最低程度的技术性获得最大幅度的安全提升:如何在敌对环境中保护自己(2)

  • 很多网络安全的因素都不在于技术,而在于使用习惯。

欢迎回来!

如果您错过了前面的内容,可以在这里回顾:《来自人身的威胁:如何在敌对环境中保护自己(1)》。

要在无处不在的威胁中 *全面* 保卫自己是不太可能的,就算把它当成全职工作来做也不一定能100% 保障安全。

于是建议您现实一些,把焦点放在主要的威胁上

要了解到对您不利的各种威胁和相关技术是一条漫长的路,这也是为什么分析并理解您所面临的威胁很重要。

坐下来仔细分析下您自己的情况,确定个人倾注的焦点是什么,了解您面临威胁的前因后果,它们来自哪里,如何让它们远离或是让它们变得没有那么严重,这些都很重要。

以下是一些技巧,准确说应该是原则一些非常简单的习惯就能帮助您在很大程度上应对常见威胁。

1、极简主义

即使是专家也会觉得管理多个程序的安全维护要比少数几个程序的安全维护要困难得多。多一个程序就多一份威胁。这就是为什么我们说极简主义是一种生存智慧。

您要做的第一件事就是查看电脑和手机里的所有程序,看是否都是经常使用的?如果没有经常使用,删除它们。仔细考虑它们是否是必要的?如果不是,删除他们。

如今一部手机能很快被各种聊天软件填满,但是不一定都是真正有必要使用的,如果多半时间用不到的话,那就删除它们。这也是 一个为手机和电脑腾出空间和加快速度的加分项。

中国的应用程序往往没有强大的加密功能。中国程序收集到的用户信息不受法庭保护,而是随时可以教给政府和警方在他们需要的任何情况下浏览。

因为对加密的缺失,数据也很容易被任何人获取。

就如硅谷巨头的服务为美国间谍机构构建 “后门”,能给政府监视者一个直接的通道连接到公民的电脑和手机,甚至是在您不知情的情况下。虽然对于中国来说还没有足够的相关证据(因为没有吹哨人),但是您最好是假设中国的技术寡头也会这样做。只要一个程序,比如微信,就能造成您整个手机和电脑的安全威胁,所以,您必须非常小心

2、零收件箱策略

邮箱面对的 **最大** 威胁可能不是被高级黑客入侵,而是,当您被拘留时,警方强迫您交出您的邮箱密码。

📌 如果被拘留,警方就有机会获取你的邮箱登录密码。就算您本人坚持不交出密码,您的同事、朋友、队友、合作者、熟人等等都有可能交出他们的密码给警方,这样你和他们之间的所有通讯记录都会被警方看到。

这就是为什么零收件箱策略能带来便利,是为您带来安全的重要工具之一。

设想在您被带走后您交出了邮箱密码,零收件箱策略就能保证里面没有任何内容可以被人看到,简单来说就是保持您的收件箱(包括其他的文件夹)为空。

📌 更重要的是,让您的队友、同事、朋友们也必须如此操作。您非常有必要与注重安全的人交往。如果您推测对方可能不怎么擅长安全操作,那就不要通过任何互联网媒介与对方讨论重要信息。有话当面说。

3、无回复约定

无回复约定是零收件箱策略的延伸版。如果您的邮箱确实被警察或黑客登录了,他们只需要稍微等一等就能了解您的大量信息。

📌 这是因为在通信时,我们大多数人通常都是在当前的邮件下点击 “回复”,而不是重新写一封。鉴于此,早前的通信内容会自动包含在同一封邮件内,通常这样来来回回的回复可以持续很长一段时间;其结果就是,一个简短的新邮件会包含了一大段更长的早期邮件内容。这非常危险。

也就是说,如果您的邮箱被控制了,控制的人只要等待有人用回复功能回复你的邮件,就能读到你们先前的所有通信内容

📌 所以,当您用邮件回复您的队友时,请避免使用邮箱的回复功能,换句话说如果要用的话,确保删除原先的邮件文字。这样做能确保在被拘留的情况下,如果警方在查看你的邮件,一封新的邮件到来时,也只会包含尽可能少的信息,而且他们也无法仅从收到的任何使用回复功能邮件中挖到能针对你的东西。

