資料圖片,來源:Robinraj Premchand @ Pixabay

話說有人用 ProtonMail 發信恐嚇美國總統首席醫療顧問福奇醫生(Dr Anthony Fauci),電郵標題寫道:「希望你今天能在你被出賣的撒旦精靈頭骨中得到一顆子彈。」之後還有多封類似電郵,聲稱會傷害福奇及其家人。先說結果,警方最後成功抓獲涉案人,這宗案件公開的《刑事訴訟書》像一個偵探故事,在這裡跟大家分享,文件可以在美國司法部下載

一,位於瑞士的 ProtonMail 公司應對

先提供一個背景,ProtonMail 是加密的電郵服務供應商,注冊地在瑞士。不少人第一時間想到,既然恐嚇者用了 ProtonMail,理應很安全吧。但關鍵還是涉及當事人如何使用 ProtonMail。

首先,美國警方聯絡了瑞士聯邦,當地法院再要求 ProtonMail 提交當事人的資料,而 ProtonMail 卻只有一項資料能夠提供:該戶口的創建日期為 2018 年 2 月 4 日。沒有提供(或記錄)IP 地址或其他個人訊息,亦看不到電郵內容或聯絡人資料。

ProtonMail 本身聲稱對用戶是「零知識」,即是用戶資料加密,無法得知用戶的電郵內容或聯絡人清單等。不少科技公司都聲稱有「零知識」(zero knowledge)、「零記錄」(zero logging)政策,亦會找第三方做核對(third party auditing),但往往最有力的證據,是來自法院的傳票。

當他們面對法院傳票時,仍然只能提供極少量的資料(這裡只提供開戶日期),可能就是其「零知識」的最佳佐證。情況跟數年前 Signal 通訊軟件的機構收到法院傳票,但只提供到客戶的開戶日期一樣。

參看:
最好的保密者,不止要守口如瓶

還有一點想說,ProtonMail 設置在瑞士,不屬於「五眼」或「十四眼聯盟」,但即使不屬情報聯盟,但只要美國警方循其他國際協作方式,其實依然可以要求瑞士聯邦協助,要求當地公司交出資料,雖然最後只有一項開戶的日期。

二,Instagram 的聯繫

只有 ProtonMail 開戶日期,不足以找出當事人的身份,但美國警方進一步調查,估計是把該地址發至美國其他網絡服務商,包括 Instagram(估計還有其他,例如 Facebook 等),然後呢,線索就來了。

涉案者用同一個 ProtonMail 的電郵地址,申請了一個 Instagram 帳號。於是 ProtonMail 公司雖然沒有提供用戶的敏感資料,但警方輕而易舉就掌握了涉案人的其他資料。

Instagram 向美國警方提交的資料包括:開戶日期是 2020 年 5 月 14 日以及其 IP 地址。該 IP 地址從同年的 4 月 17 日起,就與涉案人租用的公寓相關,因而也找到目標人物的住宅地址。

涉案人後來招認時,承認選擇 ProtonMail 是因為其遵守瑞士私隱法律,並有點對點加密。ProtonMail 理論上確是可以用來發出匿名電郵,但因為連結了 Instagram 戶口,正負得負,因而也不再匿名。

所以有一點關於資訊安全的基本常識,是要假設自己不能匿名,因為大多人都做不到真正的匿名,總會留有足跡。而我每次聽到別人說自己是「隱身上網」、「匿名」、「用太空卡」,往往都覺心驚膽跳。

參看:
零基資安訓練營(九):如果要完全隱藏網上身份

三,Mail.com 的聯繫

美國警方追查該住宅的租屋合約,發現涉案人以一個電話號碼及另一個 Mail.com 的電郵地址作登記。警方取得搜查令,要求 Mail.com 提供當事人的記錄,發現他從 2014 年 7 月就經常使用該戶口。

