减少帐号被黑客盗取的电脑网络安全常识

随着电脑普及,很多人将私人信息存放在电脑里,同时也有越来越多的用户使用线上购物,将信用卡等资讯透过网络传递。人们变得很会使用电脑,但对网络安全却相对疏忽,认为只要安装扫毒软件就可以一劳永逸。其实一些不当的操作习惯还是无法避免黑客攻击。
趋势科技针对这次好莱坞明星私密照片被黑事件分析,属非大规模的Apple iCloud个资外泄,而是针对某些明星信息的窃盗事件。趋势科技表示,有 5种可能性导致明星被黑:1)使用不安全、易遭黑客破解的密码;2)受害者未启动iCloud的双向认证;3)黑客入侵另一个安全性较弱的帐号,来接收iCloud的密码并重新设置邮件;4)用户重复使用相同密码,若其它网络服务帐号已被黑,iCloud的帐号也可能遭受攻击;5)黑客发送针对性的钓鱼邮件给明星,引诱她们输入自己的iCloud认证资讯到假的登入画面,藉此搜集帐号与密码。
不重视电脑安全,无异是敞开大门让黑客大摇大摆地走进自己隐私空间。网络安全服务公司Trustwave公布的《2014年全球安全报告》(2014 Global Security Report)发现,有高达71%的受害者对自己已经被黑并不知情。本文特整理5个用户经常忽略的网络安全操作法则,供读者参考,以降低个人电脑被黑以及私人信息外泄的风险。

1. 安全性低的密码等于是引狼入室
Trustwave 《2014年全球安全报告》表示,在各种数据被盗的情况下,黑客透过破解密码入侵的比例高达31%。因此,设定安全性强的密码,就成为保护电脑安全的第一步。
美国市场研究公司Splash Data在2013年分析了数百万个被盗用的密码,结果显示,前10名最常用的密码是:123456、password、12345678、qwerty(键盘上的前6个英文字母)、abc123、123456789、111111、1234567、iloveyou以及adobe123。
Splash Data称,去年10月Adobe网站遭到黑客攻击,旗下产品的有效、无效帐号密码以及测试的帐号资料,共1.3亿余笔均遭窃。资安公司Stricture Consulting Group分析其中600万个帐号,发现近1/3、约200万人是以“123456”作为帐号密码,其次是“password”,第三是“12345678”。

避免不良设定密码的习惯
以下是用户最常犯的设定密码的错误,应尽量避免。
1)多个帐号共用一组密码:要提高网络安全,千万不要多个帐号共用一组相同的密码。每次在建立新帐户时,务必使用不同密码,永远不要在多个网站上共用一组密码。
2)使用个人信息当做密码:如使用自己的名字、电话号码、生日或是宠物名称等当密码,是最容易被破解的。
3)使用常用的英文词汇当密码:如 dragon、superman、iloveyou。
4)密码中没有混合不同类型的字母、数字或是符号,并且长度小于8。
根据美国网络安全专家Steve Gibson的研究,平均不到3秒钟,黑客就可极容易地破解8位密码。在他的grc.com网站提到,在黑客大规模的攻击下,破解时间的计算结果如下:
1)密码若是纯字母(如:thetruth),在大规模的黑客攻击破解时间只要0.00217秒;
2)如果密码中的纯字母有了大小写的区别(如:TheTruth)之后,就增加到0.545秒;
3)若是在密码中加进数字,也就是密码是由大小写字母和数字组成(如:The8r8th),那么被破解的时间就长一点是2.2秒;
4)密码若是由大小写字母、数字和特殊符号构成(如:The8r8th!),那黑客需花1.77小时来破解。
所以,设定安全性强的密码、并且定期变更密码,是保护帐号免于被黑的最有效方法。
设定安全性强的密码并且定期变更密码是保护帐号免于被黑的最有效方法。(Fotolia)

2.使用云端硬碟的注意事项
资深黑客都熟悉入侵云端服务的方法,他们对名人、企业或政府机关的敏感信息都相当感兴趣,但这并不意味一般人的云端资讯就不需要保护。个人重要文件上传云端硬碟时,一定要记得加密,并确保所有使用者帐号的安全。
如果你选择免费的云端服务,就不要对它有太高期望。像这次的好莱坞明星私密照外流事件,有些服务供应商反应迅速,事件爆发几小时后,Twitter就宣布封杀分享明星私照的帐号,但是有的服务供应商一点反应也没有。
不想公开的资讯就不要放到网络上分享,不要相信“只留给自己看”或是“务必不泄漏”的功能,因为密码外泄后,所有不想公开的信息全部都变成公开。

3.避免下载来路不明的档案或网络连结
网络犯罪者常利用热门话题或新闻事件来进行不法活动,用户应避免下载来路不明的档案或网络连结,以避免遭到恶意程序或是被网络钓鱼而不自知。
许多黑客会将被攻击的浏览器导向其它网页,这时用户可以在搜索引擎输入相关词汇,看看相同网站是否也会出现这样的结果,如果不是的话就表示被黑了。这时只要移除多余工具栏和程序就可以解决这种恶意连结的问题。
当网页出现频繁的随机视窗时,系统很可能已被入侵,此时需要处理多余工具栏和程序才能解决随机视窗的问题。另外就是出现不实的反病毒警告信息,此时要立即关闭电脑,然后以安全模式重新启动,不要连上网络,并卸载最新安装的软件,尝试将系统恢复到被黑之前的状态。

4.对突发事件应提高警觉
如果你的一个或多个帐号密码突然发生变更,很可能你已被黑了。在这种情况下,受害者通常会对看似用于验证的钓鱼邮件做出回应,如果你这么做那就自投罗网。此刻应马上通知帐号中所有的连络人,将危害降至最小,并拨打服务供应商的客服专线,请求一组新密码。建议这时也同时变更其它使用中的多组密码,以保安全。
一般网站极少主动发邮件让用户提供登录信息,如果你收到这样的邮件,就直接去网站,千万不要使用邮件里提供的连结。这时你可以查看以正常途径登录是否有同样的请求发送给你。要避免帐号被黑,建议使用服务供应商所提供的双向验证,这将助于提升帐号的安全级别。

