我的设备好像被黑了怎么办? — — 给敏感人士和小白朋友的数字急救包

  • 找对了帮手,是解决问题的最重要一步

最近发现依旧有中国互联网用户习惯于使用百度这类流氓软件,结果被黑了。沮丧,多年来我们一直在提示危险性。普通用户的不小心最多是搞坏设备和被盗取私人信息(虽然这已经够呛了),如果您是敏感人士,不小心会导致您入狱,甚至牵涉到一群朋友的人身安全(不要和那些不重视安全问题的人走得太近)。

怎么办?这里推荐一个急救工具箱,希望能有更多人学会使用它。

Digital First Aid Kit 旨在帮助面临常见类型数字威胁的人提供初步支持。这一套件为面临攻击的人权维护者、博主、活动家和记者提供了一套自我诊断工具,并为数字急救人员提供指导,以帮助受到威胁的人。

当您或某个联系人面临数字威胁并希望寻求支持时,该工具包首先会建立安全通信的方式。然后继续探讨有关帐户劫持、设备查封、恶意软件感染和 DDoS 攻击的部分。

每个部分都以一系列有关您、您的设备和您的情况的问题开头。这些问题将指导您进行自我评估、或帮助第一响应者更好地了解您所面临的困境。然后,它列出了理解并可能解决问题的初始步骤。这些步骤还应该帮助您或第一响应者识别何时应该向专家请求帮助。

数字急救套件并不是您所有数字紧急情况的终极解决方案。但它致力于为您提供工具,帮助您首先评估正在发生的事,并确定您是否可以自行缓解难题。如果您对实施此处列出的解决方案感到不安或不确定,请向经过培训的专业人员寻求帮助。

数字急救套件的灵感来自于:每个人都有能力采取预防措施,每个人都有能力帮助面临麻烦的同事和朋友。该套件的自我诊断质量还应使记者、博主、活动家和人权维护者能够了解他们的数字资产发生了什么,能够更快地确定何时应该寻求帮助,他们有什么样的帮助需要,并提高个人数字安全性。并且该工具包可以将那些最可能受到数字攻击的人列入第一响应者清单,也就是您可以更便利地获得支援。

数字急救工具包是 EFF, Global Voices , Hivos & the Digital Defenders Partnership , Front Line Defenders , Internews , Freedom House, Access , Qurium , CIRCL , IWPR , Open Technology Fund 和个人安全专家的共同努力(这些都是数字安全领域的国际知名组织,您很容易搜到关于他们的介绍)。数字安全和快速反应领域是一项正在进行中的工作,如果您是技术人员,想要添加内容、或者发表评论或提出问题,请访问 Github

安全通信

本部分将为您提供有关在面临潜在数字攻击而寻求帮助时建立安全通信的方法的指导。作为一般规则,重要的是要了解大多数“普通”通信工具是不安全的。移动和固定电话通信不加密,可被政府、执法机构或其他拥有必要技术设备的人员窃听。发送未加密的通信就像发送明信片一样,任何有权访问明信片的人都可以阅读消息。

安全通信始终是安全性和便利性之间的权衡。选择最合适的安全通信形式取决于您的独特情况,威胁模​​型以及您参与的活动。Digital First Aid Kit 专门针对那些受到数字攻击的人,因此此处会假设您处于高风险之中

最后,在沟通时有不同的安全级别。提供端到端加密的通信工具(如 PGP 加密的电子邮件,或在手机上使用 OTR 或 Textsecure 或 signal 聊天)是推荐的,那些传输层加密工具(如 Gmail,Facebook 或 Twitter)不安全,不该推荐。未加密的通信(如明信片,手机或短信)最好不要用。希望您利用现有的资源和技能,尽力做到最好。

寻求并提供远程帮助

当您从第三方寻求远程帮助时,请记住以下几点:

1.如果您认为您的某个设备或帐户出现了问题,并且您对下一步该做什么感到不确定,请向您认为可以信任的经过培训的技术专业人员或(国际)国家组织寻求帮助。请不要依赖您在网上找到的不明身份的人。以下是您可以联系到的组织:

