Sunday, 16 June 2019

iYouport | 反侦察教训:当权者如何抓捕 FB和 telegram 用户

所谓的数据本地化一直在帮助当权者更容易抓捕本国的异议人士,但是如果异议人士使用“外国平台”呢?事实上根本不需要那些外国平台所谓的“遵守相关国家法律”配合当局提供监视数据,也完全可以实现监视和抓捕。当权者是怎么做的?以俄罗斯为例,因为其中提供了很多中国类似的状况。

在监视俄罗斯的在线行为时,执法机构享有该国最受欢迎的社交网络 Vkontakte 的完全控制权限,该社交网络可根据当局的要求提供任何用户的个人数据。就如中国的微博微信,这不难想象。

这些被监视的信息 — 包括帐户注册时间、链接的电子邮件地址和电话号码、以及IP地址 — 在法庭上构成充分证据,以证明个人对其帐户中发布的内容负责。这点也和中国一样,被传唤的人经常能看到自己的社交媒体帖子被打印出来摆在你面前。

然而,在监视外国互联网服务时,没有这样的合作,俄罗斯的警察必须要有“创意‘。他们是怎么做的?

在 Mediazona 网站的一份新报告中,记者 Alexander Borodikhin 总结了10起案件,这些案件都被指涉嫌违反俄罗斯互联网法律,在外国社交网络上分享所谓的“非法材料”。以下是这份报告的简要总结。

Dmitry Tretyakov — —

这位来自滨海边疆地区的32岁活动家现已入狱一年了。他被指控“煽动极端主义”,证据是在亲 Navalny 的 telegram 频道上发送的帖子,帖子是记者 Arkady Babchenko 的。

他们是如何定位 Tretyakov 身份的?

联邦特工突袭了 Tretyakov 的家,抢走了他的手机,手机里有 telegram 的帐户登录。这些警察还调查了他的一位老同学和当地店主,他们确认了 Tretyakov 的名字以及反对派倾向的政治观点。当局还记录了一名“秘密证人”的证词,此人自称是著名反普京律师 Alexey Navalny 在符拉迪沃斯托克办事处的工作人员。

这位不愿透露姓名的人说 telegram 的帖子是针对警察的暴力行为。当局还收集了 Tretyakov 两名审前拘留过程中的同监者的证词,他们说他承认转发了 telegram 频道中的内容,其主题是鼓励人们“殴打警察并拯救俄罗斯”。

FSB 还将 Tretyakov 的电话号码添加到了另一部手机的地址簿中,然后启动 telegram 寻找相关信息。联邦特工在审讯过程中甚至把 Tretyakov 灌醉了,然后显然让他承认了分享记者 Babchenko 的帖子,并且将全程录制成视频。

此案提醒注意:警方抢夺电子设备在中国也广泛存在;认罪视频也一样。不同的是,俄罗斯当局只能将被告灌醉才能令其认罪并拍摄视频,而在中国,当局通过欺骗和恐吓就可以达到同样的目的。其中另一个细节是“你的熟人会出卖你” — — 这就是为什么 IYP 一直强调你必须限制自己的社交范围,确保熟悉你的人都具备足够充分的反侦察意识和能力。

Emil Kurbedinov — —

他是克里米亚的一名律师,经常为克里米亚鞑靼活动家辩护,也就是中国的那种人权律师,去年12月,Kurbedinov 因在 Hizb ut-Tahrir 运动的集会上于 Facebook 发布了一些消息,而被判处五天监禁,该运动是泛伊斯兰政治组织,该组织在俄罗斯被作为“恐怖主义”禁止。

Kurbedinov 被判犯有展示极端主义信息罪,并于2019年1月被俄罗斯司法部取消律师资格。

奇怪的是,Kurbedinov 在2017年时也在监狱服刑了10天,也是因为在 Vkontakte 上分享了同样的视频 — — 尽管在内容发布时克里米亚还是毫无可争议的乌克兰的土地。

案例记录显示,一名现居叙利亚的男子向俄罗斯“反极端主义”警察举报了 Kurbedinov 的 Facebook 帖子。

那么当局是如何将账户的持有者身份定位到 Kurbedinov 的?

警察访问了俄罗斯联邦检察官 Roskomnadzor 的工作人员,他们声明 Facebook 直播视频只能由拥有直接帐户访问权限的个人发送。一名前 FSB 特工出现在 Kurbedinov 的 Facebook 视频中,继而确认 Kurbedinov 是录制该视频的人。法官判定,这足以“证明” Kurbedinov 发送了非法内容。

此案提醒注意:这其中同样没有需要 Facebook 提供用户数据。警告使用社交媒体发送直播和社会运动跟踪报道的活动家和用户,拍摄和分发的技巧很重要,详见 IYP 曾经介绍过的技巧系列:

Marlen Mustafaev — —

克里米亚的另一位活动家 Mustafaev 也被判在 Facebook 上分享 Hizb ut-Tahrir 的内容(伊扎布特,一个跨国伊斯兰组织),他是2018年9月开始服刑的,其“罪证”是他在2014年发布的内容。

与 Kurbedinov 一样,Marlen Mustafaev 在此前的一年也在监狱服刑,因为他在 Vkontakte 上发布了相同的图像。事实上,两个案件的主审法官都是同一个人,两个案子的裁决中的一些语言显然是复制粘贴的。

当局是如何确认 Mustafaev 身份的?

