CSOs 數位防禦手冊
數位安全是什麼?哪裡重要?
隨著幾乎所有工作都要上網的時代到來,世界上的公民團體也越來越習慣利用數位工具進行倡議。舉凡日常的行政運作、內外人員的往來溝通、勸募、記者會或宣傳,都需要使用到網路設備。然而,我們的數位生活也已經成為駭客的攻擊目標,尤其是由極權國家資助的駭客,更容易針對公民團體,進行竊取或監控的數位攻擊。
對尋常使用者而言,不注重數位安全可能導致重要資訊外洩、或是電腦被植入惡意軟體來監控,例如金融帳號或是公司的業務機密。但對於關注人權的公民團體而言,無論是行政專員的工作檔案、捐款人的資訊,或是正在聯繫政治犯的身份與管道,都極可能在外洩後對倡議進程帶來重大危害。
其實,大多數位攻擊經常是針對使用者日常生活使用網路行為,例如使用瀏覽器、輸入帳號密碼就是每天上網都會發生,但不一定會隨時保持良好習慣的環節。或是公民團體的組織工作者會需要使用雲端硬碟分享資訊、架設網站進行宣傳與溝通,也常會因為只求方便、或缺乏相關專業知識的參考管道,憑藉個人習慣操作數位工具,而在無形中提供駭客可以攻擊的漏洞。
這份手冊的目標,就是介紹開放原始碼(開放源碼、開源)的替代工具,令所有人都可以藉此提升基本的數位安全能力。以下先分享一些貫穿全冊的相關概念,再依序介紹安全的瀏覽器、密碼管理器、自己架設雲端硬碟、保護組織網站的幾個方案。
開源的工具為什麼對數位安全來說很重要?
關於前述提到的開放原始碼、開源,直接意思就是將原始程式碼開放出來,日常中我們在電腦或手機使用的所有硬體、軟體、網站、服務都是建立在一大堆程式碼之上,這些程式碼也就是英文的 code,並且決定了軟硬體怎麼運作。然而,很多程式碼都被企業基於營利考量隱藏起來,不提供人們公開檢視,這也形成了一定的安全或隱私漏洞,畢竟我們無從得知哪些程式碼有問題、或有後門偷偷將我們的資料傳送出去。
「開放原始碼」與「開源」(Open Source code)是相同的意思,也就是公開程式碼給所有人檢閱,並且極大地提高被監督的可能。而且,有些開放原始碼軟體也允許使用者自由地使用、修改、再發佈軟體。
更重要的是,開放原始碼軟體經常由工程師社群中的志願者共同開發,並在網路上提供下載,很少受到商業利益的限制,可以更加以使用者的安全與隱私為首要考量。
雲端是什麼?伺服器是什麼?它對隱私及安全而言有什麼影響?
「雲端」、「伺服器」這可能是你偶爾聽見的科技詞彙,但是它們其實就是同樣的意思,座落在地球上某處的電腦主機。在你需要的時候,使用網路將資料從雲端伺服器傳到你的電腦或手機,或可以反過來讓你存放資料。例如 Google 或微軟就在世界各地租了超大的倉庫作為機房,將我們的資料存放在那裏,隨時提供我們連線使用。
總之,雲端畢竟就是別人的電腦,我們很難、甚至無法知道檔案經過誰的手上、具體位置在哪裡。這也形成了資安及隱私憂慮,畢竟,這些伺服器所在位置的國家可能有權力命令執法單位扣押主機、取走檔案。瞭解自己的檔案被誰管理、誰可以看得到、要將怎樣的資料放在上面,是公民團體使用雲端硬碟的重要課題。
什麼是網域?跟網址有什麼差別嗎?公民團體需要自己的網域嗎?
我們每天都在瀏覽器看到的網址,就如同地圖上的地址一樣,會告訴電腦該去哪裡取得資料、將檔案傳到哪裡。例如 drive.google.com 就是 Google 雲端硬碟的網址,前面的 drive 代表硬碟的意思,相當於街道名稱,而 google.com 代表這間公司承租的網域,相當於行政區名稱。也可以說,網域相當於一個組織單位在網路世界裏的名稱,網址則是相當於組織內部門、功能的門牌。
在數位世界裡,網域就跟辦公室一樣是需要租賃的,才能向全世界的電腦宣告這一串網址屬於誰。就如同一個組織需要承租辦公室提供客戶造訪,一個組織的網站也需要租賃一個網域,才能提供所有人造訪自己的網站。這也是在網路世界建立信任關係的重要關鍵,有自己的網域,才能令使用者確保自己正在造訪正牌的辦公室,而不是駭客偷偷架設的冒牌貨。