2. 在寻求帮助时,还要记住您使用的设备可能是攻击的对象。为了与可以帮助您的人建立安全的通信线路,需要通过备用的值得信赖的设备与他们联系

帐户劫持

您在访问电子邮件、社交媒体或网络帐户时遇到问题吗?帐户是否显示您无法识别的活动?您可以采取许多措施来缓解此问题。

首先回答一些简单的问题,如下:

  • 您遇到哪些服务有问题?
  • 您是唯一使用该帐户的人吗?有时,多人可访问 Facebook 群组页面,WordPress 博客或电子邮件帐户。如果有多人可访问此帐户,请首先检查您的朋友或同事是否更改了权限。
  • 用户名和帐户的 URL 是什么?
  • 您无法访问自己的帐户吗?
  • 你能看到其他人使用你的账户吗?
  • 您收到过警报或有朋友/联系人收到似乎来自您的奇怪消息吗?
  • 你在这个问题上看到了什么其他证据?

缓解问题的第一步

如果您仍然可以访问该帐户,请移动到另一台计算机 — 您认为安全的计算机。登录并更改您帐户的密码。然后转到以下步骤:

步骤1:停止使用此帐户进行敏感信息的交换,直到您更好地了解情况为止。

第2步:如果可能,请查看连接历史记录/帐户活动(Facebook,Gmail 和其他电子邮件平台的可用功能)。检查您的帐户是否在您不在线时使用过,或者是否从不熟悉的位置或 IP 地址访问过您的帐户。

第3步:查看帐户设置。设置被改变了吗?对于电子邮件帐户,请检查电子邮件中的自动转发,电话号码备份/重置电子邮件地址,与不同设备(包括电话、计算机或平板电脑)的同步,应用程序权限或其他帐户权限。

第4步:更改链接到此帐户的所有其他在线帐户的密码。例如,如果您正在查看电子邮件帐户,并且该帐户是另一个帐户的恢复地址,那么请立即更改该帐户的密码。

第五步:不要停在这里,请按照以下重要步骤操作。

如果您无法再访问该帐户:

遵循不同提供商的恢复程序。请注意,不同的服务有不同的方法来重置您帐户的密码。有些服务会使用您的辅助邮箱地址向您发送更改密码的链接,而其他的会将其重置为上一个密码。在重置案例中,重新获得帐户访问权限后立即更改密码非常重要。如果这些步骤不起作用且您的帐户被滥用,请与上面列出的某个组织联系,以获取关闭帐户的支持。

设备被抢占

你的设备丢了吗?是否被第三方窃取了?或者被警方扣押了?在任何这些事件中,非常重要的是要清楚地了解发生的事,可能导致哪些类型的数据和帐户容易受到攻击,以及必须采取哪些措施来防止泄露和滥用您的信息、联系人和帐户

首先回答一些简单的问题:

  • 发生了什么?
  • 你丢了什么样的设备?电脑,手机,平板电脑还是外接硬盘?
  • 您何时何地丢失了该设备?
  • 你是怎么丢失这个设备的?被另一个人偷走了,被国家当局占用了?还是你只是忘记放哪儿了?

该设备有哪些安全保护?

  • 设备是否受密码或其他安全措施保护?
  • 设备上运行的是哪个操作系统?这是合法版本吗,还是非法的,越狱的或 root 版?
  • 设备是否已打开完整磁盘加密?
  • 丢失时你的设备处于什么状态?你登录了吗?设备是否打开但密码已锁定?是睡眠还是锁屏?或者完全关机?
  • 您是否可以远程访问设备?

设备上有什么?