5.使用匿名浏览
匿名浏览(Incognito Browsing)就是在Google Chrome浏览器中开启“匿名模式”(Incognito Mode)、在Safari浏览器中使用“私密浏览”(Private Browsing),以及启动Firefox 浏览器的“隐私浏览”,让你匿名浏览网页,不会留下任何造访记录或是个人书签资料,也不会自动登入你的帐号,可以降低电脑被黑客攻击的危险。
但是开启这项功能并不意味着彻底解决问题,因为匿名浏览并不会让你真正变成隐形人。
据Firefox资讯,匿名浏览并不能让你在网络上匿名。你所属的电信公司、老板或网站拥有者还是可以轻易地追踪你曾浏览过的网页。另外,匿名浏览也不能保护你避免按键记录程序以及间谍软体的风险,因为它们可能早已安装在你的电脑上。
尽管如此,使用匿名浏览多少还是可以降低被黑的风险。此外,请记得在每次使用完一定要登出帐号,尤其是使用公用电脑或与别人共用电脑。

五条简单的网络安全贴士

Verizon最近发布的数据泄露调查显示,76%的黑客入侵是帐户密码太弱或被窃造成的。虽说网络攻击手法越来越高明,但只要遵循几条简单的安全原则,就可以避免大部分攻击。Blue Coat首席安全长休•汤普森(Hugh Thompson)和Backblaze首席执行长格莱布•布德曼(Gleb Budman)与我们分享了五条防黑窍门。

1. 回答安全问题别太实在

你母亲娘家姓什么?你在哪里出生?你最喜欢什么颜色?类似的问题黑客不用太费劲就能找到答案。所以别填真的,编造一些网上查不到的答案。

2. 在网上分享信息要三思

想像一下,有个黑客正在盯着你的社交媒体,意图不轨。狡猾的黑客能通过社交媒体上的资料制作出专门针对你的恶意电邮和电话,所以每次发推文之前先停下来想想。

3. 每个网站都用不同的密码

最常见的黑客手段之一就是找到最薄弱的突破口,然而举一反三黑掉其他帐户。人们经常为了得到点免费的东西而注册某个网站,使的却是自己银行帐户的密码。推荐你使用像1Password这样的密码管理工具,你只需要记住一个密码,其余密码让工具帮你记忆,这样你就可以设置更复杂的密码了。

4. 当心钓鱼短链接

Facebook和推特(Twitter)上的短链接越来越流行了,很难分辨这些链接最终指向哪里。钓鱼信息的目的就是让人点击某个链接,而很多时候这个链接可能来自你认识或信任的人。

5. 保护你的密码

黑客并不总是需要高科技来盗取密码。在咖啡馆、学校和会场上,经常有人在众目睽睽之下输入密码。要留意你周围的人。

破坏匿名的凶手——WebRTC

先和诸位匿名者说一条坏消息[1]:有一个家伙,一个浏览器的API(应用程序编程接口),叫做WebRTC的,可以在使用VPN或设置好浏览器代理的情况下泄露你的真实IP,事实上你的公网IP和内网IP都会被得知。这真的很糟糕啊。

到底是怎么回事?还是让我们先一起看看WebRTC是什么吧。

WebRTC[2](Web Real-Time Communication,网页实时通讯)是一个可以实现网页实时语音或视频对话以及P2P文件分享的API,而且他的P2P功能不受NAT[3]影响。主流浏览器都支持WebRTC。

要知道NAT可是会对P2P造成大麻烦的,因为处在NAT之内的的设备只有内网IP,没有公网IP,事实上都不能说真正接入了互联网。在这种情况下,设备无法被动监听建立连接,那么P2P自然也无从谈起(P2P的时候有一方必须被动监听建立连接的)。

WebRTC通过STUN[4](Session Traversal Utilities for NAT,NAT会话传输应用程序)解决了这一问题:在NAT之后的设备发起通向STUN服务器的连接,从而获得自己的公网IP(STUND服务器会知道公网IP和内网IP,再将公网IP和端口响应回去),然后就可以被动监听建立连接了。

这样一来,P2P问题就解决了,但是同时带来了一个极大的安全隐患:WebRTC可以通过JavaScript(一种大名鼎鼎的编程语言,在网页编程中被广泛采用)程序调用,也就是说你访问的网站可以通过一段JavaScript程序探知你的公网IP和内网IP(具体来说就是网站可以通过JS来抓取STUN服务器返回的请求结果,因为STUN服务器的返回结果是告诉了浏览器的。对,JS功能非常强大,可以直接与本地浏览器交互,cookie就是通过JS去生成和读取的)。你可以访问一下https://diafygi.github.io/webrtc-ips/ 看看,有人写了这个程序[5]

有人看到这里大概会很奇怪吧:”为什么WebRTC能轻易在STUN协议的帮助之下绕过浏览器代理设置,甚至是绕过VPN呢?尤其是VPN,默认情况下启动之后是会修改系统路由表,把操作系统里所有的流量都中转到VPN的虚拟网卡上的。“

问题出在P2P上面。P2P最大的特点就是直连,客户端之间的直连。这一特性使得P2P程序不仅不会遵守浏览器代理设置,而且很多时候连VPN都绕过了,直接忽略了操作系统里的虚拟网卡。还有一点,P2P(特别是bt下载)总是会把你的真实IP给泄露出去,因为你在使用P2P的时候既当客户端又当服务器端吗,为了别人能把你当成服务器,你的IP只能被更多的人知道了:)

补充说明:据读者反映,IP泄露这事是看情况的,有些人的VPN或shadowsocks没有被绕过,但有些就被绕过了。

这事的确够糟糕的,经我亲自测试,连Tor都没能幸免,各种VPN更是全部阵亡,好在现在还没有哪个网站使用了这一追踪技术的相关报道,但估计很快就会有网站这么干了!

那么,怎么办呢?

