3)matrix lua plugin
上面寫了那麼多weechat從安裝到IRC連線設定,但那些沒什麼新意,重點是接下來透過延伸外掛lua的安裝,讓它可以發揮連線上matrix.org聊天室伺服器的強大功能,我的作法是參考這篇:A WeeChat script in Lua that implements the matrix.org chat protocol,先安裝好WeeChat & Lua deps(on Debian/Ubuntu) sudo apt-get install weechat lua-cjson
然後再下載安裝matrix-protocol-script並進行相關設定
$git clone https://github.com/torhve/weechat-matrix-protocol-script.git #下載matrix-protocol-script
$Copy the script into WeeChat's Lua dir
$cp weechat-matrix-protocol-script/matrix.lua ~/.weechat/lua
$ln -s ~/.weechat/lua/matrix.lua ~/.weechat/lua/autoload ## Make a symlink into the autoload dir to load script automatically when WeeChat starts
$weechat
一開始寫這篇文章的動機,是配合Global Partner Digital今年夏天讓人權工作者更了解網路政策的能力建議計畫進程,原本早該在一兩個月就寫完,但因為遇上一點障礙:不知道如何來整理論述自己目前為止對於「cybersecuirty」的理解,如何從人權觀點「更細緻地」來挑戰某些資訊安全的技術層面課題?所以這篇文章就荒廢了一段時間。後來居然連這篇自己都不知道在記錄什麼筆記「Privacy and Cybersecurity」都先公開了,趕緊來清理一下殘稿吧。
我自己先翻完手冊“Cybersecurity Policy for Human Rights Defender”之後,再觀看二支小短片。不過倒是建議可以先看影片後,再來翻讀手冊的文字內容(其實大概看完影片就差不多了),手冊共有四章,目錄架構如下:
Chapter 1--Understanding cybersecurity
1)Defining cybersecurity
2)What happens without cybersecurity?
3)Cybersecurity measures
4)The dimensions of cybersecurity policy
a)information security(另見Chapter 2)
b)cybercrime (另見Chapter 3)
c)cyber conflict (另見Chapter 4)
5)Cybersecurity stakeholders and the challenges they face
6)How human rights relate to cybersecurity
information
networks:此指的是硬體的基礎設施
CYBERSECURITY MEASURES: PROVIDING COVER FOR HUMAN RIGHTS VIOLATIONS?
7)What a human rights based cyberspace would look like
Chapter 2--Cybersecurity as information security
1)International technical standards:總而言是各唱各調,尚無一統天下的共主出現。
2)Coherence of legal obligations and responsibilities
3)Map: data protection laws around the world
4)Information–sharing practices:
bilateral Mutual Legal Assistance Treaties (MLATs)
5)CERTs and CSIRTs
CERTs stand for : Computer Emergency Response Teams 電腦網路危機處理團隊。台灣也有所謂的「台灣電腦網路危機處理暨協調中心」(一個看似NGO,但可能更是GNGO??)。 CSIRT Computer Security Incident Response Teams.
6)Recommendations for human rights defenders
Chapter 3 --Cybersecurity as cybercrime
1)The Budapest Convention 網路犯罪公約,這個國際協議是歐洲委員會Council of Europe(非歐盟理事會Council of the European Union)所發起的一項國際條約,但其簽署批淮的國家並不限於歐洲47個成員國。除了國際公約外,也有不少國家通對了針對利用網路工作從事犯罪行為的國內法律。
2)Mass surveillance
3)Encryption : 建議參閱Amnesty International 今年初發表的報告「Encryption and Human Rights」
4)Anonymous internet use
5)Internet restrictions and shutdowns
6)Recommendations for human rights defenders
Chapter 4--Cybersecurity as cyber conflict
1)Major policy priorities and debates
2)Relevant policy forums
3)Recommendations for human rights defenders
GPD在這個中單元花了不少力氣談「Cybersecurity」的定義、內容以及人權組織之所以要關注cybersecurity policy走向的理由,當我看到第一支小短片中引述UDHR聯合國世界人權宣言第三條「Everyone has the right to life, liberty and security of person」,心中一震:原來60多年前在討論普世性人權內涵時,早已把安全這個概念放入。於是決定先試圖著找出「security」的指涉定義,然後再把cyber這個詞彙冠上去看看好了。查了一下網路上牛津字典對security此字的解釋:
1. the state of being free from danger or threat
1.1 The safety of a state or organization against criminal activity such as terrorism, theft, or espionage。
1.2 Procedures followed or measures taken to ensure the security of a state or organization
1.3 The state of feeling safe, stable, and free from fear or anxiety 2. A thing deposited or pledged as a guarantee of the fulfilment of an undertaking or the repayment of a loan, to be forfeited in case of default.
3. A certificate attesting credit, the ownership of stocks or bonds, or the right to ownership connected with tradable derivatives.
