邮件+网页+硬件:新闻记者信息保护技巧分享

Print More

网络时代,盗用信息防不胜防,连公共WIFI都有可能遭遇偷窥。作为记者,如何掌握信息保护这一必备技能?现在深度君参考资深互联网研究专家和调查记者分享的实用工具+技巧,为你量身定做一款信息安全保护建议小手册,教你从细节保护信息安全。

————————————————————————-

美国财经科技媒体快公司(Fast company)最近发表了一篇关于信息窃取的文章,说USA Today的记者Steven Petrow在飞机上用iPhone连接空中Wi-Fi收发邮件时,“遭到了黑客入侵”。坐在他身后的一名乘客用某种手段读到了他和机上其他乘客的邮件。巧合的是,当时Petrow在准备的报道,正是苹果公司和美国联邦调查局间有关隐私问题的角力。

1

这种入侵很可能是通过“数据包嗅听”的方式进行的——用软件在数字网络中拦截数据包,通常是网络安全分析师的工作,但也容易被用来偷窥通过Wi-Fi传送的未加密数据。而这样的信息窃取,在飞机上、咖啡店里和任何有公共Wi-Fi的地方都有可能发生。

那么如何规避上述风险呢?没有什么软件能提供100%的保障, 但你可以学学下面简单的这几招,能迅速帮你提高信息的安全性和私密性。

————————————————————————————————

一、如何守护电子邮件信息?

传送邮件就像寄明信片一样,路上任何人都能读到上面的内容。学学以下几招,能帮你安全收发邮件。

1. 安全登陆邮箱

一般登陆邮箱时,为了方便省时,我们都会选择用户名+密码登录的方式,不少账户被盗。因此,如果要保护非常重要的信息,可以换用户名+SSL的方式,甚至换用数字证书(USBKey)登录。

2. 加密邮件

那么,如何加密电子邮件呢?你需要设置SSL(安全套接层)和TLS(安全传输层协议),也就是你检查银行账户或在线购物时所用的保护程序。检查邮件之前,先确认是否开启了SSL/TLS加密。如果已开启,网站地址开头会变成https,而非http。在不同浏览器你会看到不同提醒,例如在地址栏下方会有一个黄色弹出条。你还可以在浏览器上设置在什么情况下默认加密。

如果用QQ邮箱,在邮件的下方,有“其它选项”,点击“对邮件加密”,重新设置密码。这样在对方收到邮件后,必须输入相应密码才能收到邮件。

QQ密码加密截图

在网易邮箱,同理,点击右键下方的“更多选项”——“邮件加密”——设置密码。

网易1

网易2

如果用的是Outlook邮箱,加密单封邮件需要以下几步:打开邮件,在“邮件”选项卡上的“选项”组中,单击“加密邮件内容和附件”按钮 ,撰写邮件并发送。

加密所有邮件则需在“工具”菜单上,单击“信任中心”,然后单击“电子邮件安全”。在“加密电子邮件”下,选中“加密待发邮件的内容和附件”复选框。要更改其他设置(例如选择要使用的特定证书),请单击“设置”。单击“确定”两次。

如果你用的是Gmail,有两种方法可以推荐。一个是使用浏览器设置,一个是安装插件。

Encrypted Communications浏览器设置:用火狐浏览器,添加“Encrypted Communications”(加密通讯)选项,并重启浏览器。打开Gmail邮箱写邮件,右键选择该选项并确认。收件人也需要如上设置,点击“Decrypt Communication”(解密通讯),键入密码即可。

 

安装插件:如果你用的是火狐浏览器,可以进入Encipher.it页面,将其拖拽至书签。打开Gmail邮箱写邮件,点击“Encipher It”书签按钮,设置密码并“加密”。收件人接收后,键入密码解密即可。

Encipher It
在Chrome上,推荐选择扩展程序Secure Mail for Gmail,安装后重启Gmail,点击“写邮件”旁边的锁的标志,接着就是设置密码、解密了。

Gmail1

Gmail2
很多软件可以帮助你,例如添加OpenPGP程序,你可以使用以网站为基础的邮件服务,例如SendincJumbleMe。通常这样的加密设置要求你安装一个安全证书,为联络人设置公共密码,收件人也做相应设置、提前向你告知公共密码。
如果想加密已经存储的邮件信息?深度君推荐参考针对不同系统的操作介绍,例如适用于Windows的《如何加密WindowsPC》和 适用于Mac的《如何加密邮件》

openpgp的加密原理

OpenPGP的加密原理

openpgp的解密原理

OpenPGP的解密原理

3. 其他安全技巧:

除了设置加密,不少好习惯也能增强信息安全,例如:

