网警如何非法监控公民隐私

(这篇为转载,原始出处当初没留下来)我叫夏晨曦,是中国一家运营商(ISP)的核心网工程师,在两年的职业生涯中,多次与网警打过交道,了解他们的运作方式。在2012年10月15日的下午2点,上海市公安局闸北分局的网警来到我们公司,要求在他们管辖范围内的一个机房(万荣一路工业园)安装监控服务器,我被领导安排配合他们做技术支持。实际上我们公司的所有机房都有公安的监控服务器。
我们公司的网络拓扑(部分)大致如下:以万荣路机房为例。

华为9306 三层交换机  (万荣路机房)
|
|
GW6700 OLT      (万荣路机房)
|
|
GT810onu         (用户家)

GW6700

GW6700 OLT(optical line terminal)共有4个上联口,第一上联口接入华为9306三层交换机,第二个上联口接网警的监控服务器,我所提供的技术支持就是把第二个接口设置为镜像端口,然后关联到第一个接口。GW6700调试的命令如下:

wanronglu-OLT(config)# interface eth 1/2

wanronglu-OLT (if-eth1/1)#mirror

wanronglu-OLT (if-eth1/1)#mirror ingress 1/1 egress 1/1

这样OLT下的所有用户进出数据都会转发一份去第二个接口,然后进入网警的监控服务器。
在与他们交谈的过程中,我了解到了很多网警工作的具体内容。首先用户上网的行动(包括用软件聊天的言论,访问的网页,发帖的内容等等)都存在监控服务器内,服务器内有关键词拦截和危险境外网站监控,拦截下的内容会被分离,分离出来的内容由后台技术人员逐一查看,如果是在论坛发帖的言论涉及敏感内容,网警会根据用户发帖的ip地址,要求我们公司提供使用该ip地址的用户信息,然后网警会根据的实际情况,如果用户是偶尔性的反动言论,一般会要求网站的管理员删贴,如果用户有大量的持久性的针对体制的批评言论,网警就会上报上级,由上级决定是否实行抓捕。

网警告诉我,国内的电子邮件,qq聊天软件对他们来说是完全透明的,某些国外的电子邮件,他们会根据ip地址确认收发邮件的人员是否为“危险人物”,如果在他们的黑名单内,他们则会破解加密的邮件。 做完活之后,网警还善意的提醒我,让我小心些别乱发帖,上面可能要对网络言论要收紧,他还告诉我,我的上一任有一个工程师就是因为发帖被查处了。
但是之后我并没有太在意这个警告(我从2010年就开始发表文章及言论,我抱着侥幸心理,认为虽然国家安全局在监控,但是不会抓我),依然每天发表大量宪政的言论,以至于2012年12月份的时候,我的一个qq被全面封杀。2013年3月2日的时候,警察突然来到我家,将我带走。到了公安局后,警察拿出一叠厚厚的纸,里面都是我近年来发表的文章以及qq群里的言论,去白宫网站请愿的签名。因为当时我已经参与了公盟发起的要求中央财产公开的活动,并且在4月份的时候,政府开始抓人。

因为我的职业,我了解中共网络审查的严厉,以及抓人的迅速,并且对于有法学或者网络技术背景的人士打压尤其严重。因为这些人往往会成为公民运动的重要人物,并且能用技术手段对抗他们的审查。出于极度的恐惧和不安,我于2013年5月逃到美国。

出于人类的良知与正义,我写下了上述报告,并保证内容真实可信。

关于浏览器的那些事

本来想写一篇关于HTTP HEADER造成的隐私问题与应对方法的科普(请期待下一篇),但在寻找资料时看到了一些关于浏览器的很有意思的故事,特此分享给大家(记住,强权永远也不等于真理,更不能因此去嘲笑反抗强权的人,我们也应该成为反抗者。看完文章后你就知道我不是莫名其妙的说这句话)

1990年,英国佬蒂姆·伯纳斯-李(想进一步了解请看https://zh.wikipedia.org/wiki/%E8%92%82%E5%A7%86%C2%B7%E4%BC%AF%E7%B4%8D%E6%96%AF-%E6%9D%8E)发明了第一个网页浏览器WorldWideWeb(很熟悉的名字,这就是万维网,我们通过浏览器做的所有事情都是基于万维网,注意万维网并不等于互联网,万维网是基于互联网的一项服务,发明者就是前面提到的英国佬。),此时咱们大天朝绝大多数人还不知道互联网为何物呢,至于为什么,你懂的。

但第一个能够处理图像的是NCSA Mosaic,是互联网历史上第一个获普遍使用和能够显示图片的网页浏览器。它是由伊利诺伊大学厄巴纳-香槟分校的NCSA组织在1993年所发表。
后来NCSA中Mosaic项目的负责人马克·安德生辞职并创建了网景通信公司(Netscape)(神一般的公司:1995年创造了JavaScript,一种可以直接在浏览器上运行的脚本语言,超过90%的网站都离不开它;1994年提出HTTPS协议标准,并率先在自家的网景导航者浏览器上实现支持,关于HTTPS可以看https://plus.google.com/109790703964908675921/posts/fgTznXwVfAw),网景导航者浏览器(1994年发布)曾占据超过90%的市场份额(请注意这是收费浏览器)。

但这个公司在十几年前就消失了:1998年11月24日,美国在线以42亿美元、免税换股的方式收购网景。2003年7月15日,时代华纳(前身为美国在线时代华纳)解散了网景,网景大部份的程序员被解雇,网景的标志亦消失于建筑物。

怎么回事?

关键在于网景的竞争对手:
1992年底,以Libwww为基础的浏览器已经出现,包括:Line Mode Browser、ViolaWWW、Erwise、MidasWWW和MacWWW。
1994年,其他厂商的浏览器陆续推出,包括IBM Web Explorer、Navipress、SlipKnot、MacWeb以及Browse。

但这些都没对网景造成任何威胁,直到一个迟钝的大公司进军浏览器市场:错失了互联网浪潮的微软在1995年匆促的购入了Spyglass(NCSA Mosaic的其中一个版本)公司的技术,改成Internet Explorer(这个名字可不是随便起的,下文中会提到),创建了Internet Explorer 1,并通过“Windows 95 Plus!”搭售(微软老手段了,谁叫他家的windows迄今为止仍然占据着超过90%的PC市场呢?)

第一次浏览器大战正式开始!

Round 1:
网景:我说微软,你们那破浏览器要功能没功能,要特色没特色,要市场没市场,还想和我们竞争?做梦!
微软:你就看着好了,更新!更新!更新!
网景:谁不会啊?更新!更新!更新!
(在往后几年,微软和网景以飞快的速度陆续各自推出新版本的Internet Explorer和Netscape Navigator。因为当时浏览器必须具备更多新功能,否则会被认为是落后的,因此当时着重产品功能特色多于修正错误,导致产品也多是不稳定的、造成网页标准分歧、时常死机和安全漏洞等问题,为使用者带来困扰。)

Round 2:
微软:不要小瞧老子的技术实力!(1996年微软推出Internet Explorer 3版,成为第一款支持编程语言及CSS的商用浏览器,使市场占有率开始紧追Netscape。)
网景:糟了,势头变得不对了!(1997年10月,Internet Explorer 4版正式推出,并在旧金山举行产品发表会,而引人注目的地方便是竖立了一个10呎长的巨型”e”标志(IE图标)。部份Netscape的员工在发布会翌日前往会场,把巨型标志推翻,并放上其吉祥物Mozilla(网景是Mozilla的缔造者哦)恐龙,恐龙手上纸牌写着“Netscape 72, Microsoft 18”,代表当时的浏览器市场占有率。)
微软:叫你小瞧老子,继续接招!(随着IE4.0的推出,对这场浏览器大战产生了重大改变,它在符合W3C制定的网页标准方面,做得比Netscape Navigator 4.0要好,同时也能加载动态网页,其文字或图像的位置可以改变。此外,安装了IE4.0被认为是系统的升级,能增加不少功能,包括可以播放MP3音乐。)
网景:怎么办啊?(网景不能对抗微软的“免费程序对上收费程序”策略。同时,网景面对越来越多对其产品程序错误的批抨。批评者认为,网景过度偏向“增加功能”,忽视运作稳定。公众对网景的印象渐趋负面,尤其在1997年第4季和1998年1月的网景大规模裁员。)
只能用这招了!(1998年1月,亦是网景开始展开Mozilla开放源代码项目的日子。在得知Internet Explorer成为浏览器市场的首位,网景寄望通过开放Netscape Communicator 4.0的源代码,使其成为有成就的开源计划,力挽狂澜。它以网景公共许可证(Netscape Public License,简称NPL)发布源代码,网景公共许可证相似于GNU通用公共协议证书(GNU General Public License,简称GPL),却容许网景继续于公开的源代码中加入专有部分。之后,网景继续开发Netscape Communicator 4.5,并专注改善电子邮件和企业的功能。)
微软:没用的(笑),你做什么都挽回不了败局了,网景!(Netscape于1998年年底,被IE击败。之后美国在线(AOL)以42亿美元收购网景。Internet Explorer成为新的主导浏览器,份额的最高峰达到2002年的96%,比Netscape的高峰还要高。)

