20131102-Firefox 的 Lightbeam 讓您享有免於受網路監控的自由!

Lightbeam for Firefox Shows which Companies Track You Online - TechnoBuffalo_1384920384576

黃郁文/編譯

Mozilla 最近釋出一款新的開源工具 Lightbeam,以協助網路使用者偵測是否自己的網路活動,已在不知情之下受到第三者的監看!

Lightbeam 是一款開源且免費供人下載的瀏覽器附加元件 (add-on),安裝之後,它可以即時向使用者顯示,哪家公司正在追蹤使用者的網路活動,這些監看者通常都是想要取得使用者個人資料的品牌或廣告商。Mozilla 表示這個工具的目的,是要曝露這些隱藏在網頁背後的監看行為,通常這些公司是偷偷置入一小段稱為 “tracking cookie" 的程式碼,在使用者的電腦裡,藉以監看紀錄使用者造訪了哪些網站。而 Lightbeam 就是要透過圖像方式,讓使用者輕易地了解,這些公司是如何監看紀錄使用者的網路活動。

實際操作該軟體時,點進圖表 (Graph) 選項,該視窗便會展示使用者與造訪網站的互動圖,以及不同監看公司間的關聯性。而在列表 (List) 選項下,Lightbeam 則會清楚顯示使用者在第三方網站第一次與最近一次的瀏覽紀錄,並指出使用者已造訪哪些網站,以及因此所連接上的第三方網站的數量。至於在時鐘 (Clock) 選項下,則可讓使用者檢視在過去 24 小時內,所連結上的網站數量與態樣。其次,Lightbeam 也可協助揭露瀏覽網站的過程中,哪些圖片、腳本或廣告是非自主性地由第三方伺服器被導入的,以幫助使用者判明哪些資訊其實是不需要或不受歡迎。另外,使用者還可以選擇與 Lightbeam 資料庫分享資料,以協助資料庫方析究竟這些監看與廣告網站之間,是如何互動。目前 Mozilla 已將 Lightbeam 的程式源碼,放置至 Github 上成為開放源碼專案,好讓對此專案有興趣的開發者,能透過群體共工的力量,協力將此專案改良、發揚的更臻完美。Lightbeam 最初的專案名稱叫作 Collusion,是由 Mozilla 開發人員 Atul Varma 於 2011 年所創建,當時主要是透過圖示化介面,顯示使用者瀏覽網路與線上資料的狀況。此專案之後復與 Emily Carr 大學藝術設計系的學生合作,以接續提升附加工具的視覺效果,同時 Lightbeam 還有獲得來自 Ford Foundation 與 Natural Sciences and Engineering Research Council 的資金援助。

一般說來,這些監看網路使用者活動的第三方網站,其牟利模式是在取得足夠的個人資料後,就可將個資賣給廣告商,之後廣告商就可以分析這些個資,來向使用者拋出其可能會感興趣的廣告;甚至將這些個資轉交政府機構,以協助政府掌控網民活動。Electronic Frontier Foundation 表示第三方網站所造成的潛在威脅,就是個資在使用者不知情的狀況下,便會在網路世界裡被任意散布,譬如有些第三方公司,便曾蒐集與分析使用者上網的行為模式,進而得出使用者不欲人知的隱私,更反向推銷使用者相關產品與訊息;甚至有些資料透過分析,還可得出使用者的政治傾向。Electronic Frontier Foundation 表示,在這個資訊時代,使用者應該要有權了解其個人資料在線上被利用的狀況,而身為了解此一生態的技術組織,他們也有責任主動確保使用者這些隱私權利。

