關於監控軟體你要知道的事
-
0:01 - 0:06我想大家和我一起回到過去,
-
0:06 - 0:09回到之前的時間,到 2017 年。
-
0:09 - 0:11我不知道你能否記起
-
0:11 - 0:13恐龍在地球上漫遊。
-
0:13 - 0:15我是個資安研究員,
-
0:15 - 0:17我用了五或六年時間
-
0:17 - 0:20做關於 APT 的研究,
-
0:20 - 0:25即高級長期威脅的簡稱,
-
0:25 - 0:29亦即是民族國家行動者
-
0:29 - 0:33來監視記者、社會活動家、
-
0:33 - 0:35律師、科學家,
-
0:35 - 0:39還有對強權說真話的普通人。
-
0:39 - 0:41我已經做了一段時間,
-
0:41 - 0:45才發現我其中一位研究員,
-
0:45 - 0:48這段時間一直與我共事的這個人
-
0:48 - 0:53據稱是一名連續強姦犯。
-
0:55 - 0:57所以我第一件做的事
-
0:57 - 1:00就是讀了很多相關的報導。
-
1:00 - 1:03而在 2018 年一月
-
1:03 - 1:08我讀到一些據稱
是他受害者的相關文章。 -
1:08 - 1:12而有一點讓我很震驚,
-
1:12 - 1:14就是她們有多害怕。
-
1:14 - 1:16她們真的很驚慌,
-
1:16 - 1:21她們用膠帶覆蓋手機的鏡頭,
-
1:21 - 1:22筆電的也是。
-
1:22 - 1:25她們擔心的是他是個駭客,
-
1:25 - 1:27而他會駭進她們的東西,
-
1:27 - 1:29他會毀了她們的生活。
-
1:29 - 1:32因此令她們沉默了很長的時期。
-
1:32 - 1:36所以,我怒火中燒。
-
1:37 - 1:41我不想任何人再有那種感受。
-
1:41 - 1:44所以我做了生氣時常做的事:
-
1:44 - 1:45在推特發文。
-
1:45 - 1:47(笑聲)
-
1:47 - 1:49而我的推文是
-
1:49 - 1:53如果你是遭到駭客性侵犯的女性,
-
1:53 - 1:56而那個駭客威脅要駭入你的設備,
-
1:56 - 1:58你可以聯絡我,
-
1:58 - 2:00我會試著確保
-
2:00 - 2:05你的設備得到了大致上
完整的鑑識科學檢查。 -
2:05 - 2:07然後我就去吃午餐了。
-
2:07 - 2:09(笑聲)
-
2:10 - 2:12然後被轉推了一萬次。
-
2:12 - 2:13(笑聲)
-
2:13 - 2:17我意外開始了一個計劃。
-
2:18 - 2:23每天早上,我起床的時候
信箱都是滿的, -
2:23 - 2:28充滿著男性和女性的故事,
-
2:28 - 2:33告訴我發生在他們身上最壞的事。
-
2:33 - 2:38聯絡我的包括被男性監視的女性、
-
2:38 - 2:40被男性監視的男性、
-
2:40 - 2:42被女性監視的女性,
-
2:42 - 2:45但是絕大多數與我聯繫的人
-
2:45 - 2:49是遭到男人性侵的女性,
-
2:49 - 2:51現在被他們監視著。
-
2:51 - 2:53一個特別有趣的案例
-
2:53 - 2:55是有個男人來找我,
-
2:55 - 3:00因為他男朋友向他極度保守的韓國家人
-
3:00 - 3:04公開了他是個同性戀。
-
3:04 - 3:09因此,這不只是男性監視女性的問題。
-
3:10 - 3:13我在此分享
-
3:13 - 3:16從這經驗學到的事。
-
3:17 - 3:20我學到的是資料會流出。
-
3:20 - 3:22如水一樣。
-
3:22 - 3:24會到你不想它到的地方。
-
3:24 - 3:25人會流出。
-
3:25 - 3:27你朋友會流出關於你的資訊,
-
3:27 - 3:30你家人會流出關於你的資訊。
-
3:30 - 3:32你參加派對,
-
3:32 - 3:35有人標記了你在此。
-
3:35 - 3:36而這就是其中一個方法
-
3:36 - 3:38令侵犯者得到
-
3:38 - 3:41你不想他們得知的資訊。
-
3:41 - 3:46侵犯者到家人朋友那邊
-
3:46 - 3:49以擔心受害人的「心理健康」為由,