第一次浏览器大战就这么结束了,网景惨败,微软垄断了浏览器市场。如果就是这样,那这故事真的很平淡,也很正常。

但事实上在Round 1和Round 2之间还有Round 3:
微软:虽说我们技术强大资金充裕,但毕竟网景不是一般的对手,这场战争很可能会变成持久战,那就讨厌了。嗯,有些手段应该用用了!
网景:你想干什么?
微软:嘿嘿嘿,不要忘了我们可拥有雄霸PC市场的windows操作系统,而且我们针对服务器开发的操作系统也很受欢迎呢。(Netscape的商业模式是通过销售服务器软件来发布浏览器,微软得知这点,便把自家的IIS服务器通过Windows服务器版本搭售,内含仿制Netscape产品的代理、电邮、新闻组服务器、以及其他软件,并以特优价格发售,以切断Netscape的财源。起初效果不大,由于Netscape的收入多来自使用Sun服务器的客户,因此微软需要使Windows NT更普及,作为内部网及互联网的服务器。
微软很快地推出了数个Internet Explorer的连续版本,这些版本都是捆绑于Windows操作系统,用户可免费使用(网景导航者当时是收费的)。微软更以自己公司的其他部门的收入,调配于开发Internet Explorer的资金中。)
微软:看到了吧,“微软得知这点,便把自家的IIS服务器通过Windows服务器版本搭售,内含仿制Netscape产品的代理、电邮、新闻组服务器、以及其他软件,并以特优价格发售,以切断Netscape的财源”,这就叫山寨!PS:没想到天朝的IT公司居然把这手段学去了,可惜只学了其形而没学到其神,以至于只能靠GFW活着(笑)
网景:你太卑鄙了!
微软:这有什么?老子还有更卑鄙的手段呢!(微软在授权条款中,要求主机厂商在桌面上展示IE的图标,并不得加入Netscape,否则将以涨价方式作出惩罚。PS:众所周知品牌机绝大多数是预装windows操作系统的,PC厂商这么做是需要微软授权的。)
网景:你这是恶性竞争!
微软:啦啦啦,你咬我啊!老子还有更阴的手段等着你呢!(微软让中小型ISP推出附有ISP品牌的IE,使不少ISP鼓励用户改用IE,放弃Netscape。微软在与AOL(美国在线,美国著名ISP)的授权条款中,要求AOL以IE作为主接口,而非Netscape。微软在收购得来的FrontPage网页设计软件中,加入了非标准的专属标签,令作出的网页只适合使用IE浏览器。)
网景:你!
微软:你没办法的(笑)。老子今天心情好,问你一个问题:知道为什么我们公司的浏览器名叫Internet Explorer吗?
网景:我他妈怎么会知道?你丫随便起的吧!
微软:不不不,这怎么会是随便起的呢?想一想吧,Internet Explorer(互联网探索者),当一个电脑小白看到时会怎么想?他会很自然的认为Internet Explorer就是互联网,互联网就只有万维网,并会以为Internet Explorer就是唯一选择,而忽略了其他浏览器的存在。
网景:好吧,我认输,但我能问你一个问题吗?
微软:什么问题?
网景:为什么要这样不择手段的置我们于死地?这根本就不是正常竞争好吧!
微软:很简单,你们有一个目标是为所有不同操作系统的用户提供相同的用户体验(就像SUN公司的JAVA一样),这会威胁到我们的windows的市场地位,而这是我们绝对不会允许的!(网景其中一个目标,是为所有操作系统的用户提供跨平台一致的互联网使用体验。网景导航者的用户接口在多个平台上始终如一。网景更多次尝试开发一种能够让用户通过浏览器来访问和修改他们的文件的网络应用系统。这引起微软注意,因为那概念跨越操作系统界线,微软视为对Microsoft Windows的直接威胁。有人声称,数个微软的运行人员在1995年6月曾参访网景,提议划分市场(不过微软否认该指控,因为这违反反垄断法),即容许微软开发自家的浏览器,也容许网景可在其他操作系统上继续开发产品,但条件是微软不排除投资网景公司,但网景当时拒绝了。)

就这样,网景失败了,结果是:未来几年,网页开放标准的关注度下降,开发商不得不使用微软过时和复杂的技术,例如:VBScript、ActiveX及DHTML格式等,以确保网页能正确在Internet Explorer浏览器上显示(尤其是那天杀的ActiveX控件,不知都帮了病毒木马多少忙了:很长时间以来IE对于ActiveX控件是不做任何验证的,所以N多病毒木马程序都通过伪装为ActiveX控件轻易入侵PC,后来快被口水淹死的微软好不容易加入了证书验证机制,但安全性还是不够高,再加上IE始终闭源,而且更新速度实在太慢(一个月一次),我强烈建议诸位如果还用IE翻墙的,赶快放弃IE,换成firefox或chrome!)。

仅此一家,别无分店,后果就是如此。微软没了竞争对手,自然就不再积极于研发新功能与修复BUG。天朝也一样,共匪一党独裁,独家经营,怎么可能会是好事呢?

有些信奉丛林哲学的家伙大概又会说什么“胜者为王,败者为寇”。拜托,一来你根本就不是王,你只是共匪的奴隶罢了,居然还以为自己是奴隶主,SB吗?这次浏览器大战也是一样,微软彻底垄断市场,受苦的可是开发者们和用户们,尤其是普通PC用户!别说什么”不要对免费软件要求太高“,一来免费根本就从来不是放着差劲的用户体验不改进的借口(否则现在所有浏览器都有理由不管用户了,都是免费浏览器啊),二来IE的研发成本早就和windows的研发成本算在一起了,就像共匪那些税一样,你以为不写出来就代表没有吗?

微软最终因为自己的垄断行为得到了惩罚:https://zh.wikipedia.org/wiki/%E7%BE%8E%E5%9C%8B%E8%A8%B4%E5%BE%AE%E8%BB%9F%E6%A1%88(我是觉得惩罚的不够,此后微软依旧四处制造垄断而且捆绑进windows里的软件是越来越多了,但至少当初浏览器大战时最卑鄙的那几招不敢再用了,而且微软不得不开放一些软件接口和协议,有利于技术进步)

共匪这个最大的垄断者何时得到应有的惩罚呢?

ANONYMOUS – WHO WE REALLY ARE AND HOW TO BECOME ANONYMOUS

What is Anonymous? Anoynmous is not a group, it is not a person. It is an idea. Specifically it is the idea, that all of us deserve FREEDOM.

Freedom of thought, of speech, of expression, of knowledge, of belief.

The Freedom to determine the course and destination of our own lifes.

If your share this IDEA, THAN YOU ARE ANONYMOUS.

You have likely heard many things about Anonymous, some of them are true and some of them are not.

We are not hackers.

We are not terrorists.

We are not violent.

We are citizens of the world who bear witness to tyranny, oppression and censorship.

We are activists who seek to change the system and the cycle of corruption.

We seek to create transparency in governments and all institutions of public service.

We resist those who seek to violate our rights as human beings.

As a collective of autonomous individuals however,

WE HAVE NO LEADERS who dictate the methods of resistance.

Some of us are indeed hackers, who use our skills to make critical information available to the public.

Some of us organize protests and rallies.

Some of us volunteer our time to feed those who can’t feed themselves.

We are your neighbours, your friends, and your relatives.

We prepare your food, repair your appliances, write your books, compose your music, and create your technology.

We are your postal workers, barbers, store clerks and lawyers.

We are socialists, capitalists, we are atheists and we are religious, WE ARE EVERYONE

and we are no one.

NONE OF US ARE AS POWERFUL AS ALL OF US.

United as One,

Divided by Zero.

WE ARE ANONYMOUS.