而除了 Lightbeam 這個揭露第三方追蹤個資資訊的工具外,其實,還有一些瀏覽器內嵌的設計,便可以阻止 cookies 植入,以防止未經使用者同意便自動收集資訊的行為,像是 Ghostery (http://www.ghostery.com/)、Do Not Track Me (https://www.abine.com/dntdetail.php),與 Disconnect (https://disconnect.me/) 都是在此概念上去發展出來的網站或專案。不過,要額外說明的是,並非所有的網路追蹤裝置都是隱私侵入的導向,有些 Cookies 的功能在於節省使用者時間以自動協助使用者填寫表格與個人資料,這些功能常見於購物網站的購物車,與社交網站的登入頁面等。只是,讓這些第三方追蹤行為透明化,對使用者如何抉擇其網路活動至為重要,再者,一個具有良善隱私權保護政策的網站,應該要讓使用者清楚理解到造訪該網站,不僅向網站本身透露行蹤而已,同時可能還有其他第三方公司接受相同資訊,如此一來,使用者將意識到所處的網路環境而謹慎操作,進而降低未來發生隱私權保護爭議的糾紛與風險。

—-

相關網址:

1、Firefox 的 Lightbeam 讓網路追蹤者的監看行為無所遁逃
http://www.linuxinsider.com/story/79282.html

2、Lightbeam 讓使用者知道誰在追蹤其網路活動
http://www.technobuffalo.com/2013/10/30/lightbeam-for-firefox-shows-which-companies-track-you-online/

3、Lightbeam 讓網路活動追蹤公司曝光
http://www.theguardian.com/technology/2013/oct/28/mozilla-lightbeam-tracking-privacy-cookies

4、Lightbeam 專案程式源碼儲放頁面
https://github.com/mozilla/lightbeam/

20130906-TPM 晶片搭載 Windows 8 讓公務與個人隱私防護蒙上陰影

Landeshauptstadt München - Das Projekt LiMux_1379311708057

黃郁文/編譯

您以為個人電腦上的資訊只限於您個人才能夠接觸到嗎?想像上似乎是如此,但實際上 TPM 晶片 搭載 Windows 8 作業系統,運作下就可以讓這個想像狀況直接破局!

可信任平台模組 (Trusted Platform Module, TPM) 通常以電腦主機板上單獨晶片的型態存在,它可以被整合到電腦硬體的網路控制系統或是南橋晶片裡,這是一個由 IBM 初始設計,後來透過信任運算集團 (Trusted Computing Group) 這個商業聯盟的力量來推動,該聯盟成員均為美國科技大廠,包括 AMD、Cisco、Hewlett-Packard、IBM、Intel、Microsoft,以及 Wave Systems。TPM 晶片的主要功能在於為電腦系統的加密功能產生簽章及配對金鑰,簡要來說,TPM 技術主要是用在數位權利管理 (Digital Rights Management, DRM) 以及電腦安全管控方面,也就是說,用來監視使用者安裝合法授權及阻絕侵權使用的商業軟體。也正是透過 TPM 機制,Microsoft 可以遠端透過連上網路的個人電腦,分析該電腦上的 Windows 作業系統是否已得到合法授權。與舊版 TPM 1.0 技術不同的是,當前最新版本的 TPM 2.0 並不容許使用者自行解除 TPM 機制,所以一旦開機,TPM 機制就會預設啟動,而一旦啟動,使用者就無法停止該項功能。

而更讓人憂心的是,近來美國一份國防機密文件的曝光,讓世人驚訝於跨國的大型資訊公司,竟不約而同在政治壓力下,選擇與美國情治單位合作,進一步於電子產品中置入後門 (backdoor),以便政府機關能在必要時監視個人電腦的使用狀況。根據一份來自德國聯邦辦公室資訊安全部門 (German Federal Office for Information Security, BSI) 的文件,BSI 的安全專家指出 Microsoft 最新的作業系統 Windows 8,便有可能危害使用者的資料保護。這是因為 Windows 8 作業系統,容許 Microsoft 透過內建的 TPM 機制遠端操控電腦,而這樣的建置大有可能讓美國國家安全局 (National Security Agency, NSA),甚至中國政府的資訊監控部門,以長驅直入的方式,直接監控使用者個人電腦中的各類資訊與檔案。密碼學專家 Rudiger Weis 研究 TPM 機制多年,其表示 TPM 機制下,系統簽章與金鑰的產出過程是先有晶片,然後再將密碼傳輸到晶片上,故由晶片生產端的商業公司著手,取得密碼是一件非常容易的事,而這樣的技術也正是各國情治單位所夢寐以求的快捷便道。