-
3:49 - 3:52拿取受害人資訊的情況並不罕見。
-
3:53 - 3:56我看到的一種流出形式
-
3:56 - 4:00實際上就是我們所說的帳戶被盜用。
-
4:00 - 4:03你的 Gmail 帳戶、
-
4:03 - 4:06你的推特帳戶、
-
4:06 - 4:08你的 Instagram 帳戶、
-
4:08 - 4:10你的 iCloud 帳戶、
-
4:10 - 4:12你的 Apple 帳戶、
-
4:12 - 4:13你的 Netflix、抖音——
-
4:13 - 4:15我查了才知道抖音是甚麼。
-
4:16 - 4:18只要需要登入帳戶,
-
4:18 - 4:21就有可能被盜用。
-
4:21 - 4:26因為侵犯者並不總是你的侵犯者。
-
4:26 - 4:30戀人之間分享密碼很常見。
-
4:30 - 4:33此外,親密的人、
-
4:33 - 4:34知道對方很多事的人,
-
4:34 - 4:36可以猜中對方的安全提問。
-
4:36 - 4:38或是他們可以從背後偷看
-
4:38 - 4:42對方在用甚麼密碼解鎖手機。
-
4:42 - 4:44他們很常可以接觸到那手機,
-
4:44 - 4:47或是他們可以接觸到那筆電。
-
4:47 - 4:51這給了他們很多機會
-
4:51 - 4:54對別人的帳戶做很多事,
-
4:54 - 4:56而那是非常危險的。
-
4:56 - 4:59好消息是我們對避免帳戶被盜用
-
4:59 - 5:01提出了一些建議。
-
5:01 - 5:05這個建議已經存在,它就是:
-
5:05 - 5:10所有帳戶都用強、獨特的密碼。
-
5:12 - 5:15用更強、更獨特的密碼
-
5:15 - 5:18作為你安全問題的答案,
-
5:18 - 5:22那麼那個知道你童年寵物名字的人
-
5:22 - 5:24就不能重置你的密碼。
-
5:25 - 5:29最後,打開你可以輕鬆使用的
-
5:29 - 5:31最高級別的雙重身份驗證。
-
5:31 - 5:35因此就算侵犯者成功盜取密碼,
-
5:35 - 5:37因為他們沒有第二重認證,
-
5:37 - 5:40就不能登入到你的帳戶。
-
5:40 - 5:42另一件你應該要做的事
-
5:42 - 5:48是你要看看安全和隱私頁面,
-
5:48 - 5:49所有的帳戶都一樣。
-
5:49 - 5:51大多帳戶都有安全和隱私頁面,
-
5:51 - 5:55它會告知你甚麼裝置登入了,
-
5:55 - 5:58亦會各告知你登入的位置。
-
5:58 - 6:00例如,我在這,
-
6:00 - 6:02由拉昆塔登入 Facebook,
-
6:02 - 6:03也就是我們這次會議的地點,
-
6:03 - 6:05而作為示範
-
6:05 - 6:08我看了 Facebook 的登入紀錄,
-
6:08 - 6:10看到有人從杜拜登入,
-
6:10 - 6:12我會覺得那很可疑,
-
6:12 - 6:15因為我已經有一段時間沒去杜拜了。
-
6:16 - 6:19但有時,那其實是 RAT。
-
6:19 - 6:22RAT 就是遠端存取工具的意思。
-
6:22 - 6:25而遠端存取工具
-
6:25 - 6:30本質上就是我們說的監控軟體。
-
6:30 - 6:34能全面進入你的設備
-
6:34 - 6:36對政府來說這麼誘人的原因之一
-
6:36 - 6:39就和能全面進入你的設備
-
6:39 - 6:44對侵犯人的現任和前任伴侶
這麼誘人的原因一樣。 -
6:45 - 6:49我們整天攜帶著追蹤裝置。
-
6:49 - 6:53我們攜帶的裝置有我們所有密碼,
-
6:53 - 6:55所有通訊,
-
6:55 - 6:58包括我們的端到端加密通訊。
-
6:58 - 7:01所有電郵、所有聯絡人、
-
7:01 - 7:05所有我們的自拍都齊集一身,
-
7:05 - 7:08有時我們的財務資料也在這。
-
7:08 - 7:11所以擁有一個人手機的完整權限,
-
7:11 - 7:16僅次於完全進入一個人的腦袋。
-
7:16 - 7:22而監控軟體的作用就是給你權限。
-
7:22 - 7:26那你可能會問,它怎樣做到?