为了人权而战的IT三英雄

上次我向大家推荐墙外网站的时候极力推荐了三个网站:Tor官网,维基解密官网和逃离棱镜项目官网。这三个网站分别对应了改变世界的三个IT英雄,接下来就一起来认识他们吧!

Tor官网对应者:
Jacob Appelbaum,Tor项目的核心成员,斯诺登的好朋友,美国计算机安全研究者和黑客,2013年的时候因为帮助斯诺登而被NAS长期骚扰,被迫流亡德国。更多资料请看https://en.wikipedia.org/wiki/Jacob_Appelbaum
https://www.torproject.org/about/corepeople.html.en

Jacob Appelbaum是个非有神论(atheism正确的翻译是“非有神论”,非有神论不是一个信仰,无神论是错误翻译)者(请注意,在美国这种大部分人都是基督徒的环境里,公开宣称自己是非有神论者是需要很大勇气的),曾经被邀请到FB和google等大公司工作,但是他都拒绝了,一直为自由匿名软件Tor而努力着。

要是没有Tor,普通人就完全无法保持匿名,而政府也可以利用这一点肆意犯罪了(政府是每个国家利用实名犯罪的最大的罪犯,天朝更是如此)。不要跟我扯什么”nothing-to-hide”,只有暴露狂才会认为自己是nothing-to-hide,有这种想法的请自行去看心理医生。你只要还穿着裤子,就说明你在乎隐私!

如果没有了Tor,罪犯们依旧可以轻易匿名犯罪(黑掉其他人的PC然后远程控制之类的),政府仗着国家机器更是可以为所欲为,但是普通公民们,记者们,人权活动家们,他们就无法保持匿名了;所以说Tor保护的大部分都是好人!
具体看https://www.torproject.org/docs/faq-abuse.html.en

维基解密对应者:
Julian Assange,维基解密创始人,澳大利亚记者,一生致力于披露政府的秘密,现在被困于厄瓜多尔驻英国大使馆内。他认为不合法(未经人民授权)的统治本身就是阴谋,它是官员们“暗中合作、致力于损害国民”的产物(天朝不就是这样的吗?)。更多资料请看https://zh.wikipedia.org/zh-cn/%E6%9C%B1%E5%88%A9%E5%AE%89%C2%B7%E9%98%BF%E6%A1%91%E5%A5%87

Julian Assange和Jacob Appelbaum是好朋友,也是非有神论者,而且非常讨厌宗教:”Then he proceeded to tell a young women, essentially, that the reason she believed in God was because she was an idiot, whereupon she apparently swooned”(只有傻冒才相信上帝),摘自http://hollowverse.com/julian-assange/

逃离棱镜项目对应者:
Edward Snowden,美国计算机专家,NSA前雇员,震惊世界的棱镜计划的披露者,迄今为止手头还有不少NSA监控项目的资料。911之后,联邦政府诱使惊恐的人民同意了爱国者法案,从此NSA开始了疯狂的监控行动,直到斯诺登在2013年6月将这一切大白于天下。现在斯诺登暂时在俄国避难。更多资料请看https://zh.wikipedia.org/wiki/%E7%88%B1%E5%BE%B7%E5%8D%8E%C2%B7%E6%96%AF%E8%AF%BA%E7%99%BBhttps://zh.wikipedia.org/wiki/%E6%A3%B1%E9%95%9C%E8%AE%A1%E5%88%92

棱镜事件爆发之后,不少美国作家和博客主人都开始不自觉的进行自我审查,参议院的议员对于NSA对他们的监听非常不满,EFF(https://en.wikipedia.org/wiki/Electronic_Frontier_Foundation)一直冲在前线对抗NSA的非法监控(NSA的秘密监控违背了美国宪法第四修正案:没有搜查证的情况下不得搜查公民的家,而秘密监控和个人信息收集的实质就是没有搜查证的搜查)

斯诺登爆出棱镜计划之后,互联网隐私和匿名才真正的进入到多数人的视线里,自由软件也是从此开始流行起来的,本幽灵就是自由软件发烧友。要不是大英雄斯诺登,NSA的疯狂监控还不知要等到何时才能被大部分人所知呢。

斯诺登自称是不可知论者,也很反感宗教:“I feel that religion, adopted purely, is ultimately representative of blindly making someone else’s beliefs your own.”(我认为如果你100%的接纳了宗教的话,你只是盲目的把一些人的信仰拿来当成你自己的信仰而已)摘自https://ffrf.org/news/day/dayitems/item/17978-edward-snowden

匿名和隐私保护是基本人权,这三位英雄一直在为了这两个基本人权而战,而诸位也看到了,他们三个都没有某些宗教爱好者鼓吹的“信仰”,但这完全不影响他们成为英雄。所谓的“能约束人,导人向善”的神,在这里没有位置。

三英雄不需要什么神,我也一样,诸位也一样!“教徒:啊,有人遭受灾难了,我会为他祈祷的;非有神论者:啊,有人遭受灾难了,我要为他做些什么,捐款?对了,还要告诉更多的人这条消息!”

移动端安全与匿名相关

现在智能手机越来越流行,但智能手机的安全和隐私保护一直都是绝大部分人的盲点,相关的研究也很少。考虑到有越来越多的人用手机翻墙,我就说一下关于智能手机的安全与隐私问题。

先指出智能手机与PC最大的不同之处:PC上你可以存储关键个人信息也可以不存储关键个人信息,而且应用软件绝对无权泄露你的个人信息和隐私(当然国产流氓是不会管这些的,所以不要用任何国产软件);
但智能手机上一定存有你的个人信息和隐私的:你的通讯记录,联系人,现在真实位置等是一定会有的,不少人还有网银等敏感信息。与PC相反,相当多的APP都会自动读取你的这些关键信息然后发送到远程服务器上,而且是不告知用户的。如果用户试图去进行设置以限制这些APP,很多APP就会罢工(尤其是国产APP)。

还有就是定位问题:对于PC,共匪查水表的最主要依据就是公网IP以及那些国产间谍软件了,其次就是社会工程学和关联分析(这与大数据有关,有空我会具体说明一下),PC本身是不会给共匪提供查水表的相关信息的。
但智能手机却可以被基站轻易定位,还有类似于google map之类的常用APP也是会提供你的具体位置的,而且这种APP定位时还结合了环境信息,比基站要精确不少(也就是说共匪查水表非常方便了)

对于天朝用户,还有个独有的问题:PC平台多数还是预装纯净系统的(或者技术流可以自己组装机器),而且硬件来源众多数量庞大,共匪想要设置后门一点也不现实,所以只要自己不装国产软件不随便下载不明软件就基本不会被监控;
但国行的智能手机系统基本上是被深度定制的,本身就预装了一大堆国产APP,而且完全有可能还存在着其他后门,即便你其他国产APP都不装,照样不安全。

在被监控的情况下,翻墙就是找死!

那么为了安全,第一件事就是把国产定制系统卸载重装了,然后什么国产APP都不要装!

有人大概会质疑我“无端不信任国产APP”,首先,PC端上那些国产货就都是流氓,证据够多了。PC端上是流氓,到移动端就老实了?没人会信吧!
然后再给出几个证据:
1,小米手机被指悄悄连接北京服务器:http://www.solidot.org/story?sid=40410
2,Sony Xperia 手機更新後出現神秘百度資料夾,資料自動連接中國伺服器:http://www.techbang.com/posts/20672-sony-xperia-infinite-resurrection-baidu-folders-automatic-data-linking-china-to-the-server
3,百度浏览器欺骗用户:https://twitter.com/firt/status/529835015316983808(大致翻译一下:故意排在最前面,而且自行添加“建议”一词)
4,微信电话本耍流氓:https://twitter.com/gehouhun/status/532425510215639040
这下应该相信了吧?

那么该换成什么呢?
关于替代品,类似微信的我倒是知道一个:telegram,https://telegram.org/,可以实现点对点加密通信,是个不错的选择,不过没有中文版。

而安全翻墙则推荐Orbot+前置代理(除了goagent之外的其他翻墙软件都能成为Orbot的前置代理),Orbot链接https://guardianproject.info/apps/orbot(注意Orbot实际上是一个整合,其中整合了匿名浏览器Orweb,匿名搜索引擎DuckDuckGo,安全聊天APPGibberbot,针对firefox的安全扩展以及自动设置走TOR环路的twitter客户端),教程链接https://guardianproject.info/howto/browsefreely/
还有一些安全的APP在这里:https://guardianproject.info/apps/

如何安全把真相带回墙内

这几天墙内有不少人因为支持香港和平占中行动被抓了,有些是公开举牌拍照,有些则只是转发相关信息(如汪龙,转了个贴就被寻衅滋事了)。
当然,共匪不可能抓走所有人,对于大部分带回真相的人还是删贴封号了事,但我要警告你们:当你们直接连接墙内网站时,你们的一举一动都被共匪监视着,看上去暂时没事,但哪天共匪心情不好想杀几只鸡给猴看时,你就很可能遭殃。

那么,应该如何保证自己的安全呢?

