dark

安全上網指南一覽14 項安全防御手段

2022-11-22

撰文:王一石

兩年前我寫過一篇文章,分享了一些保護個人隱私的技巧。

時過境遷,新的攻擊手段層出不窮,尤其在Crypto 行業,稍有不慎、傾家蕩產。

事實上,沒有什麼銀彈能抵御所有攻擊,問題關鍵在於構建自己的「防禦系統」,也就是說,你應當思考自己

  • 可能被哪些人攻擊

  • 他們想要從中獲取什麼

  • 他們會用什麼樣的方式

並且,假設攻擊已經發生,自己是不是能承擔損失;如果承擔不了,應當如何分散風險。

  • 大部分攻擊都是「無差別」的,黑客廣撒網,願者上鉤,這種只要正常防範就好。

  • 也有針對性非常強的攻擊,通過各種攻擊手段(暗網交易KYC 信息和電商記錄),黑客很容易獲得你的家庭和公司地址,從而進一步實施犯罪,要防範這種攻擊,必須祭上更周密的策略。

  • 只有「防禦系統」構建好,你才能遇事不亂,把核心風險降到最低。

以下是我常用的一些防御手段:

1)使用能保護隱私的搜索引擎

不再使用Google 搜索,轉而使用DuckDuckGo 或Startpage,好處顯而易見,因為它們能:

  • 在通信中移除你的IP 地址

  • 在瀏覽網頁內容時持續保持匿名狀態

  • 阻止第三方廣告系統追踪你的個人信息

  • 阻止基於你的個人網絡活動構建用戶畫像

我只有在找不到想要內容的時候才會用回Google。

2)加密你的數據

如果你已經離不開諸如iCloud、Google Drive、DropBox 這樣的網盤,那你就要做好自己的數據有一天被Hack 的覺悟。雖然大型企業會在加密、數據安全上投入大量預算,但你依然不能否認:

只要數據還在對方服務器上,那麼它實際上已經脫離了你的控制。

大多數網盤提供商僅在傳輸過程中加密數據,或者他們自己保留用於解密的密鑰。這些密鑰有可能被盜、複製或濫用。因此,給自己留個心眼,用Cryptomator 這樣開源、免費的工具來加密數據。

這樣即便網盤服務商被Hack,你的數據大概率還是安全的。

3)輸入法

我之前說過,最好不要用任何第三方輸入法,而只使用系統自帶的。

現在我要增加一個選項,那就是「鼠鬚管」,它有許多優點:

  • 性能優秀、佔用資源少

  • 極少出現敲第一個字的時候頁面卡鈍的情況

  • 全開源、無後門、不會上傳內容

  • 繁體字強大

  • 極高的定制自由度

我現在使用的是placeless 的雙拼配置,覺得還不錯,如果你是雙拼用戶,可以試試他的配置。

4)只訪問HTTPS 網站

  • 安裝HTTPS-EVERYWHERE 這個插件。

  • 它可以自動為訪問網站的所有已知受支持部分,激活HTTPS 加密保護,防止你跟網站的交互的信息被竊聽或篡改。

  • 訪問網站時,如果是明文傳輸,會有明確提醒。

5)使用Google Drive 打開可疑的附件

你經常會收到各種帶有附件的郵件,雖然郵件服務商會預先掃描並阻攔可疑內容,但很多附件偽裝精妙,下載到本地是有風險的。

這種情況下,我建議直接在網頁中預覽,或者存儲到臨時的Google Drive 文件夾中預覽,這能有效隔離病毒。

6)小眾平台能顯著提高對抗病毒木馬的可能性

思考這樣一個問題:如果你是黑客,準備開發一個病毒(木馬)來獲利,你會選擇針對那個哪個平台?