-
7:26 - 7:27監控軟體的運作方式
-
7:27 - 7:31就是個商業程式,
-
7:31 - 7:34當侵犯者購買後
-
7:34 - 7:37就安裝在他們想監控的裝置上,
-
7:38 - 7:39很常是因為他們能親自拿到,
-
7:40 - 7:45或者誘騙他們的目標自己安裝。
-
7:45 - 7:46像是說這樣的話,
-
7:46 - 7:50「這個程式很重要,你應該要安裝。」
-
7:50 - 7:54然後就付款給監控軟體公司
-
7:54 - 7:57取得進入裝置的入口,
-
7:57 - 8:00來得到那裝置的所有資料。
-
8:00 - 8:04通常每月只要付 40 美元左右。
-
8:04 - 8:07所以真的超便宜。
-
8:10 - 8:11這些公司知道
-
8:12 - 8:16它們的軟體
-
8:16 - 8:19被用作侵犯他人嗎?
-
8:19 - 8:20當然知道。
-
8:20 - 8:23如果你看看 Cocospy 的行銷文案,
-
8:23 - 8:24它其中一個產品
-
8:24 - 8:28在網頁上寫著
-
8:28 - 8:31Cocospy 讓你輕易監控妻子,
-
8:31 - 8:34「不用擔心她的去向、
-
8:34 - 8:37她的聊天對象和到訪的網站。」
-
8:37 - 8:38令人毛骨悚然。
-
8:39 - 8:42HelloSpy,另一個類似的產品,
-
8:42 - 8:47它們的行銷頁面有很大篇幅的文案
-
8:47 - 8:49在說明出軌有多層出不窮,
-
8:49 - 8:52還有抓到伴侶出軌的重要性,
-
8:52 - 8:55裡面還有個男人的照片,
-
8:55 - 8:57很明顯他抓到伴侶出軌,
-
8:57 - 8:58然後痛打了她。
-
8:58 - 9:01她一隻眼瘀青,臉上有血。
-
9:01 - 9:05我不用想也知道
-
9:05 - 9:10在這個例子中 HelloSpy
是站在哪一方的。 -
9:10 - 9:12還有它們的銷售對象是誰。
-
9:15 - 9:21事實證明很難知道監控軟體是否存在
-
9:21 - 9:25你的電腦或手機裡。
-
9:25 - 9:26而原因之一是
-
9:26 - 9:29防毒公司
-
9:29 - 9:35都不把監控軟體視為惡意軟體。
-
9:36 - 9:38不視它作木馬
-
9:38 - 9:41或是其他通常會
-
9:41 - 9:42警告你的東西。
-
9:42 - 9:46這些是 VirusTotal
今年稍早的部分結果。 -
9:46 - 9:49我看了一個例子,
-
9:49 - 9:54然後結果只有六十分之七的平台
-
9:54 - 9:57認出我在測試的監控軟體。
-
9:57 - 10:01還有另一個成功達到十,
-
10:01 - 10:02六十一分之十。
-
10:02 - 10:06那仍然是非常差的結果。
-
10:08 - 10:11我成功說服幾家防毒公司
-
10:11 - 10:15開始把監控軟體標為惡意的。
-
10:15 - 10:16如果你擔心它在你的電腦中,
-
10:16 - 10:19那麼你要做的事
-
10:19 - 10:22就是下載程式,
-
10:22 - 10:24進行掃瞄,它就會告訴你
-
10:24 - 10:28「嗨,你的裝置上
有些你不想要的程式。」 -
10:28 - 10:30它就會給你移除的選項,
-
10:30 - 10:32但它不會自動刪除。
-
10:32 - 10:34原因之一是因為
-
10:34 - 10:36侵犯的運作方式。
-
10:36 - 10:39通常,受害者不知應否
-
10:39 - 10:41切斷侵犯者的進入權限,
-
10:41 - 10:43這就等於打草驚蛇了。
-
10:43 - 10:49或是擔心會升級為暴力,
-
10:49 - 10:54或是現有的暴力升級。
-
10:56 - 10:58卡巴斯基是首間
-
10:58 - 11:01認真對待這類事件的公司之一。
-
11:01 - 11:05今年十一月
-
11:05 - 11:07它們發表了一份報告,