再一次,请告知您最经常通信的朋友或队友也要这样做。

4、紧急计划

在您的同事或朋友被警方带走时、他们的电脑已经被警方没收的时候,一切都已经太迟了。也就是说,如果您等到那时候才与同事或朋友讨论如何删除敏感的材料,警察会给您扣上一个尝试销毁证据的罪名。

📌 您必须在这些情形发生之前先准备好,必须知道在事情发生之前、 之中、之后分别要怎么做。当然,也必须知道你的朋友和同事会怎么做。

您需要有一个计划。唯 一的方式就是提前与重要的伙伴讨论、协商好如果在其中某人被带走或电脑被没收的情形下您或其他人应该如何应对。是否所有人都将手机恢复出厂设置呢?还是再三确定收件箱是否为空?还是你们所有人都重设密码,将电脑格式化?……

👉 不管你们怎么决定,最重要的是所有人都做同样的操作,并且彼此间要知道对方会怎么做。

这被称为制定并遵循 “安全协定”。如果您自己做了很多事并且处于安全状态,但是你们中有一个队友没有这样做,这就会让您的尝试和努力变得毫无意义,并且也会为其他人带来风险。

和您的队友坐下来谈论这件事,记住,如果您的工作网络包括多个团体或同事,或针对不同问题的人权工作者,他们不 一定都知道对方是什么样的人,有的人比其他人做的事更加敏感,您可以和不同的团体建立不同的紧急计划, 这一点非常重要 —— 建立一个紧急计划就是建立“安全协定”。这样每一个人都知道该怎么做,而且也很容易遵循

📌 如您所见,这些安全措施都涉及到团队合作,也是我们一直强调的 —— 安全不是您一个人的工作;任何与您交往的人都有可能出卖您。所以,您不仅需要和同等安全意识的人合作,同时也要注重团队培训和协作技巧。

接下来我们将谈论浏览器的问题。正如此前我们发布的很多安全知识中都强调过的,手机本身是不安全的东西,让手机获得足够多的安全相对较难(本系列后面的文章中会介绍相关知识),于是对于不够熟悉技术的行动者来说,非常建议您使用电脑或笔记本进行敏感操作,而非手机。

关于浏览器

当使用浏览器的时候,有两件事会发生:1、是您访问的网页会收集您的信息;2、同时电脑也会收集您使用浏览器的记录,这些信息包括Cookies、LSO虚拟数据、键入的密码、浏览器的历史记录等等。您可以在下面看到具体介绍,这些是威胁面,了解它们很重要

便于运行正常,大部分的网页都用一种 JavaScript 编程,这样浏览器和电脑都很容易获取网页Bug和病毒,再通过浏览器感染整个电脑,这两个方面都需要注意。

幸运的是有办法解决这个问题,而且第一步只需要改变操作习惯就可以。

1、双浏览器策略

在极简主义的原则下可能会建议您只使用一个浏览器,并设置为在关闭时自动删除所有数据。但是这取决于您用于个人目的的浏览器使用需求量,如果在使用每个服务时都需要重新登录一次密码,操作起来会很没效率,也非常不方便。所以推荐您使用双重浏览器策略。

也就是分身 —— 切分您的日常操作和敏感重要操作。

📌 选一个浏览器用于私人的上网,再选一个用于敏感的工作。敏感工作的浏览器可以使用 Firefox,它并不是最快的浏览器,但是允许重要的安全附加组 件和扩展的设置。

不敏感的日常操作可以使用 Chrome。

双重浏览器意味着用于日常上网的浏览器您可以维持以前的上网习惯,也不用被附加组件和扩展耽搁太多时间,但是,敏感操作相关的上网习惯虽然麻烦但肯定能明显的提升您的安全性。您值得培养这一习惯。