Firefox:地址栏里输入about:config,回车,找到media.peerconnection.enabled这一栏,把后面的值改为false。PS:Tor Browser这一栏的值默认就是false,不用去改。

Chrome:请安装WebRTC Block扩展[6]。很不幸,扩展失效了,请看最新解决方案:https://plus.google.com/109790703964908675921/posts/JfJMXX9i5nV

IE这次反倒没受影响,不过我依旧建议把IE换掉,总的来说IE的安全性远比不上firefox和Chrome

对了,因为WebRTC需要靠JS程序调用,所以firefox的NoScript和Chrome的ScriptSafe扩展也是能解决IP泄露问题的,前提是你要完全禁止掉网页JS的加载。

也许你们以为浏览器厂商们也是刚刚才知道并发布这一漏洞的吧,错了!他们早就知道了:”WebRTC 通过 STUN 协议获取真实 IP,这个漏洞浏览器厂商(自然包括 Chrome )早就知道,也可能对于 Google 不认为这是一个漏洞,所以没有审查或修复这个问题。像之前名声大噪的翻墙项目 uProxy 就是依赖于 WebRTC,技术核心是 STUN 协议“[7]

事实上,早在一年前就有人在Chromium(Chrome的内核就是Chromium)的开发社区里提出这一安全问题了,结果google的开发者说什么”设计如此“”随着IPv4逐步被淘汰问题就会自然消失“之类,死活都不肯做出任何改变。[8]

我说,就算你们认为WebRTC是必须的功能不能做成用户可选择的模块,那也请你们做一个通知功能,告知用户在启用WebRTC时有IP泄露的危险,OK?这样一直把事情捂着算怎么一回事?太不负责任了吧!

科普文链接集合:https://plus.google.com/109790703964908675921/posts/TpdEExwyrVj

参考资料:
1,WebRTC Leaks Local IP Addresses
http://www.i-programmer.info/news/149-security/8219-webrtc-leaks-local-ip-addresses.html
2,WebRTC
https://en.wikipedia.org/wiki/WebRTC
3,SSL/TLS的原理以及互联网究竟是如何工作的(6)
——嘿,我是IP!
https://plus.google.com/109790703964908675921/posts/8GLWQxp5yJN
4,STUN
https://en.wikipedia.org/wiki/STUN
5,https://github.com/diafygi/webrtc-ips
6,https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm?hl=en
7,https://twitter.com/oiax/status/561795885730775040
8,https://code.google.com/p/chromium/issues/detail?id=333752&q=IP%20leak&colspec=ID%20Pri%20M%20Week%20ReleaseBlock%20Cr%20Status%20Owner%20Summary%20OS%20Modified

TOR的使用技巧

尽管TOR的匿名能力很强大,但对于信息安全,最薄弱的环节永远是用户。如果用户进行不当操作,技术再强大也保护不了你的安全。

1,使用tor browser:tor 并不保护PC上所有网络通信,tor只在浏览器被适当设置时保护浏览器通信数据。为了避免设置不当,请使用tor browser。tor browser已经被恰当设置成一定会使用tor通信,而且还有着保护个人隐私的设置:默认不保存浏览记录和下载记录和帐号密码,装有禁止脚本运行的插件noscript,默认禁止运行最危险的flash插件和java插件(事实上禁用了所有插件),安装了HTTPSeverywhere(启用后只要是支持HTTPS的网站,就会强制进行HTTPS连接),可以说只剩下了一个隐患:白痴mozilla(tor browser使用的是mozilla开发的“长期支持”版firefox,出现漏洞的可能性比普通版firefox要小很多)很2B的将天朝流氓证书CNNIC ROOT. China Internet Network Information Center EV Certificates Root .ePKI Root Certification Authority 加入了firefox的证书信任列表中,请手动删除(google或查看我以前写的科普贴)

2,不要利用tor进行bt下载:bt这样的p2p下载工具总是会绕过tor代理直接进行通信,这会暴露你的公网IP;即使强制bt通信经过tor,你的真实IP依旧会被泄露,这是由bt的工作原理所决定的。不仅如此,连你所使用的tor relay上的其他用户都会受牵连:https://blog.torproject.org/blog/bittorrent-over-tor-isnt-good-idea(我相信翻过来的诸位英语水平足够读懂这篇分析)

3,不要激活或安装插件。

4,支持HTTPS的网站全部用HTTPS连接。

5,不要在联网的情况下打开下载的文档:一些文档阅读器(如adobe pdf reader)会在打开文档时自动联网(不经过tor),这样又会泄露你的公网IP,解决方案:设置防火墙禁止任何文档阅读器联网,或者在断网后(或在虚拟机里)处理文档。

6,使用网桥中继或前置代理来连接tor而不是直接连接(天朝根本就无法直连)。

7,排除蜜罐节点:用记事本打开torrc文件(不知道在哪的,请自行使用操作系统自带的文件搜索功能或google),添加以下语句:DirReqStatistics 0
ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci}
HashedControlPassword16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C
StrictNodes 1

国产流氓软件恶事专辑

我曾经说过N次不要使用任何国产软件,QQ等实在难以替代的扔到虚拟机里,但很多人不明白为什么,这回我就出个专辑说明一下国产软件不可信任。

补充说明:后来有读者提出天朝个人作者或小型非营利组织的开源产品还是可以相信的,这我同意,但请记住大型商业公司的产品一律不可信!

1,安全软件(包括杀软,防火墙,系统清理软件等)耍流氓:
360控制用户PC强行安装自家产品外加疯狂盗窃用户隐私,还有破坏浏览器的SSL身份验证机制给中间人攻击以可乘之机:http://www.nbd.com.cn/articles/2013-02-26/716855.html
http://tech.sina.com.cn/i/2012-11-23/08517825584.shtml
与搜狗狗咬狗:http://www.chinagfw.org/2013/11/360.html
自己制毒自己杀毒:https://pao-pao.net/article/280

百度也差不多,百度杀毒静默安装,无法干净卸载:https://twitter.com/search?q=%E7%99%BE%E5%BA%A6%E6%9D%80%E6%AF%92&src=typd
https://pao-pao.net/article/298
百度DNS更是恶心:https://twitter.com/search?q=%E7%99%BE%E5%BA%A6DNS&src=typd

瑞星也一样:http://news.baike.360.cn/4271460/27886086.html

金山毒霸劫持浏览器主页:http://www.bootingman.org/kingsoft-duba-is-a-very-bad-rogue-software/

