網站更新隱私權聲明
本網站使用 cookie 及其他相關技術分析以確保使用者獲得最佳體驗,通過我們的網站,您確認並同意本網站的隱私權政策更新,了解最新隱私權政策

0

0
0

文字

分享

0
0
0

西藏送給 Android 用戶的禮物:保障隱私與安全的自由軟體市集 F-Droid

洪朝貴
・2013/04/09 ・2866字 ・閱讀時間約 5 分鐘 ・SR值 525 ・七年級
F-Droid 與西藏布達拉宮

Android 手機用戶們, 在意你的隱私與手機自主權、 不希望你的手機被植入惡意軟體嗎? 請盡量改從開放原始碼的 F-Droid 市集下載軟體吧。 為什麼還沒買 android 手機的貴哥會發現而且敢推薦這個自己沒用過的市集? 這要從我讀了一篇文章開始說起:《社運前線人士把資訊安全帶給遭受迫害群眾》。 嗯, 我知道讀者多數並非 「遭受迫害群眾」, 但是閱讀他們的故事, 更能理解為什麼開放原始碼是保障個人隱私與資訊安全的第一步。

中國的 android 手機用戶無法從 google 官網下載 apps, 所以大家很習慣透過 e-mail 等等其他媒介胡亂安裝 apps。 這也替惡意入侵者營造了絕佳的社交工程騙術沃土。 (還好 外星人操控台北市政府砍 google 一事, 最後 沒有得逞; 臺灣人終於又可以從 google 官方的 play store 購買 android apps。) 三月間, 不明人士入侵西藏社運人士帳號後, 就是利用這個弱點進一步攻擊其他人。

入侵者以受害者的名義發送偽造的 e-mail 通知其聯絡人關於世界維吾爾高峰會議事宜。 但信件中名為 “WUC’s Conference.apk” 的附檔其實是惡意改寫過的 android app。 如果收件人在 android 手機上點這個 apk 檔, 就會成為下一位受害者--惡意程式被植入手機, 開始將通訊錄、 通聯記錄、 簡訊、 位置等等資訊傳到一個位於洛杉磯的伺服器 64.78.161.133。這個 「蒐集受害者個資」 的伺服器所對應到的網域名稱 DlmDocumentsExchange.com 是由一名自稱 peng jia 人士, 透過上海美橙互聯, 在三月八日才剛註冊的; 現在已經失效。 有趣的是: 同一個網站底下另一個內含相同惡意程式的 apk 檔, 內容卻是全國政協大會發言人對釣魚島的評論。 Secure List 有詳細的技術資訊。 進行技術分析的資安專家表示: 這次的攻擊行動先入侵西藏人的帳號, 再拿它來攻擊維吾爾人的帳號, 看來意欲挑撥兩族之間信任關係、 引發彼此猜忌的意圖很明顯。

揭發此次攻擊事件的是卡巴斯基資安實驗室以及多倫多大學國際關係學院的 Citizen Lab。 實驗室主任 Ronald Deibert 表示: 「大家都認為網際網路、 行動電話、 社交媒體對於非營利公民團體有很大的幫助。 但攻擊者也找到切入點可以置這些公民團體於險境。 這些公民團體欠缺警覺性與資源。 政府只關注私人企業而放任這些公民組織毫無招架之力地曝露在攻擊威脅之中。」 他也提及先前敘利亞政府在 skype 植入後門程式入侵反抗軍及阿拉伯之春運動人士帳戶的事件, 並且指出在中國, 政府要入侵公民帳戶更加容易, 因為最高層的 數位證書認證機構 (Certificate Authority, 簡稱 CA) 也是由政府一手掌控, 所以可以輕而易舉地對公民進行 man-in-the-middle attack 中間人攻擊 (中文)。 「獨裁政府越來越懂得對那些使用資訊科技溝通的公民團體下手, 操弄他們手中的科技、 降低他們的行動力、 找他們的碴。」