  • 在公共场所登录账户,别忘了登出账户并关闭浏览器;
  • 定期删除浏览器缓存、历史和密码(wikiHow教学传送门在此:http://t.cn/RGlCvTx);
  • 紧要的事情不如打电话;
  • 使用“密件抄送”(Blind Carbon Copy)隐藏收件人地址;
  • 区分“回复全部”(Reply All)和“回复”(Reply),以免把信息发送给不相干的人;
  • 时常备份邮件;
  • 别以为移动端能自动备份或者与电脑信息分开处理,有时从移动端删除邮件,等于在收件箱删除。
  • 学会辨识欺诈和病毒邮件(Apple官网的建议和数据公司ReturnPath博客上的文章《如何辨识欺诈/恶搞邮件的10条建议》都有不少实用提醒);
  • 如果收到没订阅的邮件,别轻易点击“取消订阅”,以免染上病毒;
  • 别轻信朋友发来的邮件;
  • 有可疑邮件,记得加黑名单;
  • 开启垃圾邮件过滤器(spam filter);
  • 连上公共WIFI,别忘了加密浏览记录 (推荐阅读Lifehacker 的介绍,一些科学上网的工具就可以大显神通了);
  • 记得用电子签名以方便识别伪造邮件(推荐阅读YoudZone维基百科的文章);
    —————————————————————————————————————

二、如何放心浏览网页

1. 多用开头为https://的网站

如上所述,链接以https://开头的网站采用的是加密传输方式,对这些网站进行“数据包嗅听”会更难。

但这样的网站为数不多。而且需要注意,https并不能保护整个网页上的所有内容。比如网页上的图片、音频链接等,就不受保护。另外,网页产生的cookie在传输过程中也可能是不加密的。

电子前哨基金会提供了一个叫做 HTTPS Everywhere 的小工具,帮你加密网站,适用于火狐(Firefox)、Chrome和Opera三种浏览器,还能安装到安卓系统中的火狐浏览器里。

保护信息安全没有一劳永逸的办法,但这样一些简单的步骤能给你的邮件和文件多加一层保险。

2.使用不同密码

密码在面对“字典式攻击”的时候非常脆弱。“字典式攻击”是通过词典中不同字母和数字的排列组合来猜测密码。

password 因此,设置密码时,最好采用随机的数字和字母组合;同时,在不同网站最好使用不同密码。如果是特别敏感的内容,就使用一个特殊的密码。如果你把密码抄下来,要确保笔记上的内容只有你看得懂。千万不要在浏览器中储存敏感内容的密码。

3.保护元数据(Metadata)

希腊语中的“meta”指“之后”或“超越”。因此“元数据(metadata)”的意思就是你使用服务器时在身后留下的数据痕迹。

每次使用电脑或创造一个文件时,不仅会留下记录文件本身的数据,还有一个次级文件记录下文件的性质。里面的元数据包括日期、地点、(照片的)相机型号、手机型号、电脑型号、作者、工作单位等隐私信息。这部分信息可能存在于你发送的电子邮件、创建的word文档、拍摄的照片或录下的音频和视频文件中。
有一些人人都能用的网站或者软件能够分析这些元数据。一般来说,只要右键点击文件,选择“属性”(PC)或“获取信息”(Mac),你就能看到很多信息了,但这些网站分析得到的专业信息则更加丰富。用这些方法,你可以查到别人发来的信息里的隐藏内容。

深度君曾经介绍过的丹麦记者“监听”政客的调查,就是一个好例子。记者正是通过元数据获取了两位议员的共包括18000封邮件、31000条电话数据、2400条信用卡和银行数据、34000条地理位置数据和2800 条日历信息。

metadata1

丹麦“Berlingske”日报发布的“Sporet”(被追踪)多媒体新闻,最终获得了2015年全球编辑网络(GEN)颁发的数据新闻奖。

元数据的获取使用尚存在争议,保护起来也较为麻烦。其中一个很重要的方法,是保护自己的cookie不被窥探。

每次进入一个新网站时,你的元数据就会被发送到网站所有者那里。网站所有者将会看到你的连接情况,包括电脑型号,浏览器型号,和可能暴露你地理位置的IP地址。他们可能因此得知你的位置、家乡或工作地点。元数据里还包括你输入搜索框的内容。

如果你正在做一个调查报道,就要担心一下,他们是不是已经知道你来自BBC了,或者,通过你输入的搜索内容,他们也许已经知道了你的调查性质。

如果你曾经通过点击链接进入一个网站,那么该网站的所有者会知道包含链接的网站是什么——比如,一个Facebook页面。把这个信息和你的IP地址结合,就可能得知你的身份和你要做什么调查。