  • 清点设备上的不同类型的敏感信息。示例包括电子邮件,聊天记录,社交媒体,联系人(电子邮件,聊天软件等),文件,位置数据,信用卡数据等。
  • 它使用什么样的基础软件,即 Windows,OS X,Android,iPhone?
  • 您是否使用加密工具进行电子邮件或聊天(例如 PGP 或 OTR)?
  • 该设备可以访问哪些帐户?包括设备可以访问的电子邮件,社交媒体,聊天,即时消息和银行帐户,已将密码保存到帐户的浏览器,可显示您的互联网浏览历史记录的 Cookie,身份验证令牌(如 iPhone 上的指纹解锁),以及使用该设备的帐户用于二次认证的功能。
  • 您的帐户是否已保存密码和/或自动登录?这在电子邮件,Skyp e和其他聊天程序中很常见,或者如果您将密码保存在了 Web 浏览器中而不是像 KeePass 这样的密码管理器中?

缓解问题的第一步:

如果您的设备仍然丢失或被第三方占用无法收回,则首先要采取的步骤如下:

第1步:当您的设备可以访问帐户(电子邮件,社交媒体或网络帐户)时,为所有帐户删除此设备的授权。这可以通过在线转到您的帐户并更改帐户权限来完成。

第2步:更改此设备可访问的所有帐户的密码

第3步:为此设备可访问的所有帐户启用两步身份验证。请注意,并非所有帐户都支持两步验证。不支持的最好放弃它。

第4步:如果您在丢失的设备上安装了工具,可以删除设备的数据和历史记录,请离开使用它。

如果你找回了设备

如果您已经取回了设备,请小心!因为您不知道谁动过它。根据您所面临的风险级别,您应该将该设备视为现在不受信任或受到损害。问自己以下问题并评估设备遭到入侵的风险:

– 该设备离开您的时间有多长?

– 谁有可能获得它?

– 他们为什么要访问它?

– 是否有迹象表明设备已被物理篡改?

如果您长时间与设备失去联系,并且您认为有可能被安装了某些东西,请考虑以下事项:

  • 计算机:从头开始重新安装操作系统,并从上次的备份中恢复所有文档,并且要使用防病毒软件扫描所有文档和文件。
  • 手机和平板电脑:建议您不要再次使用手机或平板电脑。如果您无法更换设备,但怀疑它可能会受到损害,请采取预防措施,不要使用这部手机或平板电脑进行敏感通信或打开敏感文件。在参加敏感会议时不要随身携带,不要在讨论敏感话题时随身携带

恶意软件

“恶意软件”可以令其他用户、政府或第三方未经授权接管您的设备,以执行监控,例如记录击键,窃取密码,截屏,录制音频,视频等。目前国家赞助的攻击者正越来越多地将恶意软件作为监视、间谍和破坏的工具。恶意软件用于获取设备控制权,利用对设备的访问来发送垃圾邮件,窃取银行、电子邮件或社交媒体凭据,关闭网站,并从记者、人权维护者、非政府组织、活动家和博主那里收集重要信息。

如果您怀疑设备上存在恶意软件感染,您可以执行以下操作:

首先回答一些简单的问题:

  • 您确定这不是帐户劫持或密码泄露?
  • 您的妥协指标是什么?

什么是妥协指标? — — 您可能认为您的设备感染恶意软件的原因有很多; 这些就被称为“妥协指标”。它们可能包括以下内容:

  • 您打开了一个您认为可能是恶意的附件或链接;
  • 不使用网络摄像头时,您的网络摄像头 LED 会亮起来;
  • 即使您更改了密码,您的帐户也多次遭到入侵;

如果出现以下情况,您可能还有理由怀疑您的设备是否感染了恶意软件:

  • 您的设备被扣押,然后被退还;
  • 有人闯入你的家,可能已经篡改了你的设备;
  • 您的一些个人数据已被公开,那些数据只能是来自您的个人计算机;
  • 您的团队成为政府、执法部门或具有同等能力的攻击者的目标;

缓解问题的第一步:

