Pages

Wednesday, 4 August 2021

如何防范NSO一类木马的监控

 问:以色列保安公司NSO被人发现利用其制造的木马软件,协助不少国家政府监控异见人士的手机活动。亚马逊公司的云端网路服务AWS(Amazon Web Services)日前宣布,已经关闭与NSO相关的户口,以及主机服务,亚马逊这次行动,对被监视的人会有甚么好处?

李建军:Amazon Web Services是全球最大的网络云端主机服务平台之一,几乎大部分网站以及软件,都会用到亚马逊的云端主机服务,不论是用作储存资料,还是负责搜集和处理资料,相信有相当部分都是由亚马逊的主机负责储存。而亚马逊公司终止NSO的户口后,会删除相关主机的资料,相信有相当一部分资料也会被销毁,而NSO的木马系统,亦可能暂停活动一段时间,因为有部分主机终止服务后,软件很大机会因失去与主机的连线无法执行甚至更新。如果其他提供云端服务的公司,都愿意跟随亚马逊的政策,终止NSO的服务,并且关闭和删除主机,相信NSO的软件,将会无法运作好一段时间。

问:亚马逊采取强硬政策,禁止软件公司租用云端服务用作侵犯私隐用途,是否代表像NSO一类的公司,无法再推出新的木马替各国独裁政府去监控异见人士?

李建军:短期内,或者会有打击。没错,有一些我们称之为防弹云端主机公司,会愿意继续向NSO提供服务,只不过这类公司规模无法与亚马逊相比,成本贵但效能不一定好。而且这类公司,好多都同时向犯罪分子提供服务,本身也是各国执法部门的针对对象,因此,NSO将不少软件服务在这类防弹云端主机公司提供系统运作,很容易因其他客户的不法行为,而被其他国家政府打击。但长期而言,如果NSO公司愿意向中国当局提供服务,有可能会移师到腾讯云、阿里云之类中国公司主机。因为中国当局与NSO一类公司,基本上是狼狈为奸。

问:如果发现有主机从事一些古怪活动,例如意图读取某些敏感网页,或长期与你的电脑建立连线,那应该怎么做?

首先,你应该尝试找出有哪些网页或程式连接相关古怪主机,再采取相应行动,例如强行结束有问题程式,或在防火墙设定拒绝连接相关古怪主机,这是保护自己的行为。

如果你知道对方的IP是亚马逊、DigitalOcean、Linode之类的大公司的主机的ip,其实这些大公司都有专用电邮,去接收一些滥用行为的投诉,你将相关的画面截图或系统纪录一并提交,这些公司一般都会终止有关主机服务,这不单减少对你本人的威胁,也有助保障其他人的私隐安全。因为这类型监视系统,并不会只以一个人做目标,通常受影响的人数以百计,甚至千计,所以这类软件在西方大型云端网络上运作,如果可透过举报影响运作,都应该尽量举报。

不过,如果你发现对方IP是中国的云端服务,或一些由俄国、乌克兰人经营不见经传的主机系统,那你就没有太多方法,你只能尽量在防火墙设定禁止与相关IP的通讯,以及尝试寻找有问题软件的位置,并加以删除。因为中国、俄国、乌克兰这类主机,都不会理会其他人的投诉,会尝试包庇相关主机。就算西方国家执法部门都要用九牛二虎之力,更何况普通小市民。

无论Mac、Linux还是Windows,都可以做到利用作业系统内建防火墙,阻止一组IP,或个别IP的连线,只不过在防火墙设定这方面,Windows会略比Mac和Linux易用,因为Windows可以用图像介面操作,但Linux和Mac都要透过特定指令去达成目标。对懂得Linux主机设置的高阶用户,十分之简单,但对大部分习惯了图像用户介面的Windows,甚至Mac用户,指示就有点困难,Windows可以透过图像使用介面,禁止部分不速之客连接你的电脑。

NSO Group是一家从事网络情报工作的公司,其研发的软件被指在一些国家遭用作针对人权护卫者和记者的攻击

No comments:

Post a Comment