现在就概括一下:技术上,从注册开始用TOR(IE直接在网络设置里设置为SOCKS 127.0.0.1 9150 火狐和chrome先分别下载autoproxy和proxyswichysharp这两个扩展,扩展配置socks 127.0.0.1 9150,记住使用时不能关闭TORBROWSER)+前置代理(所有的VPN(不要购买墙内vpn公司的产品),无界,自由门,shadowsocks(建议寻找免费VPS),赛风都可以作为TOR的前置代理,无界设置:HTTP/HTTPS 127.0.0.1 9666 自由门HTTP/HTTPS 127.0.0.1 8580 shadowsocks SOCKS5 127.0.0.1 1080 赛风HTTP/HTTPS代理在 127.0.0.1:8080和一个本地SOCKS代理在 127.0.0.1:1080  注意GAE类翻墙工具goagent,wallproxy及枫叶香蕉等无法成为TOR的前置代理)

社会工程上,不能把任何个人信息透露给网站(尤其是手机号,此处推荐几个虚拟手机工具:voxox,pinger,text+,textnow,sky(付费),Google voice,talktone,说实在的我就试过网页版pinger,其他几个需要先将软件装到自己的手机上,大家自己测试吧),言谈中决不能透露出任何具体个人信息(例如自己的姓名(尤其是不要把姓名当作用户名),所在城市,家庭住址,具体年龄,身边有些什么人,在哪做什么工作,自己经历了的很具体的事,自己附近发生的事),这个传递真相的帐号绝对不能与墙内其他能追踪到真实身份的帐号有着任何相似之处(用户名,密码以及其他个性化设置,最好不要做任何个性化设置),不要让这个帐号被身边知道你真实身份的人知道(除非那人口风很严)。

以上都是PC端,下面隆重介绍android匿名利器:TOR ORBOT:https://guardianproject.info/apps/orbot/(墙内无法直接连接,加前置代理),诸位自己慢慢研究吧,我是对移动端采取完全不信任的态度,因为迄今为止移动端在安全领域成熟度远不如PC端,而且墙内移动硬件有后门的可能性很大(PC不同,PC硬件来源多,数量庞大,要设置后门成本实在太高,共匪没那么多钱,不过还是建议去官网下载硬件驱动,笔记本放弃预装系统改用正版纯净系统)

最后,TOR官网:
https://www.torproject.org/(英文,但来到这儿的诸位应该能找到下载链接)
无界官网:http://www.wujieliulan.com/download.php
自由门:http://dongtaiwang.com/loc/download.php
赛风:https://s3.amazonaws.com/5nkt-sj7x-cc2h/zh.html
免费VPN:http://www.vpnbook.com/freevpn  http://www.vpngate.net/cn/  http://www.nlfreevpn.com/
最后再多句嘴:一定要学好英语,否则连TOR官网上说了些什么都不知道,还怎么匿名?

安全翻墙方法

一,翻墙工具选择:TOR+前置代理,我先介绍TOR的用法(最新版的TOR BROWSER),再来介绍哪些翻墙软件可以作为TOR的前置代理以及如何配置前置代理。

首先,从https://www.torproject.org/download/download-easy.html.en#windows 下载TOR BROWSER(也有mac和linux版,我只介绍windows版的用法,注意下载前把download按钮下的语言选成”简体字“)。

下载完成后运行下下来的那个EXE,然后就会跳出一个安装界面,一路next即可,注意最后一步请选择运行Tor Browser;运行之后,看界面,上面是直接连接,下面是选择继续配置,那墙内屁民们肯定要选择继续配置了,墙内无法直接连接到TOR节点上。

然后跳出选择界面:是否使用代理,如果使用VPN当前置代理请选择否,其他请选择是(不同翻墙软件配置方法不同,我会在下面提到如何进行设置)

下一步,请选择否(因为我们是用前置代理的)

然后,开始连接,完成后会自动跳出TOR BROWSER界面,一个绿色的洋葱头,OK了!不过最新版TOR浏览器有BUG,很容易在登录GMAIL时崩溃外加无法自行编辑删除证书,那我们可以选择让chrome或自己的firefox(翻墙了就放弃IE吧)走TOR代理,首先chrome在扩展商店下载ProxySwitchySharp (firefox下载autoproxy),然后打开设置界面,新建名为TOR的情景模式,手动配置SOCKS代理 127.0.0.1端口9150

下面开始说明哪些翻墙软件可以做TOR的前置代理已经如何设置:
1,所有的VPN(不要购买墙内vpn公司的产品)无需任何设置
2,无界,设置HTTP/HTTPS 127.0.0.1 9666
3,自由门,设置HTTP/HTTPS 127.0.0.1 8580
4,赛风,设置HTTP/HTTPS 127.0.0.1:8080或SOCKS5 127.0.0.1:1080
5,shadowsocks,设置SOCKS5 127.0.0.1 1080

注意事项:

1,如果想用VPN,最好寻找免费VPN:
MacroVPN, Prox Network, Free UK VPN ,Tenacy,  Best Free VPN ,SecurityKiss (适用于 Windows),ProXPN (适用于 Windows 和 Mac),Hotspot Shield (适用于 Windows 和 Mac),ExpatShield (适用于 Windows),Loki VPN Client (适用于 Windows),OpenVPN (适用于 Windows、Mac、Linux、iOs、Android、等等),RaptorVPN (适用于 Windows 和 Mac),Ming加速器安装器,一键VPN(请自行google,一下子就能找到)推荐一下VPNGate:http://www.vpngate.net/cn/ (上面有介绍和下载,还有一些其他VPN连接方式,大家可以看看),一旦涉及到付费,你就很容易被追踪。

2,运行一次TOR后,请打开torrc文件(打开Tor Browser文件夹,在Browser/TorBrowser/Data/Tor目录下),在其中添加以下语句:DirReqStatistics 0
ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw}
HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C
StrictNodes 1
这是为了排除蜜罐节点,最大限度保证安全,但这同时带来了一个坏消息:香港和澳门以及台湾想要帮助大陆屁民翻墙的朋友们,你们不用研究如何架设TOR中继了(TOR cloud是另一回事,不受影响),因为我为了安全已经把你们那里的节点全都排除了,为了防止碰到共匪的蜜罐,这是没有办法的事。

3,请让天朝数字证书滚出去
4,请让PC里所有国产软件滚出去。

5,至少禁止flash插件和java插件!

因为这两个插件很容易被黑客利用植入病毒木马,最好禁止所有插件运行(chrome:打开设置,找到隐私设置,打开,选择禁用所有插件或者点击”停用单个插件“再禁用其中的flash和java插件;firefox打开附加组件,切换到插件一栏,再禁用插件)PS:很多在线视频依赖flash插件,大家请自行决定是否暂时启用flash插件。

还有,禁止第三方cookie,如果对安全要求极高请禁止所有cookie。

还需要注意user-agent,firefox和chrome的user-agent会透露你的操作系统和所使用的浏览器,可以进行伪造:
Firefox:在地址栏输入 about:config 敲回车,打开首选项界面,点右键,新建一个字符串类型的”首选项”,该首选项的名称必须是 general.useragent.override ,该首选项的值就是新的 User Agent,伪造参考:Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0  chrome:在 Chrome 的启动参数中加上  –user-agent=”XXX”,XXX 就是新的 User Agent。伪造参考:Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2049.0 Safari/537.36。不要用IE了。

firefox可以考虑安装secretagent扩展快速伪装user-agent,chrome有User-Agent Switcher for Chrome扩展。

6,请安装保护隐私和增强安全性的扩展程序:
firefox是HTTPSEverywhere和NoScript,chrome是HTTPSEverywhere和ScriptSafe,两者都可用disconnect和privacybadger还有ghostly再加上Adblock Plus
7,要最大限度保证隐私可启用隐私浏览模式。

二,社会工程学防范(俗称人肉搜索):

不能把任何个人信息透露给网站(尤其是手机号,此处推荐几个虚拟手机工具:voxox,pinger,text+,textnow,sky(付费),Google voice,talktone,说实在的我就试过网页版pinger,其他几个需要先将软件装到自己的手机上,大家自己测试吧)

言谈中决不能透露出任何具体个人信息(例如自己的姓名(尤其是不要把姓名当作用户名),所在城市,家庭住址,具体年龄,身边有些什么人,在哪做什么工作,自己经历了的很具体的事,自己附近发生的事),这个传递真相的帐号绝对不能与墙内其他能追踪到真实身份的帐号有着任何相似之处(用户名,密码以及其他个性化设置,最好不要做任何个性化设置),不要让这个帐号被身边知道你真实身份的人知道(除非那人口风很严)。

以及请保证自己的电脑没人敢动,没人敢在你进行操作时凑过来看。

不让国产流氓软件作恶的终极手段:虚拟机

(部分资料引用自编程随想博客)

我介绍过国产软件的流氓事迹,但有些流氓软件(QQ,迅雷等)不大能找到合适的替代品,怎么办呢?

