government hacking and human rights 政府駭侵與人權
微網誌或社交媒體大量使用,轉推短評貼連結很方便,但其實很難知道自身作為一名讀者/轉推者/散佈者與該則訊息之間的連結是什麼?是社交媒體上是一個小咖的filter? curator ? agent ?其實之於我,早年在社交媒體分享的訊息不過就是一個公開的社會書籤,但久而久之只作書籤卻(一直推脫沒時間)不閱讀內容,真是一件枉然之事,於是乎在轉貼分享之前會先試著擔一點求證核實的責任。不過僅在社交媒體上有限的篇輻上再作點簡單的評論,對某些我個特別關心在意的議題有點可惜,特別隨著記憶力日漸不濟而資訊又大量涌來,只好試著以網誌書寫記錄留一下點雪泥鴻爪。
看到關注使用者數位權利的組織Access Now上週發表了一份簡短的研究報告「A Human Rights Response to Government Hacking」,因為這陣子剛巧也看到不少調查報導揭露販售監控器材軟體廠商的報導與研究,所以想來簡單地稍來整理一下這份報告,以先對「政府監控」、「政府駭侵」有一點基本的認識,才能侈談如何因應其對人權的衝擊與防禦之道。這份報告頁數只有28頁並不算長,其內容可以把它區分為三大區塊:先對「政府駭侵」予以定義上確認與其種類區分,再稍闡述所區分的三種「政府駭侵類型」內容與方法,及其對於人權侵害之隱憂顧慮;最後參考2013年公民團體提出的「國家通訊監察應遵守之國際人權原則」倡議,也對政府在欲施行「駭侵」如何詻守法治人權底線的安全防護建言。本文即按照此三大脈絡來作整理。
一、定義:
the manipulation of software, data, a computer system, network, or other electronic device** without** the permission of the person or organization responsible for that software application, data, computer system, network, or electronic device, and/or without the permission or knowledge of users of that or other software, data, computers, networks, or devices ultimately affected by the manipulation. 在未取得所有者同意下,或未告之原使用者的情況下,「公權力」擅自操控利用軟體、資料、電腦系統、網路與其它電子設備。
二、政府常使用的三大種駭侵方式
1) Messaging control 訊息控制- control the message seen or heard, particularly by a specific target audience
- a) Preventing Message Dissemination 阻礙訊息的散佈流通
- b) Manipulation of the Domain Name System 操弄網域名稱系統
- c) Rewriting Content 改寫訊息內容
- d) Flooding Communications Channels 灌爆通訊頻道
- e) Website Defacement 修改網站(內容)
在Access Now幾年前曾對其作了一份Fake Domain研究報告,利用「假造」相似的網域名指引使用者連上該網站。例如下面是我同一時間的對二個網站截圖,二者看似相近的模版,但上面是正宗版的BBC英國國家廣播公司波斯文版新聞,而下面第二個則是利用相似的網域網址以及仿BBC網站風格模版樣式甚至直接放上BBC logo讓讀者混淆,但明顯可看出第二個網站內容原始網站內容大不相同。
又或者如在Global Voices Online 讀到:古巴的手機簡訊,政府會過濾某些敏感的關鍵字(像異議人士的名字、反對派獨立媒體、民主人權等字眼),讓收訊者永遠都收不到此訊息。這點倒是與一些具有中國社會主義特色的和諧情況相似。
對人權的傷害:聯合國人權宣言、公民與政治權利國際公約ICCPR以及各區域人權公約中對於言論自由的保障都寫蠻清楚的,在此不再贅述。但這裏要注意的是,並不是所有的訊息內容都不得更改。就如同言論自由並不是無限上綱。例如在聯合國(公民政治權利國際公約)人權委員會的第十一號一般性意見(general comment)即指出ICCPR第20條禁止鼓吹戰爭、鼓吹民族種族宗教仇恨,構成煽動、歧視、敵視或強暴者等政治宣傳,並不與其第19條表意自由保障相互衝突,尤其當這種政治宣傳變成一種系統性、無處不在大量地壓縮了其它管道與媒體自由的空間。
2) Causing damage 造成損壞 - causing some degree of harm to one of any number of target entities
- a) Modifying Physical Systems or Devices Internally 由內部調控設備來改變軟硬體的運作
- b) Modifying Physical Systems or Devices Externally 從外部調控設備來改變軟硬體的運作
- c) Modification of Data 存取檔案系統更改資料
- d) Denial of Service 拒絕服務近用 利如在Privacy International 2015針對烏干達國家監控情況的調查報告指出,該國總統下令授權軍方情治單位與警察機關利用干擾式惡意軟體攻擊破壞敵對陣營反對者和重要媒體之間通訊。難道只有獨裁強權國家才會發生政府從事侵駭嗎?Stuxnet揭露了美國情報單位在網路戰備上的佈署,而人類又將如何面對許多不定時爆發的潘朵拉引藥呢?
對人權的傷害:政府透過上述手段造成對(人)民間財產(軟硬體設備)之損害,其爭執點有二:首先其行徑是否事先經過適格適任法院審查的正當法律程序管控,再者則是如果政府以公共利益之名進行一種類似「eminent domain」(徵用徵收)的行為。雖說若以eminent domain來執行駭侵,但也須有明確法令授權規定的法律保啦留原則,且應予財產所有權人適當之補償,但在實際立法推動卻有技術上的困難(這點報告中沒寫清楚)。
3) Commission of surveillance or intelligence gathering監控或情資收集
- a) Endpoint or Host Compromise 使用端或主機之破壞
- b) Monitoring Communications Channels 監控通訊頻道
- c) Cracking Encryption 破解加密 國家監控的案例比較廣為人知,如我之前曾提過Electronic Frontier Foundation 在上個月發表的報告「Operation Manul report」,合理懷疑哈薩克政府利用電郵向異議人士殖入惡意軟體與遠端存取木馬程式(RATs),以控制遠地端受感染電腦,可進行螢幕截取、攝影機麥克風盗錄、檔案建立刪除抽取等監控。
對人權的傷害與對策:此部份主要是依照「國家通訊監察應遵守之國際人權原則」所整理的安全保護建議,此文件已有中文版翻譯,故我也就不再做節譯了。
最後提供幾則近來看到政府駭侵與監控產業情況的相關調查報導:(我自己一直很納悶上述三種類型的政府駭侵,不知台灣是否已有被洩露流出的個案可參考與警覺呢?我倒是一時之間還想不到)
The Intercept: 201512 The Secret Surveillance Catalogue
The Intercept: 20160902 Leaked Catalogue Reveals a Vast Array of Military Spy Gear Offered to U.S. Police
The Intercept: 20160912 Long-Secret Stingray Manuals Detail How Police Can Spy on Phones
Surveillance Industry Index
The Global Surveillance Industry Report