藏裔加拿大人 Lhadon Tethong 曾經因為撰寫部落格報導西藏人爭取人權而被中國政府驅逐出境。 後來她得到手機安全專家 Nathan Freitas 的技術協助, 成立公民組織 Tibet Action Institute, 教育西藏的民眾提升資訊安全意識、 小心惡意的手機 app、 保護自我隱私。 她表示: 「過去兩年以來, 西藏人透過手機或網路與外界的溝通過程中, 遭到監控/入侵/釣魚的情況越來越嚴重。 … 在西藏, 單單只因為跟外界通聯, 你可能就會招致兩年、 五年、 或七年的牢獄之災。」 Tethong 自己早在 2011 年就曾遭到上海浦東解放軍 61398 部隊的惡意軟體攻擊, 也很有警覺地將樣本寄給 Citizen Lab 分析。 直到今年初, 一份資安報告終於提出諸多具體證據證實: 這支部隊長期透過釣魚等等技術, 對美、 加、 英等國企業進行網路情搜。(美國這份與西藏完全無關的報告問世之後, 網路上又有人 冒用這份報告的名義傳遞惡意的 pdf 檔, 把開啟 pdf 的收件人導到一個用來入侵西藏用戶的網站, 讓人不禁好奇這又是誰的傑作…)

Lhadon Tethong 與 Nathan Freitas 又啟動了 Guardian Project, 致力於開發 「保護用戶隱私與匿名」 的相關 apps。 他們的 apps 採用自由軟體開發, 而其開發成果也以開放原始碼的方式置於 github。 他們並且成立了 F-Droid 市集 專門搜集 android 上的自由軟體 apps。 除了 Guardian Project 自己開發的軟體在這裡上架之外, 也開始有很多人自行撰寫 apps 放到 F-Droid 上。 因為這些 apps 的程式碼都攤在陽光下, 所以惡意軟體很難混進去。 F-Droid 所要照顧的對象, 並不局限於西藏人與維吾爾人。 任何在意手機自主權與隱私的民眾--特別是敘利亞、 埃及之類 「政府透過網路或手機監控公民」 的國家民眾 — 也都可以受惠。 採用自由軟體, 也許無助於擺脫 美國 FBI 的偽基地臺 Stingray, 但至少在軟體的層次比較安全。 在這個 程式碼就是法律 的年代, 具有高度資訊安全意識的手機用戶會盡力確保只允許看得見條文的法律 — 看得見原始碼的程式 — 進駐他的手機。 這樣的堅持, 重點不在於 app 是否免費、 也不在於你自己是否看得懂程式原始碼, 而在於透過眾目睽睽的透明機制來確認: 這些法律條文是在服務你, 而不是在綁架你的手機、 藉以刺探你的隱私或用其他方式傷害你。

也藉這個機會談一下 「android 因為開放所以不安全」 的迷思。 事實是: android 上面的多數 apps 因為沒有開放原始碼及相關驗證機制, 所以不夠安全。 現在既然出現了採取 Debian Linux 社群管理機制的 F-Droid, 在 Firefox OS 手機成為主流之前, F-Droid 很有可能將成為最安全且沒有 言論管制 的手機 app 市集。 惡意軟體如果想要混進這樣的市集, 入侵官網可能是相對最簡單的方式。 沒錯, 這十多年來, 這樣的入侵行動, 在 Linux 作業系統與自由軟體界確實發生過幾次, 但其中只有一次成功將修改過、 具後門的惡意版本上架, 而且在造成大規模危害之前就被識破且移除。

再換個方式思考: 這些人所面對的是身家性命的安危。 他們的手機比你我都更有機會被入侵, 而遭受入侵的後果也比你我個資外洩都更可能攸關生死; 但是他們不見得比你我更懂得撰寫 C/C++/Java。 他們為什麼選擇信任自由軟體? 這是主張 「開放原始碼, 大家都看見, 所以不安全」 的人, 又一次無法回答的問題。