总结:安全软件,一个都不要信。即使是那些现在没有爆出劣迹的,不代表它们没有,事实上很可能有的,特别是有名气的,一定会和共匪政府合作,要不然他们活不下去。

2,IM(即时通讯)软件的流氓“事迹”:
QQ与共匪政府密切合作监控用户聊天内容:http://tech.163.com/05/0728/10/1POADRE500091589.html
还会偷偷扫描硬盘文件:http://www.chinagfw.org/2010/01/windows7qq.html
http://software.solidot.org/article.pl?sid=10/01/02/0952203
本身服务器安全机制也不好,容易泄露隐私:http://news.itxinwen.com/2013/1114/542576.shtml
http://news.xinhuanet.com/legal/2013-11/21/c_125741520.htm
http://www.wooyun.org/bugs/wooyun-2013-043251

中国版skype也不可信,自带审查机制:http://chinese.wsj.com/gb/20081002/tec142111.asp?source=NewSearch
http://news.bbc.co.uk/chinese/simp/hi/newsid_7640000/newsid_7649400/7649459.stm

总结:依此类推,国产IM都没有可信的,不被共匪政府利用是不可能的。

3,下载软件耍流氓:
迅雷盗窃上传用户文件,除了泄露隐私之外还浪费用户网络带宽和硬盘性能:
http://tech.163.com/08/0220/07/454J7F85000915BF.html
http://www.cnbeta.com/articles/48566.htm
http://www.360doc.com/content/09/0506/01/81932_3387434.shtml

总结:国产下载软件也是完全不可信。

4,视频音频播放软件耍流氓:
收集用户观看的视频信息:http://tech.163.com/07/0803/09/3KV9TFAR000915AS.html
或者利用利用“自动下载字幕”这一功能。

总结:一句话,不要相信。

5,输入法耍流氓:
搜狗输入法泄露隐私:http://www.williamlong.info/archives/3494.html
http://www.solidot.org/story?sid=35033
百度输入法自带后门偷偷收集用户数据:http://www.cnbeta.com/articles/266009.htm
拼音加加和新华五笔有敏感词汇报功能:http://internet.solidot.org/article.pl?sid=08/03/24/0624233

总结:有足够的理由不相信国产输入法了。

6,国产浏览器,没有自己的内核:
360“安全”浏览器其实是阉割过的IE内核,无法防范中间人攻击:https://twitter.com/chenshaoju/status/524494678532440064
自动升级伪装,从来不问用户:http://www.williamlong.info/archives/2390.html
安装过程中就触发了WIN7系统报警,安装程序有规避系统认证的行为,这绝对有鬼啊!
顺便说一句,国产浏览器的内核都不是自己的,而且浏览器一定会知道你上网之后都干了些什么的,你还敢用吗?

总结:一句话,不要用!

7,网银安全控件其实不安全:
很多国内网银控件都做到了驱动级,他们想干什么?
监控网络流量啊,支付宝:http://www.chinagfw.org/2014/08/alipaybsmexe.html

总结:只能不安装了,非要用的话用虚拟机吧。

8,移动端的国产APP也一样(还有深度定制的系统):
https://pao-pao.net/article/298
https://plus.google.com/109790703964908675921/posts/R7FAPXa4LDt

总结:不要用国产APP,系统也别是定制的,宁可自己重装一个纯净系统。

9,文档编辑软件:
WPS Office一直是个流氓,安装后不停地弹广告,打开一个文档也是广告,“卸载”后打开文档依然能将其启动,最可怕的是,电脑中会默默地安装一些莫名其妙的某某杀毒等软件,这种免费流氓软件谁还敢用啊。https://twitter.com/williamlong/status/561077153379680256

总结:自然是不能相信了。

那么,替代品呢?
在这呢:http://www.atgfw.org/2015/02/blog-post_67.html

我想证据已经够多了,赶快把国产软件都轰走(推荐用Revo Uninstaller  http://www.revouninstaller.com/start_freeware_download.html ,安全起见可以考虑重装系统)!如果说有人看了之后还是说什么做不到或舍不得,那别怪我说话难听:愿意被共匪监视是吧?赶快滚回墙内去,不送!

“如果隐私是非法的,那就去他妈的法律!”——PGP背后的故事,又一个为人权而战的IT英雄

我不知道有多少人听说过PGP(Pretty Good Privacy),这是一个加密程序,被广泛用于对文件和邮件进行加密。PGP本身是收费商业软件,所以现在最常用的是开源免费的GPG(Gnu Privacy Guard)软件(它使用OpenPGP标准,可以方便的进行PGP加密和解密),它是跨平台的,很多Linux发行版自带GPG,而windows版可以去这里[1]下载,教程在这里[2]。

也许诸位以为我接下来要仔细分析PGP的原理了。不!这次我想和诸位分享一下PGP背后的故事,这可是一段传奇啊……

话说美国有个软件工程师,名叫Philip Zimmermann,同时也是一名活动家。他发现早期的互联网完全没有任何加密,用户之间传递的信息可以被任何人轻易截取窃听;更糟糕的是,联邦政府一直在试图将窃听合法化(诸位想到了爱国者法案和棱镜事件没有?)。

联邦政府宣称:”我们完全只是为了打击犯罪才进行窃听的,我们的窃听行动是被法律所许可的;那些举止合法的公民们,他们根本不用担心什么窃听,不是吗?“

Philip Zimmermann:”开什么玩笑?对,打击犯罪,请问什么叫做犯罪呢?你们联邦政府嘴一张说什么是犯罪什么就是?被法律许可?好吧,傻子才会相信你们呢!你们规定了一种加密算法,然后自己握有解密密钥,再把其他加密算法宣布为非法,这实在是太可笑了!

要知道隐私可是属于每个人的基本人权,至于所谓的光明磊落,那请问为什么要把信装在信封里呢?为什么不直接写在明信片上呢?为什么在要求想要搜查你的房子的警察出示搜查证呢?那些认为只有罪犯才需要隐藏自己的家伙们,他们的逻辑不是和那些认为穿裤子的人是在裤子里藏炸弹的恐怖分子的家伙一样吗?“[3]

”如果隐私是非法的,那就去他妈的法律!“

就这样,1991年,PGP横空出世了!请注意,那是1991年,SSL都是1994年的事情,也就是说PGP是世界上第一个信息加密传输工具,而且是可以被个人使用的工具!