用虚拟机!先介绍一下虚拟机:虚拟机(Virtual Machine),在计算机科学中的体系结构里,是指一种特殊的软件,可以在计算机平台和终端用户之间创建一种环境,而终端用户则是基于这个软件所创建的环境来操作软件。虚拟机最初由波佩克与戈德堡定义为有效的、孤立的真实机器的副本。当前包括跟任何真实机器无关的虚拟机用Java编写的程序可以通过对Java运行环境(JRE)软件发命令获得服务,取得期望的结果。透过提供这种服务,JRE起到了虚拟机的作用。程序不必为特定的操作系统或硬件编写。
虚拟机根据它们的运用和与直接机器的相关性分为两大类。系统虚拟机提供一个可以运行完整操作系统的完整系统平台。相反,程序虚拟机为运行单个计算机程序设计,这意谓它支持单个进程。虚拟机的一个本质特点是运行在虚拟机上的软件被局限在虚拟机提供的资源里——它不能超出虚拟世界。

简单来说,虚拟机就是一种软件,它在你的PC中再虚拟出一台PC,而虚拟的PC与真正的PC在功能上没什么差别(单机游戏除外)。
虚拟出的PC的操作系统被称为guestOS,而真实PC的操作系统被称为hostOS。hostOS可以影响到guestOS,但guestOS无论如何都影响不到hostOS,事实上guestOS连hostOS是什么都不知道,guestOS内的软件就更不可能知道hostOS的任何情况了。当把QQ迅雷这种流氓软件扔到干净的虚拟机里之后,他们不管怎么扫描硬盘都无法探测到你在hostOS里放置的隐私了。

虚拟机的功能:◇同时运行多个操作系统
这是最重要的一个特性。
在没有虚拟机的年代,电脑一次只能运行一个操作系统。有了虚拟机之后,一台电脑可以同时运行 N 个不同的操作系统。N 的大小取决于电脑的CPU 是否足够强劲、物理内存是否够大、硬盘是否够大。很多虚拟机软件具有快照(Snapshot)的功能。这个功能比较重要,俺说详细点。
首先,快照是针对某个虚拟系统而言的。当你为某个虚拟系统创建快照,则虚拟机软件会把这个虚拟系统的所有信息(包括内存状态、硬盘状态、等等)都保存起来。当你需要的时候,可以再切换到这个快照。一旦切换到某个快照,虚拟系统就回到当初创建快照的那个状态。
大多数虚拟机软件都支持树状结构的快照,也就是说,你可以在某个快照之上再创建快照。这就好比大伙儿都熟悉的文件目录结构——可以在某个目录内再创建目录,最终形成一个树形结构。
◇对CPU的虚拟
通常而言,只有IT技术人员(尤其是程序猿)会关心虚拟机对 CPU 的虚拟。如果你不是 IT 技术人员,请跳过本小节,看下一个小节——”对内存的虚拟”
CPU是硬件系统的心脏。对虚拟机来说,最重要的功能就是虚拟 CPU 了。对 CPU 的虚拟包括两种:
1. 虚拟同种类型的CPU
2. 虚拟异种类型的CPU

第一种是比较常见的——大部分虚拟机软件都只能模拟同种类型的 CPU。

第二种类型的虚拟机就比较牛B了。比如有些虚拟软件虽然安装在 x86 的硬件系统上,但居然可以模拟各式各样的其它芯片(比如:ARM、SPARC、MIPS、PowerPC、等等)。◇对内存的虚拟