顯然是用戶基數更大的平台。

相比Windows,以下平台的用戶基數更少。

雖然它們並不顯著比Windows 安全,但面臨的風險要小得多。

  • macOS

  • ChromeOS

  • Ubuntu

  • Fedora

  • Debian

  • 其他Linux 發行版本

7)慎寫安全問題

  • 「你的大學名字是什麼?」

  • 「你的女朋友是誰?」

  • 「你最喜歡哪個樂隊?」

不要再老實地把真實信息填上去,因為你的信息在大量社交平台上都有存檔,很容易被社工,這會給黑客可乘之機。

取而代之,用密碼管理軟件生成的隨機密碼作為這些安全問題的答案,這樣就安全多了。

8)不要在臨時設備上登錄你的核心賬戶

核心賬戶指的是你的Google、Apple 等等主力賬戶,它們綁定了一堆設備、信用卡、密碼等等。

互聯網公司為了方便,通常會在你的瀏覽器本地存儲Session Cookie ,一旦這個Cookie 被竊取,黑客甚至可以繞過平台的2FA 等校驗,這種情況下,什麼2FA 都沒用。

9)永遠二次確認

  • 記憶不可靠

  • 核對錢包地址要完整,不能只核對前/ 後幾位數

我去年登錄一個不常用的交易所,準備清理一些碎幣。

提幣時看到地址薄有幾個眼熟的,但一時想不起來是什麼時候創建。

因為只有零點幾個比特幣,就直接轉了,事後卻怎麼也找不到那個地址對應的私匙。

有點後悔,如果當時多確認一次,就不會犯這種低級錯誤。

10)賣二手設備前清空所有磁盤資料

推薦兩個工具:

  • Darik’s Boot and Nuke

  • Permanent Eraser

前者可以徹底清空硬盤。

後者可以替代”安全清倒廢紙簍“的操作,每次操作能覆蓋文件存儲空間35 次,基本很難恢復。

11)只在官網下載錢包

最近遇到非常多用戶下載了被黑客「二次打包」的錢包,安卓是重災區,因為很多錢包都提供APK 的安裝方式,真假難辨。

我建議下載任何錢包前,先核對一下產品的官網,如果沒有,推特上的信任鏈也能幫助你確認官網的真實性。

不要點來路不明的鏈接,更不要直接去下載這些鏈接中的安裝包。

其次,對於開源項目,從官方開源Github 倉庫的Release 中下載,檢查Commit,併校對簽名是更保險的方式,基本可以保證你下載的安裝包,就是當前倉庫對應的代碼,非常安全。

12)辨析假合約

  • 從至少2 個信源上確認幣種合約的真實性,Rainbow 和OneKey 都有從多個Tokenlist 多重校驗的機制

  • Twitter 粉絲數不可信,關注和信任鏈更實用,要警惕掛羊頭賣狗肉的假推號,從CGK 和CMC 找到的合約地址通常更可靠

13)使用完全開源的硬件錢包

  • 硬件錢包做的最好的就是Ledger、OneKey 和Trezor

  • 其中徹底開源的是OneKey 和Trezor

  • 如果想要配合手機使用且開源,那麼就是OneKey

  • 這家團隊拿了Coinbase 等機構2000 萬美元的投資

  • 並將全部代碼開源在Github,不用擔心後門

  • 支持鏈的非常快,基本每個月都會新增2-3 條新的公鏈,最多最全

  • 幾百塊,性價比很高,購買鏈接。

14)使用更安全的操作系統和設備

Purism 由Todd Weaver 創建於2014 年,他創建Purism 最大的起因就是想從筆記本中刪除英特爾的管理引擎,電子前沿基金會(EFF)、Libreboot 開發人員和安全專家Damien Zammit 就批評者指責過:「 ME 存在後門和隱私問題」。

因為ME 可以訪問內存,並且可以完全訪問TCP/IP 堆棧,獨立發送和接收網絡數據包,繞過防火牆。

Purism 的好處顯而易見:

  • 攝像頭、WiFi、藍牙、蜂窩網絡這些都有獨立的硬件開關,可在需要時徹底關閉

  • PureOS 簡單好用(它是基於Debian 的免費Linux 發行版)

  • 禁用了英特爾ME

總之,如果你想試試Linux 系統,希望有一個開箱即用的電腦,可以試試Purism。

一個成本更低的方式是在你當前電腦中運行Whonix(搭配VituralBox)。

Whonix 同樣是一個以注重隱私和安全的Linux 系統,它完全免費且開源,有幾個優點:

  • 已經穩定運行10 年

  • 隱藏IP 地址

  • 隱藏使用者身份

  • 不記錄任何信息

  • 防病毒

感興趣可試試。

還有其他防御手段不再贅述,希望大家可以保護好自己的隱私和安全。

Total
0
Shares
Share 0
Tweet 0
Share 0
Related Posts