在确认它不是帐户劫持并且有明确的妥协指示后,有两种方法:清洁您的设备或了解攻击类型然后再清理您的设备。找出发生了什么、以及谁伤害你,对你来说不那么重要。但是,了解您的对手,他们的技术能力以及潜在的攻击者(政府实体或其他第三方)是否已知使用了互联网监控技术,可能非常有价值。如果了解攻击者和攻击与您相关,那么在您“清理”计算机之前收集和分析有关潜在恶意软件感染的信息,这点至关重要。否则,建议采用一级分析师的步骤,请继续执行以下部分。

‘清洁’你的设备

如果您选择在不了解恶意软件和攻击的情况下清理设备,请记住以下几点:

  1. 没有非常快速的修复方法。即使在完成以下步骤之后,仍可能存在非常复杂的恶意软件感染。当然,这些步骤足以删除您可能遇到的大多数恶意软件,除非您被非常高级的攻击者作为攻击目标了
  2. 如果您认为自己是国家级攻击者的目标,并且在清除通过以下步骤检测到的病毒后仍然存在妥协指标,请将其与互联网断开连接,关闭设备,拔下电源插头,如果可能,请取出电池并寻找安全专业人员的帮助。

反病毒

防病毒软件可以成为保护设备免受大部分恶意软件攻击的有效第一反应。但是,防病毒软件通常被认为对目标攻击无效,特别是由国家赞助的攻击者。尽管如此,它仍然是针对非目标人的但仍然危险的恶意软件的有价值的防御工具。以下是一个不很详尽的选项列表:

运行防病毒软件时,请确保它是最新版的。如果检测到病毒,建议执行以下步骤。

  • 第1步:确保您的防病毒软件是最新的
  • 第2步:截取消息的屏幕截图
  • 步骤3:继续执行建议的步骤以删除病毒
  • 第4步:按照上面“安全通信”部分中的指导原则,将屏幕截图发送给具有安全专业知识的技术人员

DDoS 缓解

许多独立记者、新闻网站运营者和博主所面临的威胁通常是网站瘫痪或被入侵。“拒绝服务”攻击或网站接管是其中最常见的。上面这一部分已经引导您完成诊断潜在问题的一些基本步骤。如果您的网站受到拒绝服务攻击,建议您采取一些后续步骤。

网站可能出现故障的原因有很多。大多数情况下是由于托管网站的公司的编程错误或技术问题。有时候,法律挑战等其他因素也会导致主机关闭网站。如果您没有托管专业知识就会很麻烦。因此,在可能的情况下,最好的第一步是联系可以帮助您网站的受信任的人 。

在调查下面的这些常见挑战后,最好联系您的网站管理员和网站托管服务商。

首先回答一些简单的问题:

  • 谁建立了你的网站?他们可以提供帮助吗?
  • 谁是您的网络托管服务提供商?如果你不知道,可以使用一个工具以帮助查找。
  • 您是否拥有此帐户提供商的帐户登录信息?
  • 你在哪里购买了域名?在某些情况下是指您的网站主机,但也可能是另一家公司的;
  • 您是否拥有域名服务的登录详细信息?如果没有,找到这些是恢复网站的第一步;
  • 还有谁知道或可能有权访问这些帐户详细信息?