对内存的虚拟也属于常见功能,每个虚拟机软件都具备此功能。
对用户来说,你只需关心:要分配给虚拟系统多大的内存。具体要分配多大的内存,取决于两个因素:
1. 被虚拟的操作系统是什么类型
2. 这个虚拟系统用来干嘛
举几个例子:
假如要安装一个虚拟的 DOS 来玩一些古老的 DOS 游戏,那只需要为它分配几个 MB 的内存;反之,如果要安装一个虚拟的 Linux 用来跑大型的数据库服务,那可能就需要分配几个 GB 的内存。
当然啦,分配给每一个 Guest OS 的内存都不能超过 Host OS 的物理内存大小;并且,同时运行的 Guest OS 的内存总和也不能超过 Host OS 的物理内存大小。
◇对硬盘的虚拟
说完 CPU 和内存,再来说说硬盘。
常见的虚拟机软件可以把一个大文件虚拟成一个硬盘,该分区上的所有数据(包括文件、目录、等)、其实都存储在这个大文件内部。
因为文件是很方便COPY的,所以用一个大文件来虚拟一个硬盘会带来如下的很多好处。
1. 备份
可以把安装好的虚拟系统备份起来。万一你的电脑坏了,换了新电脑,直接用备份的虚拟机拷贝回去,省得再重装系统。
2. 共享
比如公司里某个测试人员搭建了一个虚拟系统用来进行某某软件的测试。那么,其他测试人员只需要把这个虚拟系统的硬盘文件COPY过去,不需要再重新搭建一次。
◇对网卡的虚拟
1. Bridge 模式
在这种模式下,虚拟系统的网卡跟你物理系统的网卡几乎一样。
外部网络对虚拟系统的网卡是可见的;虚拟系统的网卡对外部网络也是可见的。
2. NAT 模式
外部网络对虚拟系统的网卡是可见的;虚拟系统的网卡对外部网络是不可见的。
换句话说,NAT 模式可以起到单向防火墙的效果。这种模式用得最多。
3. Host-Only 模式
外部网络对虚拟系统的网卡是不可见的;虚拟系统的网卡对外部网络也是不可见的。
这种模式相当于双向防火墙的效果。相对而言,这种模式用得较少。当你想搭建一个跟外界隔离的虚拟内部网络,可以使用这种模式。◇对光驱的虚拟
虚拟机软件通常可以用两种方式来虚拟光驱:
1. 把虚拟光驱直接映射到你电脑的物理光驱
2. 把虚拟光驱映射到某个光盘镜像(比如 ISO 文件)
第二种模式用得比较多。如果你习惯了这种模式,基本上就不再需要使用传统的光盘了(省去了买盘刻盘的麻烦)。
比方说要在虚拟系统中安装 Office,你只需要把虚拟系统的光驱指向 Office 的光盘镜像文件。然后,你在虚拟系统里面就可以看到这张光盘了。
虚拟机的应用场景:★运行各种系统的软件
虚拟机最主要的一个功能就是:可以在一台电脑上运行不同的操作系统。不同的操作系统,差异是很大滴。操作系统的差异性导致了很多专有软件——有些软件只有 Windows 才有,有些只有 Mac OS 才有,还有些软件只有 Linux 才有。
举个例子:
很多苹果的粉丝发现苹果系统上翻墙软件奇缺(大部分翻墙软件,比如赛风、自.由.门、无.界,都是 Windows 软件)。便于系统备份
既然虚拟机有利于”硬件迁移”,自然也就有利于”系统备份”。
如今笔记本电脑大行其道,但也带来一个问题:容易弄丢或者容易摔坏。一旦弄丢或摔坏,你免不了又要装系统、装软件。如果你平时就使用虚拟机工作,并且记得把虚拟机镜像备份出来(比如拷贝到另外一个移动硬盘)。一旦失窃或摔坏,恢复起来就很省力。
◇便于灾难恢复
每当装好虚拟系统及常用的几款软件之后,建议你先做一个快照(这个快照对应的是干净的、正常的系统)。以后你在使用的过程中,万一发生了误操作(比如误删了系统文件),直接回退到这个干净的快照,系统自然就恢复了;如果系统莫名其妙坏了、无法启动了,也只需”回退到干净的快照”,即可。◇无需清理系统垃圾
貌似很多网友都会在自己的 Windows 系统上安装一些系统优化的软件。这些软件的一个主要功能是”清理系统垃圾”。
但是像俺这样,主要工作都在虚拟机内完成的人,就没必要”清理系统垃圾”。俺使用的虚拟机,每隔几天就回退到前一个干净的快照。一旦回退快照,系统垃圾自然就没了。
◇使用快照的注意事项
刚才连续举了两种使用快照的场景。顺便说一下”注意事项”。
假如把虚拟机回退到某一个快照(以下称”快照A”),那么从”快照A”之后的所有文件系统的变化(包括新建的文件、修改的文件、删除的文件)都会被复原。
如果你像俺这样,定期回退到前一个干净的快照,有一点务必提醒大家:需要长期保留的文件(尤其是一些个人数据),不要放到虚拟机里。
举个例子:
假如你在虚拟机内用 MSN/Skype 聊天,它会在本地保存聊天记录。一旦你把虚拟机的快照回退,刚刚保存的聊天记录就没了。
解决的办法:
很多虚拟机软件都支持 Host OS 到 Guest OS 的目录映射——把真实系统的某个目录映射到虚拟系统中。也就是说,你在虚拟机中看到的这个目录,其实是存在于外部的真实系统。
通过这个功能,你可以把需要长期保存的文件,存放到这个”映射目录”中。就不会受”快照回退”的影响。俺在后续博文会介绍某几个虚拟机软件的使用教程,到时候会提到如何建立这种目录映射。◇防范流氓软件偷窥
除了刚才提到的”防范黑客”,虚拟机还可以用来保护隐私。
“比如臭名昭著的 QQ 会偷偷扫描你的硬盘,窥探你的隐私。由于 QQ 的用户群太大了,你不用它还不行(像俺这种从来不用 QQ 的天朝网民,估计不到1%)。
咋办捏?
办法之一是把 QQ 安装到虚拟机系统,然后把你个人的隐私(比如裸照)放到外部的真实系统。这样一来,即使 QQ 偷窥,也看不到你的隐私。
这招不光能用来对付”疼逊”,也可以用来对付其它流氓软件(比如”逊雷”)。
◇用于多人共用的电脑
有些网友的电脑会被家人共用——你的MM或老婆可能会拿你的电脑上网;如果你有个已经上学的小孩,他/她可能也会拿你的电脑上网。当多人共用你的电脑,隐私问题就浮现出来了。
举个例子:
假如你上黄色网站,多半不希望让家人知道。不幸的是,你的家人因为用了你的浏览器,可能无意中会看到你的浏览历史……一旦发生这种不幸,轻则名誉受损;重则引发家庭纠纷。
某些网友会建议说:每次上网后,清理一下浏览器历史记录;还有的同学会建议说:使用浏览器的隐私模式。
但是俺觉得,这些招数都不够彻底。以”隐私模式”为例。虽然”隐私模式”不会在浏览器中留下上网的历史痕迹。但是!如果你下载某个黄色视频或黄色图片在本地观看,那”隐私模式”可就帮不了你喽。由此可见,要想彻底避免隐私外泄,还是得用虚拟机。具体做法如下:
装一个虚拟机专门用来上”限制级的网站”。一旦下载了限制级的内容,也只保存在这个虚拟机内。通常来说,你的家人多半不熟悉 IT 技术,可能连”虚拟机”都没听说。所以,你的浏览历史,以及你保存下来的限制级内容,自然不易被发现 🙂
◇用于隐匿自己的IP
这种场景比较少见。一般来说,只有像俺这种”反党人士”,才有这种需求。
举个例子:
你想通过 QQ 群发一些”不和谐的言论”。但是大伙儿应该都知道,”疼逊”是朝廷的走狗,他会帮朝廷追查”反动言论的始作俑者”。因为 QQ 服务器会记录每一个 QQ 用户的 IP 地址。一旦发现某个用户发送煽动性言论,官府的捕头直接根据 IP 地址就可以定位到你的位置。
那该咋办捏?
某些天真的网友会想,如果为 QQ 设置代理,让 QQ 客户端通过代理联网;那么 QQ 服务器看到的就是代理的 IP 而不是本人的 IP。
但是捏,这种做法不一定保险。即使你给 QQ 客户端设置代理,说不定 QQ 还是会偷偷地、(不经过代理)直接连接 QQ 服务器。如果是这样的话,那你的真实 IP 还是会暴露。
正宗的做法如下:
装2个虚拟机系统(简称 A 系统 和 B 系统)。A 系统装翻墙软件,配置双网卡,分别用 NAT 模式和 Host-Only 模式。B 系统装 QQ,单网卡,配置为 Host-Only 模式。然后配置 QQ 的代理,让 QQ 的代理指向 A 系统的翻墙软件。由于 B 系统的网卡是 Host-Only 模式,QQ 客户端即使想偷偷地直连服务器,也办不到。所以,QQ 只能老老实实地通过 A 系统中转。由于 A 系统的中转是通过翻墙代理,最终 QQ 服务器看到的是翻墙代理的 IP,看不到你本人的真实 IP。

那我们该选择什么虚拟机软件呢?在此我向大家推荐一款免费开源的虚拟机软件:VirtualBox (官网:https://www.virtualbox.org/
教程:1.先下载VirtualBox最新版本
2.安装。这个步骤很简单,如果中途弹出安装驱动的提示请选择“继续安装”。部分用户安装完以后需要重启
创建虚拟机
首先运行VirtualBox,然后单击左上角的“新建”
这时候来到了“新建虚拟电脑向导”,直接单击“下一步”
这一步我们要为虚拟机命名,同时选择要安装的系统。正确选择要安装的系统可以让VirtualBox帮助你配置合适的硬件环境
这里选择为虚拟机分配内存的数量。如果你的内存小于512MB的话就保持默认配置,如果在512MB与1G之间可以设置为256MB,如果是1G以上的话可以设置384MB或者更多。
接着开始创建硬盘,选择“Create new hard disk”以后按“下一步”
这时我们来到了“新建虚拟硬盘向导”,直接单击“下一步”
这里我们需要选择创建的磁盘类型。如果你的硬盘不是大的用不完的话请选择“动态扩展”
这里我们要选择存放硬盘镜像的地点以及硬盘镜像的大小。如果你的虚拟机只是用来打包软件的话那么默认的10G空间足够用了
最后确认硬盘信息,点击“完成”
再确认虚拟电脑的信息,点击“完成”
这时我们已经成功的创建了一个虚拟机了,接下来我们要开始配置这个虚拟机
安装操作系统
选择刚才创建的虚拟机,然后单击上方的“开始”
这时会弹出“首次运行向导”,单击“下一步”
这里选择要通过什么介质安装。如果你要通过光盘安装的话直接在“介质位置”选择你光盘的盘符就行了。这里我们使用光盘镜像安装,选择下面的“虚拟介质”,然后单击右边的文件夹图标
这时我们来到了“虚拟介质管理器”,单击上方的“注册”
选择光盘镜像所在的位置,然后单击“打开”
选择刚才添加的光盘镜像,然后单击“选择”
在这里单击“下一步”继续
最后确认信息,然后单击“完成”
接着我们将进入安装系统的步骤。和正常安装的方法一样,这里不再多做说明了。
安装驱动/配置文件共享
当我们安装好系统就要为其安装驱动了。选择虚拟机窗口上方的“设备”-“安装增强功能”
这时在虚拟机内会弹出安装向导。如果没有弹出的话请运行虚拟电脑光驱里的“VBoxWindowsAdditions.exe”文件
一路下一步,最后会提示重启虚拟机,重启一下驱动就安装好了。
接下来配置文件共享,方便实体机和虚拟机进行文件交换。
右击虚拟机右下角的文件夹图标
弹出“数据空间”窗口。选择右侧文件夹带加号的按钮
这时弹出“添加数据空间”窗口,选择“数据空间位置”-“其他”,然后选择在本地要共享的目录。如果要让这个共享一直保持的话记得要勾选“固定分配”,完成后点“OK”
这里再点OK
接下来打开虚拟机中的网上邻居,选择“添加一个网上邻居”
这时来到“添加网上邻居向导”窗口,单击“下一步”
这里继续单击下一步
在这里单击“浏览”
如图所示选择”VirtualBox Shared Folders”网络下你共享的文件夹,然后单击“确定”
这里我们继续单击“下一步”
给共享的空间命个名吧,完成后单击“下一步”
单击“完成”,大功告成
我们以后要和实体机交换文件的时候在实体机中只需把文件拖到共享的文件夹里即可。在虚拟机中只需打开网上邻居将文件拖进共享的文件夹就可以了。如果要更方面一点的方法的话直接在“我的电脑”里选择“映射网络驱动器”,讲共享的文件夹映射成一个磁盘就行了。
至此,我们的虚拟机就完全的配置好了,可以和正常电脑一样的使用了。
进行网络设置:选择bridge模式或nat模式可以直接联网(需要hostOS联网)