最早的PGP不是商业软件,而是可以被任何人随意使用的开源软件,Philip Zimmermann 在第一时间公开了源代码并上传到互联网上。很快,PGP就有了大批用户,而且还被国外的互联网用户所知,很多极权国家的用户都开始使用PGP进行数据传输。

然后,很不幸,麻烦来了:当时的美国法律把加密产品当作军火看待(这其实是个历史遗留问题,一战和二战的时候加密学在战争中发挥了巨大作用,很多国家由此把加密技术视作军火),禁止加密技术出口,而PGP被国外用户采用……联邦政府认为这威胁到了国家安全!

联邦政府据此对Philip Zimmermann展开了犯罪调查,而且勒令禁止在互联网上传播PGP源码和产品。麻烦缠身的英雄Philip Zimmermann并没有屈服,他出版了一本书,在书中附上了PGP的完整源码,然后将书籍出口到国外。因为美国宪法第一修正案规定公民享有言论自由(出版自由就是言论自由的一部分),而且书本不是军火,无法当成军需品特别对待,所以这下联邦政府就没有任何办法了:)[4]

最终,在1996年,联邦政府放弃了对Philip Zimmermann的犯罪指控,此后也修改法律取消了对加密技术的出口限制。而现在,加密技术已经走向了每个人,诸位的PC和手机里到处都是加密产品:浏览器(TLS加密),邮件客户端(支持加密传输邮件),文件加密工具,与远程服务器加密通信的其他软件……已经没有哪个政府能够阻止加密技术的传播了!

某种程度上来说,这一切其实都是来自于Philip Zimmermann的坚守:被联邦政府骚扰了5年,被爱国者们骂成不顾国家安全的卖国贼,但是英雄从未退缩过。很多极权国家的用户写信对英雄表示感谢,迄今为止,不知有多少人权活动家的生命被PGP保护着。哼,那些满嘴国家利益的爱国者,他们比得上Philp Zimmermann的万分之一吗?

1997年英雄的公司被商业公司收购,后来PGP变成了闭源的商业产品,现在PGP在大名鼎鼎的赛门铁克公司手中,不过这些是后话了,毕竟我们还有开源免费的GPG可用,关系不大。(因为PGP标准是公开的,所以其他人也能据此开发相应的加密软件)

1,http://www.gpg4win.org/
2,http://www.williamlong.info/archives/3439.html
3,Why I Wrote PGP
https://www.philzimmermann.com/EN/essays/WhyIWrotePGP.html
4,https://en.wikipedia.org/wiki/Pretty_Good_Privacy

匿名上网的时候不要做的事情

(基于Linux的匿名通用操作系统Whonix开发者给用户的忠告)

1、匿名上网的时候我想看看自己的网站是什么样子
匿名的时候,不要访问与你的真实姓名或网名有关联的个人网站
原因如下:
会有多少人访问你的个人网站?其中有90%是Tor用户,或仅仅你自己,或很少的一些人?
这样的匿名性很弱。一旦你访问了自己的网站,你所使用的Tor回路便不安全了。出口节点知道有人访问了你那个访问量并不是很大的个人网站,很容易猜到那个人就是你自己。并且很容易假定接下来的连接都是由你的机器发起的。

登陆你真实的facebook账号却还以为自己在匿名上网(就是要将匿名身份与实名身份完全隔离,曾经有人问我要QQ号,我直接回绝了,就是出于不能将两个身份关联起来的考虑)
不要登陆个人facebook(国内网站同理)账号。不管其是否与你真实姓名相关联或仅仅是假名。
你可能会添加了一些好友,而他们知道这个账号是你的。通过facebook社交网络可以猜到你是谁。没有万能的匿名上网解决方案。一些匿名上网软件可能会很好的隐藏你的IP地址/地理位置。但是facebook不需要你的IP地址/地理位置。他们已经知道你是谁,你有哪些朋友,你和谁发了什么私信等等。这些信息都会保存在facebook的服务器上。没有什么软件能够删除这些信息。只有facebook自己或黑客可以。所以一旦你登陆了自己的facebook账号,你仅仅是隐藏了地理位置而已,而不是匿名性。

在使用Tor网络的时候,永远不要登陆你在其之外曾登陆过的账号(这是指直接连接TOR时的情况,天朝三大社交平台都要通过加密代理才能上(在此提醒一下只用hosts的人,这样做很危险),这问题倒不大,不过不要相信墙内的VPN服务提供商)
要假定你在登陆一个网站的时候,网站服务器会记录你的登陆IP地址/地理位置,何时访问,及访问了哪些内容。
同样要假定,每当你通过你的ISP(网络服务提供商)接入网络的时候,它会记录你的在线时间,所分配的IP地址,及流量信息。
你的ISP同样会记录你连接了哪些IP地址,产生了多少流量,及你发送和接收了什么。
(除非你的数据加密过,否则会看到你的明文信息。)
哪怕你只搞砸了一次,使用了可以关联到你的非Tor网络的IP地址,那么你的整个账号就暴露了。

不要登陆你的银行账户,支付宝,易趣,或其他重要的个人账户(一旦涉及到支付,匿名就没有任何意义了)
登陆与钱修改的支付宝,易趣或其他你名下的个人账户有一定的风险,欺骗预防系统认为这是一个可疑操作,从而冻结你的账户,因为一些黑客会使用Tor网络进行欺骗攻击,冻结账户应该不是你想要的结果。上面已经解释过,这也破坏了匿名性,这是伪匿名性,并且会带来隐患(访问了ISP屏蔽的网站),暴露你的位置隐私,后面的章节会介绍真正的匿名性和伪匿名性的区别。
很多时候你可以联系客服解锁你的账户,甚至让预防系统放过你的账户,Whonix的一个开发者adrelanos不反对使用Tor网络来保护你的位置隐私,但是你应该清楚上面所讲,会冒账户被冻结的风险,以及本页所提的其他一些警告,如果你清楚自己在做什么,请随意。不要使用免费的WIFI代替Tor
你可能会觉得使用免费的WIFI会更快一些,并且和Tor一样的安全,因为IP地址不能和你的真实身份关联起来,但最好同时使用WIFI和Tor,而不是仅其一。
IP地址的近似位置可以缩小到一个城市,区,甚至街道,即使你已经离开了,你仍然留下了所在城市及大体的位置信息,因为大多数人并不会只为了一个免费的WIFI而跨越大洲,虽然这不会破坏你的匿名性,但是却将嫌疑圈从全世界缩小到了一个很小的地区,这会大大的破坏你的匿名性,最好尽可能多的隐藏你的个人信息。