一旦做好决定,就要持续下去。

接下来的技术性解决方案针对 Firefox,关于如何安全的使用 Firefox。

2、将文件保存到正确的位置

系统浏览器默认的下载和存储文件夹是安全的一大威胁,却少有人注意到这点。

如果没有做任何设置,您从浏览器下载的文件都会被存储在操作系统的硬盘内,要彻底删除信息是件困难的事;所以,重要的是,在使用浏览器和下载时,使用能够自己控制新文件将被存储的位置的方法

最好的方式是在您的加密硬盘内新建一个文件夹。不过要知道,如果您将文件存储路径设置到了您的加密硬盘,要是在您的加密硬盘没有解密的情况下下载某个文件时,文件会在不通知你的情况下直接被存储到最初默认的路径位置。

关于下载的位置要记住两件事:1、总是存到同一个位置;2、要储存到您的加密硬盘。

📌 不要随意将新的文件保存到桌面。

3、网络连接

3.1 HTTP VS HTTPS

现在有很多服务都提供登录加密,但此功能在中国服务中并不那么普遍。就算有这个功能也不可靠,因为那些公司会记录下您的信息并在政府需要的时候交出去。

如果要知道您登录的网站是否有提供加密功能,通过很简单的方式就能辨别。只需要看下浏览器的地址栏就知道。

未被加密的连接在网页的开头显示 HTTP (http://www…),有加密的连接显示 HTTPS (https:// www…)。通过 Firefox 中的 httpsEverywhere 浏览器就会自动使用 https 加密。

3.2 路由器

现在大部分的上网方式都是无线连接,无论是在家里、办公室还是在咖啡店。于是您需要了解一些无线路由器的基本运行原理。

进入路由器将需要用户名和密码。它们通常都被贴在路由器的背面或底部。所有的路由器几乎都是同样的,通常用户名为 “admin”,密码为 “password”。就算有些可能不一样,但是同一个品牌和型号的路由器都会用一样的用户名和密码,所以还是很容易找到的。

也就是说,利用这个信息,任何人都可以进入您的路由器。如果他们能进入您的路由器,也就相当于控制了您的网络, 他们可以轻易的安装程序监控你的上网日志,甚至拦截你的网络。

大部分人几乎从来不会对路由器的用户名和密码进行更改。可以通过浏览器键入路由器的IP地址(通常是192.168.0.1)进入路由器,这个IP地址也会被写在路由器盒上。通过登录路由器,您可以进行更改用户名和密码的操作。

一般来说 192.168.0.1,192.168.1.1,10.0.0.1 是最常见的IP地址可登录到路由器的管理面板。但是,如果它们中的任何一个都不起作用,可以通过这里的指南查找设备的默认路由器IP地址。

另一个需要注意的关键是,当使用无线网络时,无线网络信号需要被加密过,否则上网时传输的所有信息都可以被周围的人读取。

如果没有进行加密,任何人都可以连接并使用您的无限网络信号, 并看到这个连接下的所有上网记录。您的无线网络信号的名字就是那个您通常所连接上网的名字 (叫SSID),如果连接时要求输入密码,则表示这个信号是有加密的,如果没有密码,则表示没有加密。

一旦进入路由器后,您可以更改SSID名称,也可以选择加密网络信号。用于 Wi-Fi 路由器的标准加密通常被叫做 WPA2(WPA3)。要启动加密,您需要设置一个密码。

因此既有用户名和密码进入路由器,也有账号登入您使用的无线网络信号。它 们之间并不一样。 如果您想弄清楚具体如何在路由器中做这些更改,在搜索引擎上键入您的路由器名字和型号就会有很多步骤图能帮到您。实际比看起来要简单很多。

3.3 ISP、IP地址和MAC地址

在一些国家,一般来说使用的网络都来自国有的几个网络服务供应商(ISP)之一,您甚至在很大程度上都无法选择。这实际上带来了巨大的风险,因为在设备上所做的很多步骤都可能会因此而变得徒劳,因为向您提供网络服务的ISP也将自动记录下您在这个连接下所做的一切动作。