Viivo是一个加密Cookie的软件,加密后,即使网站所有者获取了cookie,也无法得知内容。

Viivo

还想了解更多元数据材料?可以参考美国国家信息标准组织(NISO)和《卫报》的介绍,以及Free Your Metadata教你如何清除元数据的文章

—————————————————————————————————————
三、如何保护硬件信息

对于调查报道记者,硬件保护也是一项非常重要的任务。

1.使用和恢复SD卡

如果你在执行一项非常艰巨的调查报道任务,把信息保存在电脑上可能都是不安全的。在严酷环境下,电脑可能会被搜查和没收。你可以把信息直接保存在SD卡或外接硬盘里。一个好处是它们方便携带和隐藏,坏处是比较脆弱,容易损坏和丢失。

深度君曾选译的《调查报道摄影:图片让故事更丰满》一文中,还提到过如何恢复记忆卡上的遗失信息:

无论是被迫还是出于安全考虑,删除了记忆卡上的图片,如果之后没有用过这张卡,图片就还能被找回来。

3D cards

要想恢复图片,可以试试这几个软件:DataRescue的PhotoRescue和DataRecoveryWizard,或者SanDisk的RescuePro。这几款软件要么收费较低,要么有免费版本。它们会把恢复后的图片和数据保存在电脑上,以免因保存在磁盘上而再出意外。只要记忆卡上的图片信息没有被彻底覆写或擦除,图片就可以恢复原样。

需要注意的是,比起直接删除后的恢复,格式化磁盘后图片将更难复原。

2.云存储

有时为了和调查小组成员分享文件,需要用到像Box和Dropbox这样的云存储。这也是BBC的项目小组经常使用的工具。但云存储有两个问题:加密和使用权限。

务必使用加密的云存储服务来储存盒传输文件,对于有使用权限的人,也需要审查和彻底的信任。

truecrypt

《调查报道摄影:图片让故事更丰满》提供了一种选择:TrueCrypt软件,它通过在已加密的文件中创建“隐藏卷”来实现加密。

3.数字粉碎机

即使你删除文件后,在垃圾桶里再次删除,这个文件仍然会留在你的电脑里,使用Encase或者FRED这样的软件就能找回。通过这种方法,能够找回所有你曾经存储在电脑上的文件。如果你的电脑落入不怀好意的人手中,那就危险了。

数字粉碎机不仅删除数据,还会用随机的二进制数替代内容,使其不可能再恢复原样。它也能帮助清理系统文件和磁盘空间。免费软件Eraser就是其中一例。

手机和SD卡也有相似的软件可用。软件 SanDisk可以彻底、永久地删除存储卡上的数据。删除工作需时较长,且一旦进行彻底删除或覆写,数据将再也无法恢复。

4.手机

mobile phone手机比电脑更容易丢失,而记者手机上的私人信息往往也更多。如果你在做复杂的调查报道,又担心自己的手机可能会被监听或者没收,不如买一个即付即用的手机。

或者,你也可以选择使用 Wickr这样的软件,在发送信息和图片后立即删除。

更多关于手机信息保护的信息,可参考PCWorldwikiHow的贴士和Forbes的科普。(点击“阅读原文”可获取链接哦)

——————————————————————————————————————————
四、如何防病毒和恶意软件

病毒是能从一个电脑传染到另一个电脑的任何东西(某种程度上,包括社交媒体上流传的城市怪谈)。恶意软件则难识别一些。它们是一些专门设计用于入侵隐私、进行广告轰炸和毁坏电脑的软件,不一定具有传染性。它还能窃取你的联系人信息,以你的名义发送邮件。

恶意软件可能使你的努力付诸流水。你调查的人只要在你的电脑上植入一个远程访问工具(remote access tool)或“特洛伊”木马,就能读到你的调查笔记和联系人信息。

best-antivirus-program

这些远程访问工具可以通过引诱你下载电邮附件或网页上的软件来侵入系统。如果你的浏览器版本过期了,就要格外小心。

手机上的恶意软件更危险,除邮件和联系人信息外,甚至能读取你的短信、通话记录、社交媒体使用和网络使用等。他们还能通过手机话筒监听你的声响,通过手机摄像机监控你的一举一动,甚至追踪你的行动轨迹。

由于很多人不安装病毒保护程序,这些都很容易实现。

作为调查记者,要确保在手机和电脑上安装病毒保护软件,在做调查之前,也要做好预防工作。买一个新的电脑专门用于调查是个好主意。记得在手机和电脑的相机镜头贴上严严实实的胶布。

参考文章:

1. How to Encrypt Your Email, PCWorld
2. Easily encrypt Gmail, Computerworld
3. The 25 Most Common Mistakes in Email Security, IT Security
4. Wi-Fi Can Be Dangerous: Three Ways To Avoid Getting Hacked, GIJN
5. Data at Risk: How to Protect Your Sources and Your Work, GIJN
6. 《调查报道摄影:图片让故事更丰满》,全球深度报道网
7. 可视化妙思:让我们也来“监听”政客

编译/王一苇
编辑/周炜乐

Leave a Reply

Your email address will not be published. Required fields are marked *