避免Tor over Tor的情景
Whonix规范中有讲。
当使用透明代理的时候(Whonix系统中含有一个),在客户机中开启的Tor会话很可能是通过了透明代理,这样便会产生Tor over Tor的情景,这会发生在向Whonix-Workstation虚拟机中安装Tor或在其中使用Tor Browser Bundle却没有修改浏览器所用代理的时候,这样做会带来未定义或潜在的不安全行为。
理论上,你会得到6个中继而不是3个,但事实上并不能保证你会得到另外3个不同的中继节点——很可能你得到仍是前3个节点,也许顺序反过来或交叉顺序。
目前还不清楚这样是否安全。这还没有经过广泛的讨论,你可以选择Tor网络的入口/出口节点,但是让Tor自己来进行路由选择可以获得更好的安全性,自定义入口/出口节点会破坏匿名性,目前还不知道为什么。
总之,不建议使用Tor over Tor。

端到端未加密的时候不要发送敏感数据
在警告页已经解释过,Tor的出口节点会被监听或者发生中间人攻击。
不想让第三方获取发送者和接收者之间的敏感数据,使用端到端加密是唯一方法。

不要泄露你的身份信息
IP地址并不是破坏匿名性的唯一方式,同样的,社会工程学也有巨大的危害。
下面收集了一些避免匿名性泄露的建议:
不要在昵称中包含个人信息。
不要谈论个人信息,比如你家乡何处……
不要提及你的性别,纹身,饰品或身体状况。
不要提及你的职业,爱好,或你参加的活动。
不要使用你用语言键盘上的特殊字符。
匿名上网的时候不要在常规网站上发帖子。不要使用推特和facebook。这很容易进行互相关联。
不要转发你facebook上的图片链接。图片名称包含你的个人信息。
不要使用匿名和非匿名同时连接相同的地址。要交替开。
时刻谨记网络聊天,论坛,邮件列表都是公开的。
时刻谨记所谓的英雄只会出现在漫画书中。现实中不存在。
如果匿名上网的时候需要使用个人信息,向上面所提到的要当做敏感信息加密处理。不要同时使用不同账号
这很容易进行互相关联。Whonix并不会帮你区分开不同账号的前后关系。
见下述。

使用完推特,facebook,谷歌等账号后及时退出
严格限制登陆推特,facebook,谷歌和其他基于账号服务(如论坛等)的时间。
在你读完留言或发完日志后立即登出。
关闭Tor Browser,更换Tor回路,等一段时间回路变换后再重新打开Tor Browser。
为了获得更好的安全性,可以使用Recommendation to use multiple VM Snapshots
和/或use multiple Whonix-Workstations
多个虚拟机快照和/或多个Whonix工作站。
这是因为很多网站会集成“分享”,谷歌分析,广告等。
因为你还在登陆中,所以这些插件会告诉网站你依然在访问该网站。
同时注意上面提到的不要同时使用不同的账号。

不要混淆匿名性的不同模式
大致了解下匿名性的不同模式:
模式(1):用户匿名;接收端随意
情景:匿名发帖/邮件/评论
情景:检举
你是匿名的。
你的IP地址被隐藏。
位置隐私:你的地理位置是保密的。
模式(2):用户知道接收者;都使用Tor网络
情景:收发方互相知道彼此,并且都使用Tor网络。
没有第三方知道他们互相通信了什么,甚至不知道他们在通信。
你不是匿名的。
你的IP地址被隐藏。
位置隐私:你的地理位置是保密的。
模式(3):使用Tor网络但是密钥匿名;接收者随意
情景:登陆真实用户名使用一些服务,邮件,facebook,推特等……
很显然你不是匿名的。一旦你使用真实用户名登陆,网站立马就知道你是谁了。(这句话是指之前注册时就泄露了真实身份的情况,天朝用户只要不是实名注册就不必太在乎。)
这种情况下Tor网络也无法保证你的匿名性。
你的IP地址被隐藏。
位置隐私:你的地理位置是保密的。
模式(4):密钥匿名;接收者随意
情景:未使用Tor网络的正常浏览。
你不是匿名的。
你的IP地址泄露了。
你的地理位置泄露了。
结论
混合使用模式(1)和模式(2)是不明智的。
例如你在模式(1)下使用了一个即时聊天或邮件账号,那么在模式(2)的时候就不要使用相同的账号。
前面有讲过为什么。
使用相同Tor会话的时候混合模式也是不明智的,他们会使用相同的出口节点(身份信息很容易互相关联)。
其他的模式组合也会很危险,并且带来个人信息或位置信息的泄露。

如不是很清楚则不要自定义配置
修改不联网应用程序的配置,通常是安全的。
例如不再显示tip或隐藏菜单栏对匿名性通常没有影响。
查阅Whonix的文档,看看你想修改的配置有没有列出或不建议修改的。尽量保持默认值。
修改联网应用程序的配置,即使只修改界面相关的,也要非常谨慎。
例如不建议移除Tor浏览器上的一个菜单栏或将其最大化。
后者则可令人知道屏幕的大小,这便留下了浏览器的指纹特征。
修改网络设置的时候要非常小心,并且很明确其所带来的影响。
例如不要去尝试所谓的“Firefox调优”的建议。
如果你确定当前的配置不是最优的,请提交修改方法,Tor浏览器的开发者在下一个版本中会为所有用户进行修改。

