來自電子前線基金會的計畫
許多企業和網站提供協助個人改善數位安全的工具,您該如何從中選擇適合自己的工具呢?
我們無法列出萬無一失的工具清單,讓您保護自己(但您可以看看教學課程提供的常見選擇)。但如果您對自己所要保護的事物和防範的對象,有一些不錯的想法,本指引可幫助您透過一些基本的準則,來選擇適當的工具。
請記得:安全性與您使用的工具或下載的軟體無關,而是從了解您所面臨的特殊威脅,以及如何對抗這些威脅開始。更多資訊請見「評估您的風險」。
安全性是一個過程,不是購買Anchor link
在改變您使用的軟體或購買新工具之前,首先要記住的是,沒有任何工具在任何情況下能夠提供絕對的監控防護。因此,全面思考您的數位安全作法很重要。例如,如果您在手機上使用數種安全性工具,卻沒有在電腦上設置密碼,那麼您手機上的安全工具可能沒有太大幫助。如果有人想要找到您的資訊,他們不會選擇從最難的管道下手,而會從較容易的地方取得您的資料。
再來,由於您不可能防範所有種類的陷阱或攻擊者,您應該專注思考哪些人可能會想要您的資料、他們會想從中得到什麼,以及他們會如何取得。如果您最大的威脅
來自無法使用網路監控工具的私家偵探的實體監控,您就不需要購買一些昂貴、聲稱是「得以防範國安局」的加密電話系統。又或者,如果您面對的是一個因為異議分子使用加密工具,而經常將他們監禁起來的政府,那麼使用較簡單的策略,例如設計一套聽來無礙、預先安排好的代碼來傳送訊息,可能比冒著風險留下證據證明您在筆電上使用加密軟體,來得合理。思考一系列您欲防衛的可能攻擊,即稱為威脅模型。
鑑於以上所述,在下載、購買或使用工具之前,您可以想想以下的問題。
它有多公開透明?Anchor link
安全研究人員堅信,開放性和透明度會促成更安全的工具。
數位安全社群所使用和推薦的許多軟體都是開源(open-source)的,也就是說,決定軟體如何運作的代碼是公開可供其他人檢查、修改和分享的。藉由公開這些程式如何運作,這些工具的開發人員邀請其他人去尋找安全漏洞,並幫助改善程式。
開源軟體可提供更好的安全性,但無法保證絕對安全。開源軟體的優勢,部分在於技術專家社群實際檢查程式碼,這在小型的 (甚至廣為人知、複雜的) 專案可能難以實現。在考慮使用工具時,請查看其原始碼是否可取得,以及是否具有獨立的安全性稽核(security audit),以確認其安全品質。軟體或硬體至少應該有一份詳細的技術說明,解釋它是如何運作的,以供其他專家檢查。
開發人員對於軟體的優缺點有多清楚?Anchor link
沒有軟體或硬體是完全安全的。請找找有軟體開發人員或銷售人員對他們產品的限制開誠布公的工具。
那些聲稱程式碼是「軍用級」或「防國安局」的概括性說詞是危險的。它們表現出開發人員可能過於自信,或不願考慮其產品可能存在的缺陷。
由於攻擊者總是試圖找出破壞工具安全性的新方法,因此軟體和硬體需要更新以修復漏洞。如果開發人員因為害怕搞壞名聲,或是因為尚未建立基礎設施而不願更新,如此一來可能會造成很嚴重的問題。請找找那些願意進行軟體更新,也清楚更新理由,並據實以告的開發人員。
工具開發人員過去的活動,會是他們未來行為很好的參考指標。如果工具的網站上面列出了以前的問題,以及定期更新和資訊的連結 (特別是自軟體上次更新以來已經過了多長時間),那麼您可以更加確信他們將來會繼續提供這項服務。
如果開發人員遭到入侵,會發生什麼事?Anchor link
安全工具開發人員建立軟體和硬體時,他們 (就像您一樣) 必須有一個明確的威脅模型。最好的開發人員會明確地在說明書中說明他們可以為您防範什麼樣的敵人。
但有一種攻擊者是許多開發商不想考慮的:他們自己!軟體開發商會不會遭到攻擊,或決定攻擊自己家的使用者呢?例如,法院或政府可能會迫使一家公司交出個人資料,或者建立一個「後門」,去除他們工具提供的所有保護措施。所以,請考慮開發人員所在的司法管轄區。例如,如果您擔心您所要防範的是伊朗政府,美國公司可不配合伊朗的法院命令,但它必須遵守美國的命令。
即使開發人員能夠抵制政府施壓,攻擊者也可能試圖藉由闖入工具開發人員自己的系統,來攻擊其客戶。
最強韌的工具會將這種攻擊視為可能,並且能防禦這類攻擊。請找找那些宣稱開發人員不能存取私人資料,而不是承諾開發人員不會這麼做的說法。請找找以對抗法院命令,保護個人資料著稱的機構。
軟體曾被召回或在網路上被批評嗎?Anchor link
銷售產品的公司和推銷他們最新軟體的熱心人士可能被誤導、誤導別人,甚至公然說謊。原本安全的產品未來可能會有嚴重的缺陷。請確保您非常熟悉您所使用的產品的最新資訊。
我應該購買哪款手機?哪台電腦?Anchor link
安全培訓人員常被問到:「我應該買 Android 手機還是 iPhone?」或「我應該使用 PC 還是 Mac?」或「我應該用什麼作業系統?」這些問題無法簡單回答。由於發現新的錯誤、修復舊的漏洞,軟體和裝置各自的安全性會不斷改變。各大公司可能會相互競爭,為您提供更好的安全保障。他們也可能會受政府施壓,而削弱安全性。
不過,有些一般性建議幾乎不會錯。購買裝置或作業系統時,請將軟體保持在最新狀態。更新通常會修復舊程式碼中會被攻擊的安全問題。請注意,即使是安全更新,較舊的手機和作業系統可能不再受到支援。特別是 Microsoft 已明確表示,Windows Vista、XP和更早的版本將不會收到嚴重安全問題的修復。這表示:如果您使用這些版本,您無法期待它們的安全性不受攻擊。OS X 10.11 或 El Capitan 前的版本亦然。
現在,您已思考過您所面對的威脅,也明白要尋找什麼樣的數位安全工具,您可以更有信心選擇適合您特殊情況的工具。
本指引中提到的產品 Anchor link
我們盡量確保本指引中所提到的軟體和硬體,符合我們前述所列的標準。我們竭盡所能只列出具有以下標準的產品:對於目前我們已知的數位安全有堅實的基礎;對其操作 (及其缺陷) 整體上是公開的;對於開發人員本身可能受到的攻擊有所防範,以及;產品已被維護,且有龐大、技術知識豐富的使用者基礎。
在撰寫本文之際,我們相信這些產品有一大群使用者正在檢查它們的缺陷,而且很快就會引起大眾關注。請各位要了解,我們沒有資源對每項產品的安全性進行審查或做出獨立保證。我們不為這些產品背書,也不能保證完整的安全性。