移动端可靠APP推荐

我推荐过几次优秀软件,都是针对PC平台的,这次就看看移动端的可靠APP都有哪些吧:

Android:
1,Orbot:Tor Browser的Android版,实际上是一个匿名套装,整合了Orweb和DuckDuckgo等匿名浏览所需APP,可以设置让系统中其他APP走Tor网络,墙内可以通过obfs网桥连接或者在前置代理的帮助下连接。官网https://guardianproject.info/apps/orbot 下载链接https://guardianproject.info/releases/orbot-latest.apk 教程https://guardianproject.info/howto/browsefreely/ ,支持中文

2,ChatSecure:被整合在Orbot中,也可以单独安装,可以实现点对点加密即时通信(IM)。官网https://guardianproject.info/apps/chatsecure 下载链接https://guardianproject.info/releases/chatsecure-latest.apk 教程https://guardianproject.info/howto/chatsecurely/ ,支持中文

3,Ostel:实现对语音通信的端到端加密,官网https://ostel.co/about 下载链接https://play.google.com/store/apps/details?id=com.csipsimple 教程https://ostel.co/faq

4,F-Droid:这是一个APP 商店,他最大的特点就是里面的APP都是自由软件(开源并且任何人都可随意修改分享)。官网https://f-droid.org/ 下载链接https://f-droid.org/FDroid.apk

5,K-9 Mail:邮件客户端,支持PGP(端到端邮件加密)。官网https://code.google.com/p/k9mail/ 下载链接https://code.google.com/p/k9mail/downloads/list

6,TextSecure:实现加密短信通讯,官网https://whispersystems.org/ ,下载链接https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms

7,ObscuraCa:拍照APP,可以对拍下的照片进行处理以抹去拍摄地点等泄漏个人身份的信息,还可以模糊照片上的人,官网https://guardianproject.info/apps/obscuracam/ ,下载链接https://play.google.com/store/apps/details?id=org.witness.sscphase1&feature=search_result

8,GPG for Android:实现邮件加密,官网https://guardianproject.info/code/gnupg/ 下载链接https://guardianproject.info/releases/

9,ownCloud:云存储平台,官网https://owncloud.org/ ,下载链接https://play.google.com/store/apps/details?id=com.owncloud.android

10,PasswdSafe:密码管理,官网http://sourceforge.net/p/passwdsafe/wiki/Home/ ,下载链接https://play.google.com/store/apps/details?id=com.jefftharris.passwdsafe

11,firefox:浏览器,不用多废话了,官网https://www.mozilla.org/en-US/firefox/partners/#android 下载链接https://play.google.com/store/apps/details?id=org.mozilla.firefox&referrer=utm_source%3Dmozilla%26utm_medium%3DReferral%26utm_campaign%3Dmozilla-org

12,telegram:类似于微信,端到端加密,官网https://telegram.org/ 下载链接https://play.google.com/store/apps/details?id=org.telegram.messenger

以上都是自由软件。

13,Advanced Permission Manager:控制Android APP权限(很重要,如果APP能够读取到你的通讯录等关键信息的话,你就等于卖给这APP了),下载链接https://play.google.com/store/apps/details?id=com.gmail.heagoo.pmaster&hl=en

14,Autorun Manager:禁止APP自动启动,下载链接https://play.google.com/store/apps/details?id=com.gmail.heagoo.autorun&hl=en

IOS:
1,前面提到的ChatSecure有ios版,下载链接https://itunes.apple.com/us/app/chatsecure-encrypted-secure/id464200063?mt=8

2,Onion Browser:Tor Browser的ios版,官网https://mike.tig.as/onionbrowser/ 下载链接https://itunes.apple.com/us/app/onion-browser/id519296448?mt=8

3,Ostel也有ios版,下载链接https://itunes.apple.com/app/acrobits-softphone-sip-phone/id314192799

4,Telegram有ios版,下载链接https://telegram.org/dl/ios

最后再强调一次,不要安装国产APP!(或者如果实在没办法,就限制权限,不要让它们读到通讯录这些信息)

如何防止黑客入侵[3]:如何构造安全的口令/密码

★不要共用口令/密码

俺发现有相当多的同学喜欢靠一个口令包打天下。这是相当相当危险的事情。同一个口令,用的场合越多,则泄密的危险越大。而一旦泄露,你的安全防线就会全面崩溃。
所以,今天要讲的头一个要点,就是绝对不要在所有(大多数)场合,使用同一个口令。

★密码的分级机制

由于共用口令存在很大的风险,比较稳妥的办法就是——每一个场合仅使用一个密码。但是很多人会抱怨说:这样会很繁琐,增加了很多的麻烦。那如何才能做到既安全,又不太麻烦捏?这就要引入密码的分级机制。
根据安全圈内一个人所共知的常识:越安全的措施,通常也就越麻烦,成本也高;反之亦然。另外,根据二八原理,非常重要口令毕竟只占少数。所以,就像电影要有分级机制一样,你的密码/口令也要引入分级的概念。通过分级机制,对大多数不太重要的口令,可以采取简化的安全措施;而对少数重要的口令,采取高度安全的措施。
下面,就来介绍一下,如何对不同的口令,进行分类。

◇第1级:不重要的口令

所谓不重要的口令,就是说万一被盗了或者忘记了,对你没啥损失。
比如,俺经常碰到一些土鳖的论坛,只允许注册会员从上面下载附件。因此俺就经常临时注册一个账号,然后登录上去下载东西。这类账号,基本上都属于一次性的(用完即扔),所以重要程度很低。
对于那些不重要的口令,基本上不用考虑太多安全性的因素。随便设置一个即可。

◇第2级:重要但少用的口令

对于重要的口令,还要根据其使用的频繁程度,再区别对待。有些口令虽然重要,但是使用的频度很低。由于这类口令很少使用,所以设置得麻烦一些,问题也不大。
比如俺管理的一些研发的服务器(比如源代码服务器),其重要程度非常高,但是平常基本无需登录。

◇第3级:重要且频繁使用的口令

最后这类口令,既重要,又经常用。所以,设置这类口令就比较讲究。要同时兼顾安全性和易用性。
比如自己日常使用的操作系统用户密码,就属于此类。

★一些反面教材——脆弱的密码举例

说完了分级机制。接下来俺先列举一些反面教材,让大伙儿看看,啥样的口令算是脆弱的?(顺便说一下:2011年底,国内各大网站纷纷被脱库,大量用户口令侧漏。俺专门写了一篇博文,分析国内用户的口令习惯)

◇口令和用户名一样

无需多说,这种情形的口令,非常脆弱。

◇口令是一串简单数字

在上一个帖子,俺举了RockYou网站用户数据被盗的案例。在该网站3200万用户中,最受欢迎的十大弱智口令分别是:
1. 123456
2. 12345
3. 123456789
4. password
5. iloveyou
6. princess
7. rockyou
8. 1234567
9. 12345678
10. abc123

从这TOP 10的排名可以看出,有一半是采用连续数字。所以,用连续的数字串(包括顺序和逆序)作密码,也是很愚昧滴。

◇口令太短

如果你的口令小于6个字符,是很容易被暴力破解滴。毕竟,小于6个字符的所有组合,也没多少个。对专门穷举密码程序来说,那简直是小菜一碟。

◇用英文单词作口令

用单个的英文单词作口令,也很容易被破解。毕竟,常用的英文单词,也就千把个;算上冷僻的,也就几万个。
在许多年以前,就有黑客专门收集整理了英文单词的列表(称之为“口令字典”)。而且这个字典是根据单词的使用频度进行排序。有了这种密码破解字典,密码破解程序就可以轻易猜解出那些使用单个英文单词的密码。

◇用日期作口令

有些同学希望用某个具有特殊意义的日期(比如:生日、结婚纪念日、等)作为口令。要知道这种伎俩也是不灵滴。因为常见的日期,大都分布在最近100年的范围内。所以充其量,可能的个数也就大约是365*100个。即便把不同的日期表示格式考虑进去,也多不了几倍。在这个数量级上,对于暴力破解工具而言,还是小菜一碟。

◇其它的烂口令

上述列举的这几种情况,大伙儿一定要避免。另外,你还可以去围观一下某老外整理的一个滥口令大全(这老外真有耐心)。提醒一下:这个列表是根据欧美用户统计的,未必适合中国的国情。

★如何构造复杂的密码?