不要同时使用普通网络和Tor网络
同时使用普通浏览器和Tor浏览器,你会有混淆两者的使用且破坏匿名性的风险。
同时使用普通网络和Tor网络非常的危险,不建议同时使用匿名方式和非匿名方式连接同一个服务器。(这是关键,如果用TOR时同时直连墙内网站,关系倒不大,前提是用TOR时没有连这个网站)
下面会介绍原因。
如果你真的不打算遵从本条建议,那么你至少也要使用两台不同的电脑,以免混淆浏览器的使用。不要同时使用匿名方式和非匿名方式连接同一个服务器
强烈反对使用此方式连接远程服务器。也就是说,不要同时创建Tor连接和非Tor连接到同一个远程服务器。
如此一来,你的网络连接最终便会暴露,你的网络连接就此泄露,对于敌人来说,将所有的报文片段联合分析,
从而判断一个公网IP和Tor网络IP的对应关系并非难事,最终导致你身份的暴露。

不要混淆匿名和假名
本节介绍匿名和假名的区别。给一个词下定义是很困难的,因为这需要大多数人的认可。
匿名连接:一个到目标服务器的连接,目标服务器无法确定原始IP和位置,也无法和某一个身份关联。
假名连接:一个到目标服务器的连接,目标服务器无法确定原始IP和位置,但是能够和某一个身份进行关联。
理想情况下,Tor网络,Tor浏览器(和潜在的操作系统,硬件,物理安全等)是完美的
例如用户访问一个新闻网站,该新闻网站或该新闻网站的ISP都无法确定此用户曾经是否访问过该网站。
相反情况,不正确的使用软件,例如使用Firefox代替Tor安全的浏览器Tor Browser,网络连接的原始IP虽然被隐藏了,
但是一个标识符(比如Cookies)便可以让这个连接变成假名连接。
目标服务器会记录下如此日志信息“用户111222333444在日期c时间b看了电影a,在日期f时间e看了电影d。”。(关于这一点,墙外大型网站不用太担心,至少他们不可能主动将你的信息提供给共匪;但墙内网站就要小心了,墙内网站一直是卖你没商量的。)
这些信息会用于分析。随着时间的累积,这些分析数据就变得越来越易于理解,降低了匿名性,
也就是说,最坏情况是导致真实身份的暴露。
一旦某人使用一个用户名登入了网站(论坛或邮箱),依照定义此连接便不再是匿名的,而是假名的。
原始的IP虽然是隐藏的,但是该连接可以和一个标识符相关联,也就是说,此情况下和一个账号名称关联。
标识符可以用于保存日志的很多信息。
用户什么时候写,何时登入登出,写了什么,向哪个用户发送了什么,IP地址(无用的,是Tor的出口节点),浏览器指纹等。

不要第一个发布你的链接
你创建了一个匿名博客或隐藏服务?非常好。你的推特账号有很多的粉丝,有很大的普通网络群?非常好。
要抵挡住诱惑,不要第一个将你的匿名项目昭告天下。
最好严格分开各个账号的用途,减少马甲之间的交叉关联。
当然有时候你已经这么做了,不过还是要非常小心。

不要随意打开文件或链接
某人在邮件中给你发了给pdf文档或pdf的链接?发送者的邮箱/账号/密码可能已经被盗用,pdf可能是伪装的木马感染你的系统。
不要使用你被期望使用的工具去打开它。
例如使用pdf阅读器查看pdf文档。如果文档可以公开,使用一个在线pdf阅读器。

不要进行手机验证(这点我有规避方法:1,虚拟手机与短信自动接收以及VOIP,vovox,pinger,text now,google voice等都可以试试;2,进行手机验证时随便找个TOR之外的翻墙软件(三大社交平台都是HTTPS链接,所以不用担心账号密码泄露),完成后再用TOR登录,这样就无法通过手机号将真实身份与TOR身份联系起来了。
有些网站比如谷歌,facebook在你使用Tor登陆的时候会让你进行手机验证。除非你非常的聪明或有其他方法,否则千万不要。
理由:
你使用的手机号会记入日志。SIM卡通常是使用你真实姓名注册的。
即使不是,接收一条短信息会暴露你的地理位置。
即使你是匿名购买的SIM卡,并且在离你家很远的地方使用,也是有风险的。
问题在于手机。
每次手机接入移动网络的时候,服务商会记录SIM开的序列号和手机的序列号。
如果你的SIM卡是匿名购买的,但是手机却不是,那么你并没有获得匿名性,
因为这两个序列号是互相关联的。
如果你真的想进行手机验证,你需要在远离你家的地方,全新的手机,全新的SIM卡,
并且在你使用完后立即关机,马上离开,立即烧毁手机和手机卡。
你可以找一个提供在线接收短消息的服务。那样可以带来匿名性。
但问题是,谷歌和facebook在进行验证的时候很可能将这些网站加入了黑名单。
或者你可以找另外一个人帮你接收短消息,但这仅仅是将风险转嫁给另一个人。

可靠软件和服务全集(更新)

先从杀毒软件说起,,国外优秀的杀软:
1,ClamAV:(https://www.clamav.net/,是自由软件)
2,AVAST(https://www.avast.com/index教程https://securityinabox.org/zh/avast有简中版和免费版)
3,comodo(https://www.comodo.com/,教程https://securityinabox.org/zh/comodofirewall_main这家公司的产品很多,有杀软,有防火墙,有恶意软件删除工具,有系统清理工具,其中防火墙尤为强大;有中文网页,不过为了安全我推荐直接去我给出的网站下载产品,应该也带有中文。有免费版)
4,ESET(http://www.eset.com/us/,老牌杀软公司,有中文网页,但建议下载英文版,没有免费版,但很容易就能搜索到激活码)
5,Avria(https://www.avira.com/en/index,中文名小红伞,不少人应该都听说过,有简中版和免费版)
6,Symantec Endpoint Protection:http://www.symantec.com/security_response/definitions/download/detail.jsp?gid=sep 有免费个人版

系统清理软件:
1,BleachBit:http://bleachbit.sourceforge.net/,逃离棱镜的项目之一,有简中版

还有一个能干净卸载软件(尤其是已有的国产流氓)的软件:Revo Uninstaller (http://www.revouninstaller.com/start_freeware_download.html,教程http://www.revouninstaller.com/manuals/RevoUninstallerProHelp_Chinese.pdf有免费版)

想要开机速度快一点,可以选择Autoruns(http://filehippo.com/download_autoruns,教程http://tech.huweishen.com/gongju/968.html免费版,可以管理开机启动项)
至于进程监控(还有网络活动监控),小白请先学会看懂windows任务管理器和资源监视器再说别的,总之别相信360之流。