可悲的是, 因西藏人失去私密通訊自由而誕生的這份資訊安全禮物, 他們自己能否享用卻都還是個未知數。 北京政府似乎並不滿足於透過地下手段綁架西藏社運人士的手機或 企圖攻擊達賴喇嘛的 Mac。 西藏人權與民主組織 TCHRD 也在三月間 報導: 北京政府開始對西藏各大都市 — 特別是喇嘛寺 — 進行盤點, 對個人手機強制進行 「安全檢查」。 訊息被封鎖的西藏, 能夠傳出這樣幾句話已經很不容易了; 從那篇報導裡, 我也無從理解這個 「對僧侶進行手機安全檢查」 “security screenings of cellphones owned by the monks” 到底是搜括通訊錄/簡訊等等隱私個資、 禁止使用 F-Droid、 還是強行植入北京政府所寫的惡意軟體。 (聽起來跟 微軟口中的 「安全」 有相似的味道。) 我們只能為西藏朋友們祈禱、 祝他們終於有一天能夠像其他正常健康社會的公民一樣擁有隱私、 能夠被允許用自由軟體透過 VPN (或學會使用 gpg) 跟外面的世界自由地進行私密通訊。 這無關乎藏獨與否。 這只是身為廿一世紀地球人一項基本的人權, 一項 「北京政府無意允許自己國家的公民行使」 的基本人權。

(本文轉載自 資訊人權貴ㄓ疑

文章難易度
洪朝貴
47 篇文章 ・ 0 位粉絲


0

9
3

文字

分享

0
9
3

揭開人體的基因密碼!——「基因定序」是實現精準醫療的關鍵工具

科技魅癮_96
・2021/11/16 ・1998字 ・閱讀時間約 4 分鐘

為什麼有些人吃不胖,有些人沒抽菸卻得肺癌,有些人只是吃個感冒藥就全身皮膚紅腫發癢?這一切都跟我們的基因有關!無論是想探究生命的起源、物種間的差異,乃至於罹患疾病、用藥的風險,都必須從了解基因密碼著手,而揭開基因密碼的關鍵工具就是「基因定序」技術。

揭開基因密碼的關鍵工具就是「基因定序」技術。圖/科技魅癮提供

基因定序對人類生命健康的意義

在歷史上,DNA 解碼從 1953 年的華生(James Watson)與克里克(Francis Crick)兩位科學家確立 DNA 的雙螺旋結構,闡述 DNA 是以 4 個鹼基(A、T、C、G)的配對方式來傳遞遺傳訊息,並逐步發展出許多新的研究工具;1990 年,美國政府推動人類基因體計畫,接著英國、日本、法國、德國、中國、印度等陸續加入,到了 2003 年,人體基因體密碼全數解碼完成,不僅是人類探索生命的重大里程碑,也成為推動醫學、生命科學領域大躍進的關鍵。原本這項計畫預計在 2005 年才能完成,卻因為基因定序技術的突飛猛進,使得科學家得以提前完成這項壯舉。

提到基因定序技術的發展,早期科學家只能測量 DNA 跟 RNA 的結構單位,但無法排序;直到 1977 年,科學家桑格(Frederick Sanger)發明了第一代的基因定序技術,以生物化學的方式,讓 DNA 形成不同長度的片段,以判讀測量物的基因序列,成為日後定序技術的基礎。為了因應更快速、資料量更大的基因定序需求,出現了次世代定序技術(NGS),將 DNA 打成碎片,並擴增碎片到可偵測的濃度,再透過電腦大量讀取資料並拼裝序列。不僅更快速,且成本更低,讓科學家得以在短時間內讀取數百萬個鹼基對,解碼許多物種的基因序列、追蹤病毒的變化行蹤,也能用於疾病的檢測、預防及個人化醫療等等。