前面已经说了:口令太简单,容易被破解。但是太复杂的话,万一自己也忘了,那可就完蛋了。所以,很多网友都纠结于口令到底该复杂到什么程度。俺的经验是:口令要做到对自己简单,对别人复杂。
下面就来介绍俺在这方面的经验。

◇用多个单词构成词组

前面提到,如果用单个英文单词作密码,容易遭受字典攻击。为了避免字典攻击,可以考虑由2-5个英文单词构成密码。如果你英语不灵光或你比较习惯中文,也可以考虑用2-5个汉字的拼音来构成密码。

优点
由于能显著增加密码长度,可以抗击暴力破解。
缺点
有可能需要改变你记忆密码的习惯。
口令中仅包含字母,复杂度不够高。

◇插入特殊字符

刚才提到了用多个单词或汉字拼音构造密码。为了让密码的强度再好一些,还可以在单词或汉字拼音之间,插入一些特殊字符。
最常见的是插入空格。当然,你也可以考虑插入其它字符(比如:下划线、减号、斜杠、井号、星号、等)。
通常进行暴力破解时,为了加快破解进度,都只针对字母和数字进行暴力破解。如果你的口令中含有特殊字符,会大大提高攻击者的难度。

优点
由于口令包含较多特殊符号,复杂度大大提高。
缺点
很多特殊字符的输入,要依赖于SHIFT键辅助。对于键盘指法不流畅的同学,可能会影响你输入密码时的击键速度,给偷窥者留下可乘之机。

◇字符变换

所谓的字符变换,就是用形状类似的字母和数字进行相互替换,通过这种变换,可以规避前面提到的基于口令字典的攻击。
常见的变换有如下几种:
字母o 和 数字0
字母l 和 数字1
字母z 和 数字2
字母s 和 符号$
字母g 和 数字9
字母q 和 数字9
字母a 和 符号@
字母b 和 数字6
字母x 和 符号*

假设俺想用单词 program 作为口令,那么经过上述的变换之后,就成为 pr09r@m 很明显,变换之后的口令同时具有字母、数字、符号。强度相当好 🙂
如果你有兴趣,还可以对俺给出的这几个变换,进行扩展,以满足自己的习惯和喜好。

优点
不用改变你原先的记忆习惯。
由于口令包含较多特殊符号,复杂度大大提高。
缺点
如果你想好的口令中,恰巧所有字母都没有对应的变换,那就比较不爽啦。

◇键位平移

这个招数也比较简单,就是在进行键盘输入时,把手向右平移一个键位。通常咱们在盲打时,两只手的食指分别对着字母F和字母J。平移之后,则食指对着G和K。
假设俺想用单词 program 作为口令,那么经过上述的变换之后,就成为 [tphts, 经过这种输入法,口令已经面目全非。但是对你自己来说,并不难记。

优点
不用改变你原先的记忆习惯。
口令看起来完全没规律。
缺点
依赖于QWERT的键盘布局。万一哪天你想在非QWERT键盘(比如某些手机键盘)上输入口令,那你就歇菜了。

◇藏头诗

在某些古代小说的情节中,经常可以看见藏头诗的桥段。藏头诗的点子,也可以借用来构造安全口令。
为了用此招数,你先要想好一句令你印象深刻的话。这话可以是中文,也可以是英文、法文、火星文……反正只要是你熟悉的语言既可。最好这句话的字数(单词数)在6-20之间。然后你把这句话每一个单词的头一个字母取出来,组合成一个口令。如果是中文的话,就把每一个字的拼音的声母取出,组合成口令。
假设俺想好的话是:“只有偏执狂才能生存”。那么用拼音的声母表示就成为:zypzkcnsc

优点
不用改变你原先的记忆习惯。
口令看起来完全没规律。
缺点
口令中仅包含字母,复杂度不够高。
如果句子中的字数(单词数)不够多,效果就不够好。
对于港台的同学,由于没学过汉语拼音,只好用英文的藏头诗了。好在港台的英语教育通常比大陆好,应该关系不大 🙂

◇巧用SHIFT键

在构造口令的时候,适当地组合一下SHIFT键,有时也可以达到不错的效果。假如你的口令中,有部分字符是数字,那当你输入口令时,按住SHIFT键会让这些数字字符变为特殊符号。

优点
不用改变你原先的记忆习惯。
由于口令包含较多特殊符号,复杂度大大提高。
缺点
万一你原先的口令仅有字母,没有数字,则密码的强度会稍微打折扣。
由于要依赖于SHIFT键进行切换,会影响你输入密码的击键速度。这会给偷窥者留下可乘之机。

◇运用数学等式

还有一种又好记,看起来又复杂的密码构造方式——运用数学等式。
比如,俺的密码可以设计成:7+8=15
虽然只有6个字符,但是由于包含了符号,已经有一定的强度。如果你觉得6字符太少,还可以很容易增加,比如改为:110+9=119
如果你觉得还不够复杂,还可以搞得再变态一点——把某个数用英文表示。比如:two+7=nine

优点
密码同时包含了字母、数字、符号。标准的高复杂度!
缺点
需要改变你记忆密码的习惯。
一旦你的口令被别人看到,别人很容易就可以发现你构造口令的规律。

◇利用散列值(哈希值)

最后,来说一种俺的看家本领——利用散列值构造口令。
不熟悉IT技术的同学,可能不了解“散列值”是啥玩意儿。俺不想多浪费口水解释,好奇的同学请看俺的另一篇博文《扫盲文件完整性校验——关于散列值和数字签名》。
要构造基于散列值的密码,有好几种散列算法可供选择。对于不太懂技术的网友,俺建议用CRC32散列算法。为啥用它捏?因为这玩意儿操作起来比较方便。比如,假设俺想得到某个文件的CRC32散列值,只要用WinRAR或7-Zip等压缩工具,把它压缩成zip格式的文件,然后就可以看到该文件的CRC32值了(因为zip格式用CRC32散列算法作为文件的校验码)。不信你随便拿手头一个zip格式的文件打开来看看就明白鸟。
因为 CRC32 生成的散列值比较短,对于懂技术并且安全要求较高的网友,可以用高级的散列算法(比如MD5、SHA1、SHA256)。
现在,详细说一下基于散列值的密码如何构造(以CRC32为例,其它散列算法依样画葫芦)
首先,你先想好一个字符串,作为计算散列的种子。这个字符串不需要很复杂,也不需要很长。比如,你叫张三,那你可以拿张三的拼音声母zs作为种子串。
假设你有一个hotmal的邮箱,需要设置口令。你可以先用notepad生成一个txt文件。里面先写上种子串sz再写上hotmail,存盘。然后把这个txt文件用工具压缩成zip格式,看一下它的CRC32校验码(是9C9041C0),然后就拿它作为密码。
如果你再有一个gmail邮箱需要设置口令,只要同样地,往那个txt文件写入zsgmail,然后计算CRC32,既可以得到另外一个值(03B2F77D)。大伙注意到没有?这两个值看起来没有任何关联性,而且从这两个口令,也看不出和种子串zs有啥关系。

优点
密码同时包含了字母、数字,但是没有特殊符号。复杂度属于中高!
由于散列值具有随机性。也就是说,你看到的绝大多数散列值都没啥规律。
由于散列值具有不可逆性。也就是说,即便有一个密码暴露了,攻击者也看不出规律。
即使有一个密码暴露,别人完全看不出规律。
如果把CRC算法换成其它算法(比如MD5或SHA-1),可以轻易构造出超长的密码(32个字符)。
缺点
这种密码是完全随机的,不是常人所能记住滴。所以,在密码分级机制中,它仅适合第二级的密码。第三类密码没法这么玩。

★结尾

今天又花了不少篇幅,总算把俺平生积累的,关于如何构造复杂密码的经验,都讲完了。如果哪个网友还有其它独到的经验,希望来信和俺分享。如果俺觉得实用,也会补充到本文中。
本系列的下一个帖子,会说说安全漏洞的基本防范。
回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-3.html