-
11:07 - 11:11自從開始為使用者探測監控軟體,
-
11:11 - 11:16它們看到了 35% 的增長。
-
11:18 - 11:21同樣,Lookout 也發表聲明
-
11:21 - 11:24說要更加認真對待此事。
-
11:24 - 11:29而最後 Malwarebytes 亦聲明
-
11:29 - 11:32在它們尋找的期間,
-
11:32 - 11:35它們找到了 2500 個
-
11:35 - 11:38可歸類為監控軟體的程式。
-
11:39 - 11:45最後在十一月,
我幫忙成立了一個聯盟, -
11:45 - 11:48叫反監控軟體聯盟,
-
11:48 - 11:52由學者組成,
-
11:52 - 11:55還有實地在做這些事的人——
-
11:55 - 12:02幫人擺脫親密伴侶暴力的從業人員,
-
12:02 - 12:04還有防毒軟體公司。
-
12:04 - 12:10我們的目標是教育大家
有關這些程式的知識, -
12:10 - 12:13還有說服防毒軟體公司
-
12:13 - 12:15去改變常態,
-
12:15 - 12:20改變它們應對這可怕軟體的手法。
-
12:20 - 12:23那麼很快的,明年我再來這裡
-
12:23 - 12:25站在你們眼前再說這件事的時候,
-
12:25 - 12:28我就可以告訴你們問題已經解決了,
-
12:28 - 12:31而你們只要下載任何防毒軟體,
-
12:31 - 12:35它就會把偵測監控軟體視為理所當然,
-
12:35 - 12:37那就是我的期望。
-
12:37 - 12:38多謝大家。
-
12:38 - 12:43(掌聲)
- Title:
- 關於監控軟體你要知道的事
- Speaker:
- 伊娃·加珀林
- Description:
-
「擁有一個人手機的完整權限,僅次於完全進入一個人的腦袋。」此言來自網路安全專家伊娃·加珀林。這次迫切的演講,她描述了監控軟體的新興危險——也就是在他人不知情的情況下進入其設備來監視某人的軟體——她亦呼籲防毒軟體公司將這些程式識別為惡意程式,以阻止侵犯者並保護受害者。
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 12:56
Marssi Draw approved Chinese, Traditional subtitles for What you need to know about stalkerware | ||
Marssi Draw edited Chinese, Traditional subtitles for What you need to know about stalkerware | ||
NAN-KUN WU accepted Chinese, Traditional subtitles for What you need to know about stalkerware | ||
NAN-KUN WU edited Chinese, Traditional subtitles for What you need to know about stalkerware | ||
NAN-KUN WU edited Chinese, Traditional subtitles for What you need to know about stalkerware | ||
NAN-KUN WU edited Chinese, Traditional subtitles for What you need to know about stalkerware | ||
NAN-KUN WU edited Chinese, Traditional subtitles for What you need to know about stalkerware | ||
NAN-KUN WU edited Chinese, Traditional subtitles for What you need to know about stalkerware |