且各國法律往往皆有相關的強行規定,律定私人企業在政府偵查機構向其行文之後,必須將手上可接觸到的使用者資料與資訊移交予調查機構,也就是說,在此種規定之下,Microsoft 或晶片製造商,有可能必須將 TPM 機制下可建立的監控金鑰,轉交給國家安全情報單位,以達到政府監控特定人民活動的目的。因此,在德國不論是 BSI、經濟部 (Ministry of Economic Affairs),或是聯邦行政機關 (Federal Administration),都一致反對德國政府與相關組織中重要的電腦作業系統,使用到 Windows 8 搭配 TPM 2.0 晶片的電腦裝置。該份文件中也提到,相關資訊的私密性,在這樣的裝置底下是使用端無可掌控的,而鑑於即使是使用舊版的 Windows 7 作業系統,在安全性相關的確保也只能持續到 2020 年,故該份文件也同時籲請德國政府負責資訊系統採購、建置,與運用的權責單位,必須在期前將現行的 Windows 系統汰換、升級至非受 TPM 2.0 機制控制的其他方案,以確保政府機構所管重要資料的安全。

Apple 在 2009 年就停止 TPM 這項技術的應用,而 Linux 作業系統下更是根本無法使用該項技術。目前 Microsoft 對 TPM 技術的解釋為:只要使用者不接受電腦預設設定,電腦就不會內建該項功能,此外,硬體公司也可以在製造過程中解除 TPM 的設定,而使用者只要自行選購這些已解除設定的相關產品即可。然而,姑且不談 Microsoft 這套說法能否一掃一般個人使用者隱私盡失的疑慮,但商務公司與公務機關,為了保障電腦私密資料的安全,最根本的方案應該是自我有一套因應配套,例如將重要資料處理與儲放裝置,轉換為 Linux 作業系統為主,因為 Linux 作業系統為開放源碼之故,其上的程式源碼皆可被使用者查驗,並且依需求自行建立所需的資訊安全防護機制,以杜絕 TPM 機制的遠端遙控,此正也是德國慕尼黑市 (Munich) 在十年前便啟動市政系統 Linux 轉換計畫 (Das Projekt LiMux) 的主因之一,由此,亦可看出以開放源碼軟體與商用專屬軟體相較,兩者在防護隱私與阻斷不當資訊查察方面難易度的差別。所以,在體認到此點隱憂之後,與其苦惱如何擺脫 TPM,不如從更高的制高點釜底抽薪,逐步將重要的公用伺服器與個人作業系統,轉移至開放源碼管控權限操之在己的 Linux 陣營,方為從根本之處著手的解決之道!

—-

相關網址:

1、德國政府警告重要機構不要使用 Windows 8 以防機密資訊直接導入美國國家安全局的掌控之中
http://investmentwatchblog.com/leaked-german-government-warns-key-entities-not-to-use-windows-8-links-the-nsa/

2、Windows 8 恐怕有為美國國家安全局及中國政府資訊監控部門準備的後門
http://americablog.com/2013/08/leaked-german-government-warns-key-entities-use-windows-8-computers-potential-backdoor-nsa.html

3、美國國家安全局能輕易侵入個人隱私
http://www.theinquirer.net/inquirer/news/2293089/nsa-cracks-encryption-with-ease

4、德國政府採用自由/開放源碼軟體概況
http://www.openfoundry.org/tw/legal-column-list/523-2010-07-15-10-47-04

5、Microsoft 發布德國慕尼黑市 Linux 轉換計畫調查報告與官方分析有明顯落差
http://www.openfoundry.org/foss-news/8926