而由於 Mail.com 沒有加密,調查人員還可以開到 Mail.com 的電郵,看到事主經常用 Mail.com 的戶口發信去 ProtonMail 以及另外兩個 ProtonMail 的地址,估計又是再聯絡瑞士,得知其他 ProtonMail 戶口的開戶日期。之後從其 Mail.com 上沒有加密的電郵,推斷出事主買過 Logic 等軟件。

而在 Mail.com 沒有加密的電郵裡還發現其他訊息,包括事主的求職資料,以及其……登登登 — 個人履歷!原來事主從 1996 年開始便從事「訊息架構師、編輯、高級技術文件撰稿」相關的工作。

四,涉案人的用戶登入名字及密碼

在沒有加密的 Mail.com 郵件中,美國警方還發現了事主一件柒事。他在 2019 年 11 月 25 日,以 ProtonMail 發了一封電郵去 Mail.com,電郵標題是一個疑似用戶登入名字,而內容呢,負責撰寫口供的警員寫道:「根據我的培訓和經驗,電子郵件的正文包含以下內容,看來是密碼。」在隨後的日子,疑犯多次用電郵把用戶名字及密碼發送給自己。

ProtonMail 是加密,如果是 ProtonMail 發信去 ProtonMail,仍是加密。但問題是,從加密的 ProtonMail 發信去沒有加密的 Mail.com,在 ProtonMail 一端上當然仍是加密,但 Mail.com 就可以看到裡面的資料。道理就像是即使阿田阿牧很守秘密,但若然把秘密告訴 Carmen,那就沒有秘密了。

所以儲存密碼,沒有更好的方法,必須使用密碼管理器。

參看:
零基資安訓練營(六):習慣使用密碼管理器
調整心態,把「密碼管理器」當作筆記簿即可

五,沒有加密的通訊聊天記錄

這個「高級技術文件撰稿人」,後來還使用沒有加密的 Mail.com 郵件,與其他朋友在電郵中討論福奇醫生:「如果你看到他(福奇)直視鏡頭的照片 — 在我看來他簡直就是魔鬼。」涉案人還在多份電郵中提到疫情、HIV,甚至連發明聚合酶鏈式反應(PCR)技術的生化學家穆利斯(Kary Mullis)也有提及。

Mail.com 沒有加密,任何發送至 Mail.com 的郵件也就等如沒有加密。若要做到加密,除了要求發信及收信雙方均是使用 ProtonMail,也可以用較簡單的方式,使用點對點加密的通訊工具,例如 Signal Messenger。

參看:
轉用 Signal 通訊軟件
在 Signal 上用太空卡與否,這是個問題
Signal 與 Telegram 應共存,但使用場景不同
淺談各種聊天應用軟件

小結

這宗案件有趣之處,是在短短 13 頁紙的《刑事訴訟書》當中,提供了大量有關資訊安全的例子及教材,尤其要明白「正負得負」的簡單道理,即是:「加密」加上「非加密」,其實就是沒有加密;「隱身」加上「非隱身」,等如沒有隱身。例如有人用加密的 ProtonMail 發送郵件至非加密的 Mail.com 或 Gmail.com;又或是使用隱身的 VPN + TOR 上網,卻用來登入自己的 Facebook 帳號。

文章裡提及的案件,涉及刑事恐嚇在抗疫政策上貢獻良多的福奇醫生,涉案人士被抓,當然值得稱慶。但反過來說,萬一這次偵查的不是三權獨立的美國警方,而是一些卑鄙無恥,下流賤格的網際黑客人渣歹徒,他們運用其有限知識及龐大資源,毫無廉恥地,企圖或意圖利用釣魚攻擊、詐騙電郵、虛弱密碼或騎劫即時通訊軟件帳號等,從而攻擊無辜百姓,對於任何公民來說,後果不堪設想。

守護網絡安全,護己護人,人人有責,還要認清提供資安訊息的渠道,慎防賊喊捉賊。

文中提及的相關案件,其《刑事訴訟書》截圖,留意法官個簽名,好似蛇仔,哈哈。

 

🔑 【超務實長清單整理,和你加強資訊保安、私隱保護(2021 年 8 月更新)】

作者 Patreon / Facebook / MeWe