此案中是非常简单了的:逮捕他的警察抢走并搜查了他的手机,发现该设备已登录到 Facebook 帐户。 Mustafaev 被迫承认帐户是他的。

这个案子提醒注意:切勿将电子设备设置为自动登录,每一次关机前都要退出所有登录;切勿使用生物识别(指纹和脸部)解锁手机和电脑;并建议准备双账户,一旦遭遇酷刑被迫解锁设备时,请登录无害的备用账户。

Suleiman Kadyrov — —

克里米亚的另一名活动家 Kadyrov 因被指控“煽动分离主义”而被定罪,因为他转发了一则声称克里米亚属于乌克兰的视频,并在评论中表示他同意该视频的内容。他被判处两年缓刑并被禁止参加任何公共活动。

当局是如何抓到 Kadyrov 的?

和上述案例一样,FSB 特工搜查了他的家,抢走了他的笔记本电脑和手机,这些笔记本电脑和手机都登录了那个特定的 Facebook 帐户。当局还获得了电话记录,表明 Kadyrov 在视频重新发布到 Facebook 上的那天“进行了传出数据连接”。

Evgeny Lesovoi — —

Lesovoi 是一名生活在库尔干的52岁商人,因被指控“煽动极端主义“和通过 telegram 在2017年11月5日宣传“革命”的帖子,而被判处两年监禁,涉事的帖子是由 Vyacheslav Maltsev 的“Artpodgotovka”运动组织的2017年11月5日的动员。

Lesovoi 被提前假释,但他说他所有的商业资产在他被监禁期间都被卖掉或被扣押了。在审判中,Lesovoi 说他甚至不知道 Telegram 是什么,并说电话维修人员可能在他不知情的情况下在他的设备上安装了应用程序。

那么当局是如何抓到 Lesovoi 的 telegram 账户的?

联邦特工和反极端主义部队官员监视了一个 Vkontakte 上的亲 Navalny 的聊天群组 — — (在中国这种情况就是,当局监视了一个谈论推特/telegram 的微信群)。在那里,他们找到了一个 telegram 频道的链接,一个昵称为“LEV”的用户主张对警察采取暴力反抗。

该用户的头像与在库尔干的一个名为 Evgeny Lesovoi 的男子注册的 Vkontakte 账户的个人资料头像相同。

当官员确定只有一个生活在库尔干的 Evgeny Lesovoi 时,当局就开始窃听他的电话,并传唤了一位与他讨论过“革命”的朋友。

从 Lesovoi 的电话公司获得的记录也显示他的移动设备在他的 Telegram 帐户处于活动状态时正在传输数据。两天后,联邦特工就扣留了他的手机,该手机直接登录在那个 telegram 帐户中。

在搜索 Lesovoi 的家时,当局在2017年11月5日发现了一张装有反普京抗议活动文件的CD。法官后来忽略了这样一个事实,即 Lesovoi 案件材料中确定的档案在他被捕后被编辑过,表明警察可能已经篡改过其中的内容。

此案提请注意(依旧是我们曾经不断重复过的基本卫生标准):切勿在敏感和不敏感的不同平台使用同样的头像和昵称;切勿将敏感内容带入不安全的平台上交流 — 微信不可以作为其他平台的备份,既包括内容也包括社交关系;每次离线之前必须退出所有登录。当局有可能暗中修改可用来定罪的文档,故而关键文档资料必须在不同地点和不同的人手中备份。

Alexander Petrovsky — —

Petrovsky 是加里宁格勒的一名35岁的出租车司机,于2018年6月被判处两年有期徒刑,他于2017年10月下旬在 telegram 上发布了两条音频信息,那时距离 Artpodgotovka 的“革命”不到一周时间。

他发布那个音频的群组有大约100人,他在讲话中提倡街头运动、阻止警察和推翻普京政权。

Petrovsky 是如何被抓到的?