不同的供应商将这些信息存储的时间长短不 一,但都会储存。

当连接上网时,您家里的路由器会通过网络服务供应商(ISP)将您与更广大的网络相连接。也就是说,您家里的路由器连网时首先都要先通过ISP服务。审查也就是从这里开始的。

而您上网的足迹,无论是由ISP所掌控的您的连接,还是您访问的网站或您的电脑手机连接的服务,都是通过您的IP地址和MAC地址来追踪的。

IP地址就是您的上网连接地址,通常很容易被辨认和追踪。如果通过无线连接上网,您的IP会改变 (为动态),但是您的ISP总会知道所使用的网路连接是与哪一个IP地址相联的。

您的电子设备也会有一个MAC地址,每一个有联网的设备都会有一个MAC地址,这个独特的MAC 地址是专门为实质的硬件生成的。一旦硬件被产出,MAC地址就会随机产生。在上网时MAC地址倒是不会被分享出去,所以不用为此伤脑筋,但是IP地址是可能对您造成问题的。

幸运的是一些非常简单的方法就可以避免被ISP监视您的上网活动,或被网站追踪您的IP地址,比如使用 VPN和TOR。

简单来说,VPN和TOR 都会避开ISP,大部分情况下也能加密您的上网行踪,对你的安全和隐私来说是必不可少的。

4、Firefox 浏览器和扩展程序

打开火狐浏览器,点击右上角的设置就能找到附加组件的区域 ,在扩展标签下能显示所有已安装的附加组件。

A、BetterPrivacy

通过安装这个附加组件有关闭浏览器时自动删除数据功能的选项。安装了这个组件您才能彻底的删除 LSOs —— 一种难以清除的新型Cookie,也叫 Flash Cookie。

安装后,点击选项,选择选项&帮助列表,点选当 Firefox 退出时删除 Flash cookies,点选同时删除 Flashplayer 默认 Cookie,以及点选删除 Cookie 时同时删除空的 Cookie 文件夹。

B、HTTPS Everywhere

如上所述,这个附加组件能自动开启支持HTTPS加密。下载后能在 Firefox 的工具栏看到它的图标,点击启用就能自动运行此功能了。

C、KeyScrambler

与上面的附加组件不一样的是,这个组件不能在附加组件区域安装,而需要下载,先搜索 KeyScrambler,选择下载并像普通程序一样安装,电脑就能在重启之后运行这个程序了。

高阶的黑客能通过在您的电脑安装一个键盘记录程序,获取你键入的所有记录,包括用户名和密码。通过对登录用户名和密码按键的自动加密,这个小程序能够让您抵御此类攻击。

现在您已经完成了敏感操作所使用的浏览器保障的一半,接下来还需要在设置区域做一些简单的更改。

只需要注意几点即可:

1、点选总是询问保存文件的位置;

2、搜索建议设置为默认duckduckgo;

3、允许在隐私浏览窗口中使用跟踪保护,在历史纪录下,点选不记录历史,在 “地址栏” 的选项中确保每 一项都没有被选中;

4、在 “安全” 标签下,勾选常规下的所有选项,在 “登录信息” 那里不要选择 “主密码”,在这个页面也顺势点进已保存的登录信息内看是否有任何登录信息被保存了,如果有的话,请删掉。

5、不要使用同步功能,也不要将 Firefox 与其他的邮箱账户等绑定,不要用邮箱登入 Firefox 浏览器;

6、在 “更新” 栏下点选自动安装更新,并确保有点选自动更新搜索引擎。

高级加密(技术性解决方案)

创建一个隐藏的加密空间,需要使用 Veracrypt 或 TrueCrypt,将其下载到电脑或USB都可。USB会更加安全,不过需要先将USB插入电脑才能操作。

同样,总是要记得将文件直接下载到您将要安装的位置,不要下载到桌面或默认的下载位置。

与基础加密不同,当要使用隐藏加密空间时,就好比下载一个新的文件一样,需要打开 Veracypt 并加载隐藏加密硬盘,就会跳出一个看起来和普通的硬盘或USB一样的窗口,一旦使用结束后点击退出即可。