這幾年在全球人權運動的場域上,似乎有一股對公民社會遭到更嚴峻打壓的憂慮,其打壓不只來自集權獨裁政權學會了假法律工具大力箝制人民基本權利,還包括了「民主」體制中在面對經濟蕭條與外來者保守極端勢力抬頭的暗潮,一個中間階層流失,政治經濟各向往上下極端移動、意見自朝左右極靠攏取暖,不同觀點意見間能夠正向引發思考刺激火花的公共論壇日益萎縮。我自己在讀這些關於cybersecurity 材料的同時,心中想到的亦是:「shrinking of cyberspace」。或許shrinking一辭用在過往三十年互聯網蓬勃發展並不準確適當,但每每想到許多人可以毫不遲疑地投入超大型集中式數位平台服務的使用,我個人心裏實在感到發毛和擔憂。對「cybersecurity」套上萎縮一辭似乎也不是那麼恰當,某種程度,作為一個産業或是研究領域,它應該會是未來幾年的熱門顯學吧。我所憺心的萎縮恐怕是shrinking space for civil society and no cybersecuirty for human rights :當公民社會還以為這是20年前剛上線連網的年代,那個因為面對開放所以懂得謙遜、以為將是去中心化、權力分散作自己媒體的模式,早已不會再復返了,而吾人又該如何面對如今各自圍籬領地、失控地巨量個資監控和自干放手讓渡的個人理性意志呢?
帶著這些疑問,我試著先仔細閱讀這份簡報,看看能否弄懂美國面臨數位資訊安全和隱私權之間競合關係的因變之道,再來思考台灣的情況吧。再次聲明此文僅為個人閱讀時同步作的中文初譯,目的只是因為近來腦力記憶退化的狀況,許多事情都不復記得,所以留下重一點痕跡之故而已。這份簡報的架構其實和之前「privacy and open data」一樣,分別為1)Ecoeysem Map;2) Action Map;3) Naviation Aid。
技術治理:透過科技可強化隱私保護與數位安全。例如美國商業部轄下的NIST(Naitonal Institute Standard and Technology)即發展出一套讓業者自願採行的網路安全標準,來協助他們作隱私保護與網路安全之間的管控。這套治理方法相信維持一個開放的網路生態並同時作好隱私保護。
法律與政策治理:對現有的法令規範、政策協議評估如何修更或新增以處理數位安全與隱私的挑戰。例如2015年美國聯邦政府通過了Cybersecuirty Information Sharing Act, 有些州亦有法令要求如果發生資安事件遭致個資當事人資料外洩,業者必須以予告之。這個方式相信透過立法規範用來保護個人與公共部門的安全,為者來執行更高的個資隱私保護行為,提高問責與透明。
混合式治理:採用上述一種以上的治理方法,來處理網路安全與隱私的多面向課題。
3) Naviation Aid:認清重要機會
從1)2)部份的描述,這個複雜的生態系還會繼續不斷進化,所以決策者必須能預期和準備未來世代中所會面臨的隱私與數位安全的挑戰。相關的利害關係者,如政府、私部門、公民社會和學術界等必須一起合作來找出解決方法,故建議以下四種可能的合作方式:
*Information sharing and horizon scanning 資訊分享與水平檢視:決策過程能夠加入多方關係人的參與,來檢視科技與政策的發展
**號召利害關係者能分享資訊,討論數位安全的潛在威脅,交流可操作的資訊,以打破各領域的資訊封閉,提高多元觀點不僅協助決策者完整理解當前的資安景況,亦有能力預測其未來軌跡。 **決策者不妨發展組織之間的人員交換計畫,作為一種資訊交流的方法。
*Impact Assessments 影響評估:可讓決策者更準確了解資安與隱私體系之間緊張,以及各種可能對策的效果與代價。
**召集利害關係者來討論和列出潛在的介入手段。
**支持研究,了解政府在此領域推動干預手段對經濟影響。
*Transparency and education 透明與教育:鼓勵教育改善與透明計畫來協助消費者了解資安的重要更好地自我保護。
**政府與利害關係者合作,找出評量與宣導資安實踐的好方法
**支持原型公測開發,並進行小規模消費者樣品測試,再公佈這些標準草稿以進一步強化其透明度。
**與網路安全實驗室合作,支持其評估與改善透明度的效果。
*Allocation of Risks and Decision-making 風險與決策:了解風險的私人與社會成本,以及負責決策必要性。其有助於認清哪些行為會侵害維護安全可信賴的軟體生態而哪些作法可以強化。
**政府與其它利害關係者一起合作,理解其在決策上的利害考量,以發展企業決策能影響整個產業態系。例如軟體開發者或業者能自願建立在隱私和安全上的最佳示範作法。
**與相關利害關係人討論新的治理機制,以協助其能最佳地內化資訊數位安全的風險成本。
the manipulation of software, data, a computer system, network, or other electronic device without the permission of the person or organization responsible for that software application, data, computer system, network, or electronic device, and/or without the permission or knowledge of users of that or other software, data, computers, networks, or devices ultimately affected by the manipulation。