投誠者的資訊安全賽局

未簽名
已簽名資訊

豆泥的以太坊地址:mashbean.eth

狀態:未簽名

文章的身分證字號

0xdb566d856cfd5f79f9b394884dd4497fb5026fd4f11b86a2b204c14a01381357

這是什麼?

已簽名表示這篇文章已建立獨特的身分證字號(內容雜湊,contentHash)並且由豆泥簽署認證,簽署是採用以太坊區塊鏈的豆泥專用地址(signer.mashbean.eth)。只要內容一經修改,就會需要重新驗證換發新的身分證字號。但豆泥不是每天都在公所上班,所以偶爾會慢一點認證。

閱讀偏好

剛看完史蒂芬.史匹柏的電影《揭秘日》,對於吹哨者這門學問很上頭,因此端午節的「難題」就來做這個,如果屈原可以吹哨,或許就不會投江?粽子裡面變成初一十五殺韃子(X)。

(本文限友,但歡迎轉連結)

台灣的國安局(NSB) 5 天前宣布開立「中國民眾聯繫窗口」,讓想要爆料的人士,可以經過這個官方網站投遞資料過來,實際上就是一個線上問卷。

初步看覺得這很像 CIA 之前做的一系列 propaganda 影片 + freedom . org + 線上問卷,的低配版。我內心的辯證是,由於最近也在研究 SecureDrop 這種源自媒體界的「匿名吹哨者機制」,本質上與「投誠者餵資料機制」是類似的,但隱隱覺得有點怪怪的,希望國安局不是話唬不成反類犬。(畢竟高概率找不到公開資訊採購資料)

吹哨最忌諱的就是出師未捷身先死,資料沒出去,人就被 targeted 了。

因此我首先先初步檢測國安局網頁(不過我的資安能力很弱,只能初步掃描,一開始還被 GPT 拒絕執行),並針對流程提出一些疑問。

不過吹哨後面的信任基礎與「投誠者 vs. 監控者 vs. 接收者」之間的三方賽局,才是我想要討論這重點。這個賽局無論是在「中共內部舉報網路」、「新聞爆料」與「民主陣營官方聯繫窗口」,邏輯是一樣的。

先回到咱國家的官網吧。

國安局的投遞窗口網頁,首先要先過「真人驗證」(選帽子),應該是防止大規模攻擊,然後會進入一連串的問答題,算是幫投誠者做安全教育,然後才出現一個問卷頁面,要填入一些資料。

整個流程用到了許多西方雲端 SaaS 服務,如 CloudFront, AWS WAF, S3 等等。當然這沒辦法證明這些服務就一定會透露個人足跡,不過經過 GPT 提醒,我一開始也不知道美國政府可以用 Section 702 來搜集資料。

Section 702 授權美國政府在符合條件下,以美國電子通訊服務提供者的 compelled assistance,target 合理相信在美國境外的 non-U.S. persons。

而更前端的「使用者體驗(服務設計?)」問題是,都先進入服務了,才開始進行資訊衛教,會不會有點太晚?安全教育放在某些接觸足跡形成之後(比如真人驗證),會讓使用者承擔過早發出信號的成本。

//當一個高風險投遞入口依賴雲端交付、防濫用、瀏覽器端驗證與第三方前端資源時,使用者需要知道哪些基礎設施可以看見他的連線、時間、裝置環境、token 或互動訊號。即使內容有 HTTPS,接觸前後的 metadata 還是可能成為制度與技術共同處理的對象。

小結論是,如果使用這個網站,在信任台灣「當局」之前,也要信任美國「企ㄑㄧˇ業」,當然也要信任這些企業背後的政府。(那為何不投遞到美國那邊就好?)

此外,整個爆料(投遞)流程,可以比較的案例是媒體吹哨與維基解密的領域(結果立場與民主陣營相反?但說相反也不對,應該說與單一民主政府相反?就跟電影《揭秘日》一樣) 。

相關吹哨基礎設施的案例有 SecureDrop、GlobaLeaks、OnionShare Receive Mode、CoverDrop,整個流程難度上升,不是簡單一個問卷打發掉投誠者,還保護了 IP、元資料、各種個人足跡等等。如果有機會,我自己也想要實作驗證看看,難度有多高。

另一個有意思的案例是中國舉報窗口 12339 與 12377。中國官方是鼓勵「實名舉報」的,而非匿名舉報,顯然歷史脈絡不太一樣。這與文革、紅衛兵、這跟我對中共歷史,各種大鳴大放後再割草清算的文化認知是一致的。

但我覺得可以往下做的研究是,「實名舉報」與「匿名吹哨」的賽局均衡,會有何不同?什麼樣的人在什麼樣的時空背景,會選擇實名,反之亦然?

有興趣的話,可以點原文連結進去看三方賽局,而且賽局不會一回合就結束,因為近二十年的歷史表示,許多投誠者,在多年後在海外被暗殺。

一句話結論的話,雖然我自己沒什麼料可爆,但我會希望台灣國安局至少可以考慮提供洋蔥網路的聯繫窗口(好歹 CIA 已經這麼做了),然後參考一下行之有年的吹哨流程。

希望不只是再一個數位外宣蚊子館,「雲設施」還蓋在西方服務上面XD。

← 回文章列表