 8:04
    通常每月只要付 40 美元左右。
  • 8:04 - 8:07
    所以真的超便宜。
  • 8:10 - 8:11
    這些公司知道
  • 8:12 - 8:16
    它們的軟體
  • 8:16 - 8:19
    被用作侵犯他人嗎?
  • 8:19 - 8:20
    當然知道。
  • 8:20 - 8:23
    如果你看看 Cocospy 的行銷文案,
  • 8:23 - 8:24
    它其中一個產品
  • 8:24 - 8:28
    在網頁上寫著
  • 8:28 - 8:31
    Cocospy 讓你輕易監控妻子,
  • 8:31 - 8:34
    「不用擔心她的去向、
  • 8:34 - 8:37
    她的聊天對象和到訪的網站。」
  • 8:37 - 8:38
    令人毛骨悚然。
  • 8:39 - 8:42
    HelloSpy,另一個類似的產品,
  • 8:42 - 8:47
    它們的行銷頁面有很大篇幅的文案
  • 8:47 - 8:49
    在說明出軌有多層出不窮,
  • 8:49 - 8:52
    還有抓到伴侶出軌的重要性,
  • 8:52 - 8:55
    裡面還有個男人的照片,
  • 8:55 - 8:57
    很明顯他抓到伴侶出軌,
  • 8:57 - 8:58
    然後痛打了她。
  • 8:58 - 9:01
    她一隻眼瘀青,臉上有血。
  • 9:01 - 9:05
    我不用想也知道
  • 9:05 - 9:10
    在這個例子中 HelloSpy
    是站在哪一方的。
  • 9:10 - 9:12
    還有它們的銷售對象是誰。
  • 9:15 - 9:21
    事實證明很難知道監控軟體是否存在
  • 9:21 - 9:25
    你的電腦或手機裡。
  • 9:25 - 9:26
    而原因之一是
  • 9:26 - 9:29
    防毒公司
  • 9:29 - 9:35
    都不把監控軟體視為惡意軟體。
  • 9:36 - 9:38
    不視它作木馬
  • 9:38 - 9:41
    或是其他通常會
  • 9:41 - 9:42
    警告你的東西。
  • 9:42 - 9:46
    這些是 VirusTotal
    今年稍早的部分結果。
  • 9:46 - 9:49
    我看了一個例子,
  • 9:49 - 9:54
    然後結果只有六十分之七的平台
  • 9:54 - 9:57
    認出我在測試的監控軟體。
  • 9:57 - 10:01
    還有另一個成功達到十,
  • 10:01 - 10:02
    六十一分之十。
  • 10:02 - 10:06
    那仍然是非常差的結果。
  • 10:08 - 10:11
    我成功說服幾家防毒公司
  • 10:11 - 10:15
    開始把監控軟體標為惡意的。
  • 10:15 - 10:16
    如果你擔心它在你的電腦中,
  • 10:16 - 10:19
    那麼你要做的事
  • 10:19 - 10:22
    就是下載程式,
  • 10:22 - 10:24
    進行掃瞄,它就會告訴你
  • 10:24 - 10:28
    「嗨,你的裝置上
    有些你不想要的程式。」
  • 10:28 - 10:30
    它就會給你移除的選項,
  • 10:30 - 10:32
    但它不會自動刪除。
  • 10:32 - 10:34
    原因之一是因為
  • 10:34 - 10:36
    侵犯的運作方式。
  • 10:36 - 10:39
    通常,受害者不知應否
  • 10:39 - 10:41
    切斷侵犯者的進入權限,
  • 10:41 - 10:43
    這就等於打草驚蛇了。
  • 10:43 - 10:49
    或是擔心會升級為暴力,
  • 10:49 - 10:54
    或是現有的暴力升級。
  • 10:56 - 10:58
    卡巴斯基是首間
  • 10:58 - 11:01
    認真對待這類事件的公司之一。
  • 11:01 - 11:05
    今年十一月
  • 11:05 - 11:07
    它們發表了一份報告,
  • 11:07 - 11:11
    自從開始為使用者探測監控軟體,
  • 11:11 - 11:16
    它們看到了 35% 的增長。
  • 11:18 - 11:21
    同樣,Lookout 也發表聲明
  • 11:21 - 11:24
    說要更加認真對待此事。
  • 11:24 - 11:29
    而最後 Malwarebytes 亦聲明
  • 11:29 - 11:32
    在它們尋找的期間,
  • 11:32 - 11:35
    它們找到了 2500 個
  • 11:35 - 11:38
    可歸類為監控軟體的程式。
  • 11:39 - 11:45
    最後在十一月,
    我幫忙成立了一個聯盟,
  • 11:45 - 11:48
    叫反監控軟體聯盟,
  • 11:48 - 11:52
    由學者組成,
  • 11:52 - 11:55
    還有實地在做這些事的人——
  • 11:55 - 12:02
    幫人擺脫親密伴侶暴力的從業人員,
  • 12:02 - 12:04
    還有防毒軟體公司。
  • 12:04 - 12:10
    我們的目標是教育大家
    有關這些程式的知識,
  • 12:10 - 12:13
    還有說服防毒軟體公司
  • 12:13 - 12:15
    去改變常態,
  • 12:15 - 12:20
    改變它們應對這可怕軟體的手法。
  • 12:20 - 12:23
    那麼很快的,明年我再來這裡
  • 12:23 - 12:25
    站在你們眼前再說這件事的時候,
  • 12:25 - 12:28
    我就可以告訴你們問題已經解決了,
  • 12:28 - 12:31
    而你們只要下載任何防毒軟體,
  • 12:31 - 12:35
    它就會把偵測監控軟體視為理所當然,
  • 12:35 - 12:37
    那就是我的期望。
  • 12:37 - 12:38
    多謝大家。
  • 12:38 - 12:43
    (掌聲)
Title:
關於監控軟體你要知道的事
Speaker:
伊娃·加珀林
Description:

「擁有一個人手機的完整權限,僅次於完全進入一個人的腦袋。」此言來自網路安全專家伊娃·加珀林。這次迫切的演講,她描述了監控軟體的新興危險——也就是在他人不知情的情況下進入其設備來監視某人的軟體——她亦呼籲防毒軟體公司將這些程式識別為惡意程式,以阻止侵犯者並保護受害者。
more » « less
Video Language:
English
Team:
closed TED
Project:
TEDTalks
Duration:
12:56

Chinese, Traditional subtitles

Revisions

Our website uses cookies for analysis purposes.