诊断信息

您的网站关闭的原因可能不同。以下部分解释了每个问题是什么以及如何诊断具体问题。

  • 您的网络托管服务器有效但网站不可用吗?检查 http://www.isup.me/-您的网站可能已启动但无法看到它。这是一个网络问题,您自己的 internet 连接可能存在问题或阻止您访问您的网站。这也可能表示您的帐户已被停用:是否看到来自您的网络托管服务提供商的邮件?可能是因为结算,法律,版权或其他原因而被下线。这是一个政策问题。首先,请确保您的结算信息是最新的,并且您的托管服务或您的域名没有未结余额。如果该消息是由于法律问题引起的,那么 EFF 提供的资源在关注美国版权法的同时,也是了解更多信息的好地方。
  • 您的网站根本没有加载吗?您的托管公司可能有问题。你能访问托管公司的网站吗?请注意,这不是您自己网站的管理部分,而是托管您网站的公司或组织的管理部分。查看或搜索“状态”博客(例如 status.dreamhost.com); 还可以在 twitter.com 上搜索其他讨论主机停机时间的用户(搜公司名称)
  • 您是否可以访问与您的网站具有相似内容的其他网站?尝试访问与您相关的网站或涵盖类似问题。也可以尝试使用 Tor 或 Psiphon 访问您的网站。如果这有帮助,说明您遇到的是阻塞问题 — 就是您的国家和地区出现了网络封锁。
  • 你看到了错误信息吗?这可能是一个软件问题。您应该反思团队最近可能做出的任何更改,并与您的网站管理员联系。发送屏幕截图给他们。您也可以将错误消息复制到搜索中,以查看它们是否易于修复。
  • 您是否从浏览器收到了有关您自己网站上的恶意软件的警告?这可能是一个污损问题。您需要与您的网络托管服务提供商合作,并查看帐户劫持部分。
  • 您的网站是间歇性加载还是异常缓慢加载?网站可能会被其接收的页面请求的数量和速度所淹没 — 这是一个性能问题。这可能是“好事”,说明您的网站变得更受欢迎,并且只需要一些改进来响应更多读者 — 检查您的网站分析以获得长期增长模式。许多流行的博客和 CMS 平台(Joomla,WordPress,Drupal 等)都有插件来帮助您在本地缓存您的网站并集成 CDN,这可以显著提高网站性能和恢复能力。

— — 安全工具 — —

我们已经推荐过不少安全工具啦,以下这些精简出来的工具,基本是几乎每个人都应该使用的。除了最为普通的常识工具之外,它们还包括:

> 关于计算机软件和在线浏览

AVAST!:一款免费的全功能防病毒程序,可检测并清除家庭或个人计算机中的恶意软件和病毒。

CCleaner :一种可永久删除浏览器历史记录 cookie、以及其他临时文件的工具,也是可限制恶意监控或感染个人计算机的方式。

Prey Anti-Theft :一款非常实用的跨平台和开源设备跟踪工具。

Prism-break :一个网站,为常用的专有软件提供了许多更安全的开源替代方案,使用户能够减轻 NSA 监控和臭名昭著的 PRISM 计划。

Tor 就无需介绍啦。

电话(这部分很重要):

CSipSimple:一个用于进行安全呼叫的工具。

Open Whisper Systems:适用于 iPhone 的免费全球加密电话呼叫。

RedPhone:为您的呼叫提供端到端加密,保护您的对话,以便任何人都无法收听。

SilentCircle :是适用于 iOS 和 Android的 安全移动通信解决方案,包括语音,文本,视频,文件传输等。

Surespot:一种安全的移动消息应用程序,可为每个文本,图像和语音消息使用端到端加密,从而恢复您的隐私权。

安全沟通:

HTTPS Everywhere :一个安全的浏览器应用程序,可以为任何支持它的网站自动将通信协议更改为加密的 Https。它由 EFF 开发。适用于 Firefox 和 Chrome。

Jitsi :是一个跨平台,免费和开源的程序,支持通过 Internet 进行即时消息(IM)语音和视频聊天。

Obscuracam:Android 的照片和视频应用程序,可用于在视觉匿名(像素化)照片或视频中人物的面部。它是由卫报项目开发的。

Riseup:一个安全的电子邮件客户端,适用于从事社会变革的人员和团体,为他们提供相对安全的电子邮件通信方式。

Thunderbird :一个免费的开源电子邮件客户端,用于接收,发送和存储电子邮件。

密码和存储管理员:

Keepass:一个方便的密码管理器,使用户能够将所有密码保存在一个安全加密的数据库中,该数据库由一个主密钥锁定。

Keysync:一种同步您的可信程序的软件。

Truecrypt:一种文件加密工具,可以将敏感数据加密到整个分区,存储设备(如USB驱动器)或看起来像普通文件的虚拟磁盘。

Wuala:一个相对安全的云存储(虽然我们不希望推荐云)不过在这里所有文件都会自动加密。Wuala由 LaCie 开发。您可以选择使用。

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据