คู่มือ Infosec 101 สำหรับนักกิจกรรม

 (infosecforactivists.org)
2 คะแนน โดย GN⁺ 2025-02-06 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

บทนำ

  • สหรัฐอเมริกามีประเพณีการเคลื่อนไหวที่เข้มแข็งซึ่งเริ่มต้นจากการกบฏของทาสและการลุกฮือของชนพื้นเมือง เป็นต้น
  • แม้ในปัจจุบัน การเคลื่อนไหวในสหรัฐฯ ก็ยังคงมีความสำคัญ และการประท้วงบนท้องถนนเป็นเครื่องมือสำคัญในการสร้างการรับรู้และผลักดันการเปลี่ยนแปลงเชิงสถาบัน
  • อย่างไรก็ตาม การท้าทายโครงสร้างอำนาจที่มีอยู่ย่อมมาพร้อมกับความเสี่ยง และการเปิดเผยตัวอาจนำไปสู่การคุกคาม การจับกุม หรือการรั่วไหลของข้อมูลส่วนบุคคลได้
  • เอกสารนี้มุ่งเน้นไปที่ความปลอดภัยดิจิทัลและความมั่นคงปลอดภัยสารสนเทศที่นักกิจกรรมต้องเผชิญ

เครื่องมือที่ควรใช้

  • BitWarden: ตัวจัดการรหัสผ่าน, ฟรี, ฟีเจอร์เพิ่มเติม $1/เดือน
  • DuckDuckGo: ค้นหาเว็บ, ฟรี
  • DuckDuckGo Maps: แผนที่และเส้นทาง, ฟรี
  • Firefox: ท่องเว็บ, ฟรี
  • Jitsi: ประชุมออนไลน์, ฟรี
  • ProtonMail: อีเมล, ฟรี, ฟีเจอร์เพิ่มเติม $5/เดือน
  • ProtonVPN: VPN, ฟรี, ฟีเจอร์เพิ่มเติม $5/เดือน หรือ $10/เดือน
  • Signal: รับส่งข้อความ, ฟรี

เครื่องมือที่ไม่ควรใช้

  • Google Maps: ติดตามตำแหน่งของผู้ใช้และจัดเก็บข้อมูลอย่างถาวร
  • Telegram: มีปัญหาด้านความปลอดภัยและไม่มีการเข้ารหัสสำหรับข้อความแบบกลุ่ม
  • WhatsApp: ไม่แนะนำด้วยเหตุผลด้านความปลอดภัยที่คล้ายกัน

สิ่งที่ควรรู้

  • โทรศัพท์มือถือคือแหล่งข้อมูลขนาดใหญ่ของข้อมูลการติดตามและข้อมูลระบุตัวตน
  • ข้อความ การโทร และอื่น ๆ อาจถูกตำรวจบันทึกไว้ได้
  • ควรอัปเดตเป็นระบบปฏิบัติการล่าสุด และหากโทรศัพท์ไม่ได้รับการอัปเดตซอฟต์แวร์แล้ว ก็ควรหลีกเลี่ยงการพกไป

การเข้าร่วมกิจกรรม

ก่อนเข้าร่วม

  • อย่าทำเครื่องหมายว่า "เข้าร่วม" บน Facebook
  • บันทึกรายละเอียดไว้ในอุปกรณ์ส่วนตัวหรือบนกระดาษ
  • ใช้ DuckDuckGo และเซสชันท่องเว็บแบบส่วนตัวเมื่อค้นหาข้อมูลบนอินเทอร์เน็ต
  • อัปเดตอุปกรณ์เป็น OS เวอร์ชันล่าสุด
  • ตั้งค่าบัญชี Signal และสามารถสร้างหมายเลขโทรศัพท์ใหม่ด้วย Google Voice เพื่อนำมาลงทะเบียนได้

ระหว่างเข้าร่วม

  • ไปพร้อมเพื่อนผู้ร่วมประท้วง
  • ใช้ Apple Maps หรือ DuckDuckGo Maps เพื่อหาเส้นทาง

หลังเข้าร่วม

  • ออกจากและลบกลุ่ม Signal ที่ตั้งขึ้นสำหรับการประท้วง
  • อย่าโพสต์รูปจากการประท้วงลงโซเชียลมีเดีย

การเตรียมโทรศัพท์มือถือ

ร่องรอยดิจิทัล

  • ปิดตัวรับสัญญาณ GPS และปิดการใช้งาน Bluetooth, WiFi และวิทยุ ultra-wideband (UWB)
  • ผู้ให้บริการเครือข่ายมือถือสามารถติดตามตำแหน่งของโทรศัพท์ได้ และตำรวจอาจนำข้อมูลนี้ไปใช้
  • เปิดโหมดเครื่องบินเพื่อปิดการทำงานของวิทยุทั้งหมด