新建的加密空间叫加密卷。您一定听说过,而且网上有非常多的教程,这里就不做具体介绍了。简单说说您为什么值得这样做 —— 在敌对环境中

防止他人进入到真正的隐藏加密空间 (内部加密卷) 的能力在英文里叫 “Plausible deniability”,也就是 “合理的推诿”,意思是通过交出外部加密卷 密码让事情合理化 —— 而实际上你并没有交出内部加密卷中真正敏感的材料,这是保障自身安全的一个关键。

请注意,要想让它真正起作用,外部加密卷就必须看起来是 “可信的”。

📌 在这里 “可信” 的意思是:在外部加密卷 (诱饵) 内的信息必须是很明显你不会愿意分享出去的。一旦您被强迫交出加密空间密码(外部加密卷),当警方读取里面的资料时,要令他们相信那是你正在努力保护的东西。如果里面的内容为空,或只是电影音乐文件等, 警察就肯定不会上当,会继续向你施压。

所以,确保在外部加密卷内存入的是很明显的敏感文件 —— 但不是会让你坐牢的那种东西。比如,您可以存一些银行账户相关文件、一些禁书的PDF文档、同时也应该放一些工作文件,比如您写的报告之类的东西, 但是必须让警方用不到的那种。

📌 请记得每过一段时间添加一些新的文件到外部加密卷,这样会看起来您有一直在使用它。如果有更高的安全系数要求,可以多复制几个文件到外部加密卷。

总之,不要将真正的敏感文档存在那儿,这里只是作为诱饵。设立诱饵的原因是让警方远离您真正的敏感资料,一旦他们以为已经找到了所有的信息,并满意了,那他们很可能就不会再施压了。

需要不断更新外部加密卷的原因是,每个文件和文件夹都有显示这些文件最后被转移或修改的时间的数据,如果警察进入您的外部加密卷发现在过去两年内这些文档都没有被动过,那他们会意识到你并没有在使用这个硬盘,要么是一个老硬盘或圈套,这样也会再次向你施压以获取更多的信息。

📌 要建立这一套系统最简便的方式就是先将所有的工作文件移到您的内部加密卷;浏览一 遍所有文件的内容后,将一些工作相关但又不是特别敏感的、不包括人名、细节、或可能牵连他人的信息文件,存到外部加密卷。

鉴于外部加密卷应该是可信的,建议您存入类似下面这些东西:

• 密码清单,比如网上购物网站的登录密码、私人的社交媒体等等,与工作无关的个人隐私;

• 也许在过去您写过一些肉麻的情书或个人笔记,如果有,存进来;

• 也许您有与情人发过一些私密的通信、照片,存进来……

总的来说就是,外部加密卷以普通角度来说会非常安全,只有在被警方强迫打开的情况下才有威胁。 如果事态很严峻,到了他们要强迫您交出了密码的时候,就要保证您在里面存入了这些个人的信息以供警察读取。

📌 请注意,要让事情看起来可信,就不要一开始就轻易的交出外部加密卷的密码。如果被问起您还是要先拒绝,作出一副无奈的样子,推脱多次、挨一些打,再很不情愿的将 **外部加密卷密码** 交出去,否则对手可能会起疑。

如果他们相信了,真正敏感的信息就会保持安全。当然,没有人愿意让警方看到您发给情人的裸露照片之类的东西,但是与坐牢比较,您明白该怎么选择。

如果您没有上面提到的这些个人隐私类型的信息,建议现在建立几个存进去,如果有必要的话也可以PS一个。这真的意味着自由与坐牢的区别。

请注意,本系列提供的都是根据最常见的胁迫您可以采取的应对方法以及相关工具,您当然可以在此基础上更为深入地开发出创意性的方法 —— 那些我们不能说的东西(一旦公开说出,它们可能就失效了)。创造力是几乎每一种成功的关键,这需要您来完成。⚪️

—— 未完待续 ——

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据