在疾病檢測方面,儘管目前 NGS 並不能找出全部遺傳性疾病的原因,但對於改善個體健康仍有積極的意義,例如:若透過基因檢測,得知將來罹患糖尿病機率比別人高,就可以透過健康諮詢,改變飲食習慣、生活型態等,降低發病機率。又如癌症基因檢測,可分為遺傳性的癌症檢測及癌症組織檢測:前者可偵測是否有單一基因的變異,導致罹癌風險增加;後者則針對是否有藥物易感性的基因變異,做為臨床用藥的參考,也是目前精準醫療的重要應用項目之一。再者,基因檢測後續的生物資訊分析,包含基因序列的註解、變異位點的篩選及人工智慧評估變異點與疾病之間的關聯性等,對臨床醫療工作都有極大的助益。

基因定序有助於精準醫療的實現。圖/科技魅癮提供

建立屬於臺灣華人的基因庫

每個人的基因背景都不同,而不同族群之間更存在著基因差異,使得歐美國家基因庫的資料,幾乎不能直接應用於亞洲人身上,這也是我國自 2012 年發起「臺灣人體生物資料庫」(Taiwan biobank),希望建立臺灣人乃至亞洲人的基因資料庫的主因。而 2018 年起,中央研究院與全臺各大醫院共同發起的「臺灣精準醫療計畫」(TPMI),希望建立臺灣華人專屬的基因數據庫,促進臺灣民眾常見疾病的研究,並開發專屬華人的基因型鑑定晶片,促進我國精準醫療及生醫產業的發展。

目前招募了 20 萬名臺灣人,這些民眾在入組時沒有被診斷為癌症患者,超過 99% 是來自中國不同省分的漢族移民人口,其中少數是臺灣原住民。這是東亞血統個體最大且可公開獲得的遺傳數據庫,其中,漢族的全部遺傳變異中,有 21.2% 的人攜帶遺傳疾病的隱性基因;3.1% 的人有癌症易感基因,比一般人罹癌風險更高;87.3% 的人有藥物過敏的基因標誌。這些訊息對臨床診斷與治療都相當具實用性,例如:若患者具有某些藥物不良反應的特殊基因型,醫生在開藥時就能使用替代藥物,避免病人服藥後產生嚴重的不良反應。

基因時代大挑戰:個資保護與遺傳諮詢

雖然高科技與大數據分析的應用在生醫領域相當熱門,但有醫師對於研究結果能否運用在臨床上,存在著道德倫理的考量,例如:研究用途的資料是否能放在病歷中?個人資料是否受到法規保護?而且技術上各醫院之間的資料如何串流?這些都需要資通訊科技(ICT)產業的協助,而醫師本身相關知識的訓練也需與時俱進。對醫院端而言,建議患者做基因檢測是因為出現症狀,希望找到原因,但是如何解釋以及病歷上如何註解,則是另一項重要議題。

從人性觀點來看,在技術更迭演進的同時,對於受測者及其家人的心理支持及社會資源是否相應產生?回到了解病因的初衷,在知道自己體內可能有遺傳疾病的基因變異時,家庭成員之間的情感衝擊如何解決、是否有對應的治療方式等,都是值得深思的議題,也是目前遺傳諮詢門診中會詳細解說的部分。科技的初衷是為了讓人類的生活變得更好,因此,基因檢測如何搭配專業的遺傳諮詢系統,以及法規如何在科學發展與個資保護之間取得平衡,將是下一個基因時代的挑戰。

更多內容,請見「科技魅癮」:https://charmingscitech.pse.is/3q66cw

文章難易度
科技魅癮_96
1 篇文章 ・ 2 位粉絲
《科技魅癮》的前身為1973年初登場的《科學發展》月刊,每期都精選1個國際關注的科技議題,邀請1位國內資深學者擔任客座編輯,並訪談多位來自相關領域的科研菁英,探討該領域在臺灣及全球的研發現況及未來發展,盼可藉此增進國內研發能量。 擋不住的魅力,戒不了的讀癮,盡在《科技魅癮》