恶意软件清除工具:
1,spybot:(https://securityinabox.org/zh/spybot_main,有免费版)
2,Detekt:https://resistsurveillance.org/(只能检查,不能清除)

3,malwarebytes:(https://www.malwarebytes.com/,有免费版)

再推荐一下视频音频播放软件:
1,VLC(https://www.videolan.org/index.html,开源免费有简中版)
2, SMPlayer(http://smplayer.sourceforge.net/,开源免费有中文版)
3,Kodi(http://kodi.tv/,开源免费有中文版)

输入法:
1,Rime:https://rime.im/

浏览器:
1,firefox:https://www.mozilla.org/en-US/firefox/new/,直接在这下载,那个中国版我不敢保证没有后门
2,comodo dragon(icedragon)(https://www.comodo.com/home/browsers-toolbars/browser.php,基于firefox和chromium内核改装的)

下载工具:
1,emule:(http://www.emule-project.net/home/perl/general.cgi?l=42,开源免费的P2P下载工具,有中文版)
2,FDM:(http://www.freedownloadmanager.org/,开源免费支持多协议下载,有中文版。如果安装之后碰到中文界面乱码,解决方法是——安装过程中先选择“English”,安装完成后选主菜单“View”再选“Language”切换成中文。)
3,qBittorrent:http://www.qbittorrent.org/,BT下载软件,开源免费有中文版

文档编辑和阅读:
1,LibreOffice:https://www.libreoffice.org/ ,开源免费有中文版。
2,SumatraPDF:http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader.html,开源免费且支持几乎所有常见电子书格式(不仅仅是PDF,EUPB和MOBI也支持)
3,Notepad++:http://notepad-plus-plus.org/,比系统自带的记事本强大很多,可以用于编辑代码
4,EtherCalc:https://ethercalc.net/,逃离棱镜的项目之一,共享编辑的电子表格服务器

IM(即时通讯):IM最大的问题在于如果身边的人不肯由QQ换成其他软件,那你也没有办法,只能通过虚拟机去解决,如果想要更换,考虑以下几款:
1,Pidgin:https://www.pidgin.im/,开源免费支持中文
2,Gajim:https://gajim.org/,开源免费
3,Jitsi:https://jitsi.org/,开源免费无中文

加密即时通信:
1,Cryptocat:https://crypto.cat/ ,逃离棱镜的项目之一
2,Tox:https://tox.im/ ,逃离棱镜的项目之一

3,riot:https://about.riot.im/,逃离棱镜的项目之一

密码管理:
1,Password Safe:http://pwsafe.org/,逃离棱镜的项目之一,无中文版
2,KeePassXC:https://keepassxc.org/

文件加密:
1,VeraCrypt:http://sourceforge.net/projects/veracrypt/,教程http://allinfa.com/veracrypt-10e.html,开源免费有中文版

文件压缩:
1,7zip:http://www.7-zip.org/,开源免费,自带简中。

邮件客户端(我是不装的,系统里软件越少越安全,不过考虑到有些人有需求,我还是推荐几个吧):
1,Mozilla Thunderbird:https://www.mozilla.org/en-US/thunderbird/ (有匿名插件TorBirdy:https://trac.torproject.org/projects/tor/wiki/torbirdy ,逃离棱镜的项目之一)
2,Claws Mail:http://www.claws-mail.org/ ,逃离棱镜的项目之一

邮件加密插件:
1,Enigmail:https://www.enigmail.net/home/index.php ,逃离棱镜的项目之一
2,Gpg4win:http://www.gpg4win.org/ ,逃离棱镜的项目之一
3,Mailvelope:http://www.mailvelope.com/ ,逃离棱镜的项目之一
4,GNU Privacy Guard:http://www.gnupg.org/ ,逃离棱镜的项目之一

图片查看和简单处理:
1,XnView:http://www.xnview.com/en/ ,免费有中文版

截图软件:
1,DuckCapture :http://www.ducklink.com/p/free-screen-capture-tool ,免费但无中文版

常用软件差不多就这些(欢迎留言补充),接下来推荐一下安全网络服务:

邮箱:
1,Riseup:https://help.riseup.net/zh,逃离棱镜的项目之一
2,Autistici:http://www.autistici.org/en/index.html,逃离棱镜的项目之一,还提供VPN,大家可以试试。

3,protonmail:https://protonmail.com/一家坐落在瑞士、数据中心位于地下的邮件服务商

搜索引擎:
1,startpage:https://startpage.com/,完全匿名搜索,不会被追踪
2,DuckDuckGo:https://duckduckgo.com/,匿名搜索

文件存储:
1,git-annex:https://git-annex.branchable.com/,逃离棱镜的项目之一
2,Syncthing:https://syncthing.net/

在线文档编辑:
1,ProtectedText :https://www.protectedtext.com/ ,逃离棱镜的项目之一
2,Etherpad:http://etherpad.org/ ,逃离棱镜的项目之一
3,RiseUp也提供在线文档编辑服务:https://pad.riseup.net/ ,逃离棱镜的项目之一

博客:

1,noblogs:https://noblogs.org/ ,Autistici旗下的匿名博客服务。

上面所有“逃离棱镜的项目”都来自https://prism-break.org/en/categories/windows/,全都是开源免费的自由软件。

有一点希望大家记住:只装必要的软件,多一个都不要装,多一个软件系统就多一个弱点,但在此基础上必要的软件一定要装,而且只装负责一个领域的一个软件,不要捆绑,更不要那种几种功能混合在一起的软件(国产软件最喜欢几种功能混在一起,但实际上哪种都做不好)。操作系统自身能搞定的,不要装第三方软件;纯web能搞定的(例如邮箱),不要装客户端;对操作系统没有深入了解的,不要想着什么清理,很容易误操作。

最后,请拉黑所有国产证书:https://github.com/chengr28/RevokeChinaCerts
但是firefox是有着一套自己的证书系统的,那就只能手动轰走证书了:打开选项——》切换到高级一栏——》找到证书一栏——》点击“查看证书”——》对比https://github.com/chengr28/RevokeChinaCerts/wiki/ReadMe(Chinese_Simplified) 里的证书并手动删除。