การป้องกันการเข้าถึง

  • ตั้งค่าหน้าจอล็อกและปิดการปลดล็อกด้วยไบโอเมตริกซ์
  • ใช้การเข้ารหัสทั้งดิสก์เพื่อปกป้องข้อมูล

แนวคิดด้านความปลอดภัย

การส่งข้อความแบบเข้ารหัส

  • ใช้การเข้ารหัสแบบต้นทางถึงปลายทาง (E2EE) เพื่อเข้ารหัสการสื่อสารส่วนตัว

การประชุมออนไลน์

  • ใช้ Jitsi ซึ่งจะไม่บันทึกหรือเก็บรักษาเนื้อหาการประชุม

ความปลอดภัยของรหัสผ่าน

  • เปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA), ใช้รหัสผ่านที่ยาว และใช้ตัวจัดการรหัสผ่าน

เคล็ดลับอื่น ๆ

  • คิดให้รอบคอบว่าจะบอกเรื่องการเข้าร่วมกิจกรรมของคุณกับใครได้อย่างปลอดภัย
  • อย่าใช้อีเมลสำหรับการสนทนาที่เกี่ยวข้องกับการประท้วง
  • ค้นหาชื่อตัวเองบน Google เพื่อดูว่ามีข้อมูลอะไรปรากฏบ้าง
  • อย่าเช็กอินในการประท้วง
  • อย่าโพสต์รูปลงโซเชียลมีเดีย

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-02-06
ความคิดเห็นจาก Hacker News

  • ลังเลที่จะแนะนำ Proton เพราะมีความพัวพันกับประเด็นการเมือง และระบุว่า Mullvad ไม่เคยพลาดแบบนั้น

    • แนะนำแหล่งข้อมูลที่เกี่ยวข้องคือ "Activist or Protester?" ของ EFF และ "The Protester's Guide to Smartphone Security" ของ Privacy Guides
    • ควรกำหนด threat model และตระหนักว่าในสภาพแวดล้อมปัจจุบัน มาตรการเหล่านี้ยังไม่เพียงพอ
    • เตือนว่ามาตรการบางอย่างอาจดึงดูดความสนใจได้

  • ชี้ว่าบทความเน้นย้ำความจำเป็นของการเข้าร่วมการประท้วงกับเพื่อนที่ไว้ใจได้ แต่ขาดคำอธิบายว่าจะหาและรักษาความสัมพันธ์กับเพื่อนแบบนั้นได้อย่างไร

    • แม้จะมองว่า Firefox เป็นมิตรกับนักกิจกรรมและความเป็นส่วนตัวมากกว่า Chrome แต่ก็ระบุว่า Chrome มีระบบป้องกันขณะรันไทม์ที่ซับซ้อนและผ่านการทดสอบมาดีกว่า

  • เชื่อว่ามาตรการพื้นฐานไม่น่าจะมีประสิทธิภาพต่อศัตรูที่มีความซับซ้อนระดับรัฐ

    • อธิบายว่าสมาร์ทโฟนสมัยใหม่เต็มไปด้วยเฟิร์มแวร์ปิดซอร์สที่มีช่องโหว่ด้านความปลอดภัยจำนวนมาก และมีช่องโหว่แบบ remote code execution อยู่จริง
    • เตือนว่าเครือข่าย Find My ของ Apple สามารถทำงานได้แม้อุปกรณ์จะปิดอยู่ และมีความเป็นไปได้ว่าผู้เล่นระดับรัฐอาจมีแบ็กดอร์ที่ใช้ข้ามข้อจำกัดนี้ได้

  • ชี้ว่าคำแนะนำเกี่ยวกับการสำรองข้อมูล iCloud มีข้อผิดพลาด

    • โต้แย้งว่าคำอธิบายที่ว่า iCloud backup เก็บคีย์การเข้ารหัสทั้งดิสก์ และเจ้าหน้าที่บังคับใช้กฎหมายสามารถร้องขอสิ่งนี้ได้นั้นไม่เป็นความจริง
    • แนะนำให้เปิดใช้งาน Advanced Data Protection เพื่อเข้ารหัสข้อมูลแบบ end-to-end

  • ตั้งคำถามว่า iCloud backup สามารถใช้ปลดล็อกอุปกรณ์จริงได้หรือไม่

    • มองว่าข้อมูลสำรองอาจถูกเจาะได้ และแม้จะใช้ข้อมูลสำรองเข้าถึงข้อมูลส่วนใหญ่ของอุปกรณ์ได้ แต่ก็อยากรู้เพิ่มเติมเกี่ยวกับความเชื่อมโยงกับการปลดล็อกอุปกรณ์จริง

  • ตั้งคำถามเกี่ยวกับการเปรียบเทียบค่าใช้จ่ายของช่องโหว่ 0-day ระหว่าง Firefox กับ Chrome