他自己承认发送这些信息,但他否认了重罪指控。检察官传唤的一名证人是被确认为有关 telegram 群组的创建者,导致人们猜测该群组本身就是由一名 FSB 线人故意制建的,以诱骗这些活动家。

此案尤其需要注意:这种钓鱼手段非常好用,根本无需外国社交媒体公司提供数据;美国警方也经常利用这种方法卧底并监视民间活动家组织(在Facebook)。我们不希望过多强调它,避免引发更多社会焦虑,但有一点必须强调 — — 即 如果您希望通过私密群组动员社会运动,那就必需确保匿名安全,并且,您应该知道自己正在面向什么样的人发起动员、群体中是否有可疑的不安全因素,不注重隐私安全的成员也应当被视为不安全因素。

Konstantin Ishutov — —

去年十月,伊布托夫的反对派活动家 Ishutov 被指控分享第二次世界大战中向苏联士兵提供的德国传单照片,其中承诺给予苏联被压迫的农民土地和宗教自由。他在转贴的评论中说:“当第三帝国向苏联人民讲述比普京更好地解决俄罗斯人民问题的承诺时。”

目前此案件已经停滞不前,但是,与此同时,当局判定 Ishutov 在16年前发表的 LiveJournal 博客文章中存在“传播极端主义”内容,并罚款1000卢布。

当局是如何抓到 Ishutov 的?

在 Ishutov 的一次听证会上,警方向其他活动人士发出传票,这些人支持 Ishutov,警方指示他们进行讯问,希望能借此确认案件中的 Facebook 帐户实际上属于 Ishutov。

当这个方案不起作用时,当局下令对 Ishutov 的自行车头盔进行分子遗传检测,因为该 Facebook 帐户中的个人资料图片显示 Ishutov 戴着那个自行车头盔。警方也下令对 Ishutov 的电脑鼠标和键盘进行了类似的检测(这些电子设备是在对他家的第三次搜查中查获的),尽管 Ishutov 并不否认该设备属于他。

此案提醒注意的是:切勿通过社交网络分享任何个人资料信息;如果当局想要定罪一个人,N年前的记录都可以作为罪证。您在开始反抗之前必须做到全面清除互联网上一切个人信息。

Dmitry Baikov 和 Dmitry Grabar — —

Magadan 的居民 Baikov 和 Grabar 去年使用 WhatsApp 在一个公共群组中批评 Yuri Grishan 市长,当时该市正在辩论是否恢复直接的市长选举,这一选举在2013年被废除。

当局是如何抓到他俩的?

为了找到他俩,警方确定了 WhatsApp 群聊小组中的每一个成员,并逐一查获了他们的手机。权利组织批评当局非法搜查和扣押,结果当局坚称他们忽略了在手机上遇到的与调查无关的任何数据。

当警察将搜查范围缩小到 Baikov 和 Grabar 时,他俩向市长 Grishan 承认并道歉。最后,他们每人被罚款15,000卢布。

此案很有趣,并提醒注意:当局是如何破解 WhatsApp 群聊的? WhatsApp 不是 telegram,后者默认不加密,前者默认加密;暂时排除俄罗斯当局已经找到破解技术的可能性,因为这种可能性如果存在就不需要分析了;于是这种状况有可能的原因也许还包括该群组中有成员截图并分享了聊天记录。无法确定分享者出于有意还是无心,在中国曾经有过类似的情况,群组交流者不注重团队安全性,发现“有趣的或有价值”的信息时会倾向于截图分享。这种情况下尤其需要群组参与者充分匿名,如果必须使用 WhatsApp 或者 signal,请采取非本人常用手机号码。我们曾经介绍过《如何在不必暴露真实电话号码的情况下使用 Signal》

Vyacheslav Rybakov — —

另一位在 Cheboksary 的活动人士 Rybakov 于2017年12月因涉嫌在 Facebook 上转发一张照片而被拘留,该照片显示在弗拉基米尔·普京的额头上画了一个纳粹的标志 — 他被定罪为“非法展示纳粹标志”。

当局如何证明 Rybakov 是转发者?

警方并没有证明。当警方无法证明 Rybakov 对 Facebook 转发负责时,地方法院驳回了此案。当局后来试图进入他的家,计划抢走他的电脑,但 Rybakov 拒绝让他们进入。最后,警方放弃了此案。

以上案例希望能给中国的异议人士、活动家和记者一些警惕;相关追踪监视的可能性方法还有很多,如果您或您的身边人从事过相关活动,应该在此有更多丰富经验。

我们了解到一些中国的异议人士看起来很“勇敢”,他们不担心被抓捕,甚至以被抓捕为荣耀 — — 将其解释为 “令当局恐惧了”。这种价值观是错误的,因为容易被捕等同于无法实现有价值的目的。只有实现这样的目的才能真正的“令当局恐惧”。


from 中国数字时代 https://chinadigitaltimes.net/chinese/2019/06/iyouport-%e5%8f%8d%e4%be%a6%e5%af%9f%e6%95%99%e8%ae%ad%ef%bc%9a%e5%bd%93%e6%9d%83%e8%80%85%e5%a6%82%e4%bd%95%e6%8a%93%e6%8d%95-fb%e5%92%8c-telegram-%e7%94%a8%e6%88%b7/