​ 今天的主题是操作系统相关的防范。而操作系统相关的防范,归根结底,就是保护你操作系统中的【各种数据】不被泄露。

考虑到本帖有点长,先拿一个八卦旧闻来给各位同学提提神,顺便也让大伙儿了解了解保密性是何等滴重要。   想必列位看官都还记得,当年陈冠希同学的艳照门丑闻吧?(就算你不记得艳照门丑闻,总该还记得那些艳照吧:)陈同学之所以身败名裂,就是因为太不注重敏感数据的保密性了。首先,他没有把重要的数据(也就是那些艳照)加密存放;其次,在电脑拿去送修的时候,也没有进行相关的处理(至少也应该先把硬盘留下来)。最后的结果就是——搞臭了一堆女明星,便宜了广大男网民。

电脑中的数据,如何让你暴露?

  从上述例子,列位看官应该体会到保密性的重要了吧?回到咱今天的话题,“数据的保密性”和“隐藏踪迹”有啥关系?

电脑中的虚拟身份

  当你用你的虚拟身份上网时,不可避免的,会有一些相关的信息保存在电脑上。比如: 很多用户为了省事,会让浏览器记住自己登录的网站的用户名/密码; 有些 Web 网站,会把你的登录名保存到 cookie 中; 你可能会把聊天工具设置成自动登录; …..   凡此种种,都可能在你的电脑中,留下和你的虚拟身份相关的信息。

电脑中的真实身份

  另外,你除了用虚拟身份上网,还可能会用电脑干一些个人的事情,甚至用真实身份登录一些 Web 网站。因此,有些和你真实身份相关的数据,也会留在电脑中。比如: 邮件客户端(Outlook、Foxmail …)的通讯簿; 你保存的一些个人的照片; 你使用的网银信息(如果你用它上网银); 你公司的一些文件(如果这是你的工作用机); 有些 Web 网站,会把你的登录名保存到 cookie 中; 你的手机号(如果你在某些IM工具中绑定了手机号) …..

两种身份的关联

  假设你是一名地下工作者,隐藏得很好,正在和党作斗争。结果有一天,由于某种原因,你电脑上的数据,落入他人之手。那么,拿到数据的人,可能会发现——网上的“某XX”原来就是现实生活中的“某叉叉”。这时候,你的踪迹也就彻底暴露 :-(

数据泄露的几种途径

  那么,在什么情况下,别人会拿到你电脑中的数据?俺总结了一下,有如下几点:

电脑被入侵

  首要的风险,就是你的电脑被入侵,并且很不幸地被植入了木马。那么,在这种情况下,木马可能会盗取你电脑中的很多数据。(如果你在信息安全方面一窍不通,不知何为“木马”,请看“这里”的介绍)   千万不要以为中木马是小事。一个普通网友中招,可能确实是小事,因为让你中招的可能是一个普通黑客。但如果你是一个小有名气的人士那某些人很可能会想尽办法让你中招(植入木马),然后利用你电脑中的木马监视你的一举一动。

电脑被没收

  有时候,当某些人开始怀疑你的身份,它们可能会突然没收你的电脑,拿回去分析。根据你电脑中的数据,了解你在网上的虚拟角色。   如果你本身已经是一个公开身份的知名人士,那电脑被没收的概率就更大了。之前已经有多位知名的人士,个人电脑被强行搜走。然后,他们可以分析你电脑中的信息,从而了解你与哪些人过从甚密、干过哪些不利的事情。

电脑公用

  假设你的电脑不是你一个人专用,而是与别人合用,那也得小心。比如你把电脑借给别人,或者你使用公共场所(网吧、学校机房)里面的电脑。在一台多人共用的电脑上,你的个人隐私很容易暴露。

电脑遗失

  这年头,台式机越来越少,笔记本电脑越来越普及。而且,电脑的小型化大有愈演愈烈的趋势——比如“上网本、平板电脑”等。电脑小了,便于携带,但同时也增加了丢失的概率。   一旦你的电脑丢失,捡到的人又不愿意做活雷锋,那你的数据也就被别人拿到了。

三种数据泄漏的风险:

  • 直接识別风险(从数据中)。
  • 链接攻击风险:通过比对不同数据库的信息,可以关联出更多、更全面的个人信息。
  • 推理攻击风险:通过更多的知识、更多的计算和检索,可以推理出用户的个人信息。

如何防范?

  经过前面漫长的铺垫,终于要说到本文的重点部分了 :)

防止电脑被入侵

  要说黑客入侵的防范,那内容可是相当的杂,三言两语是肯定讲不清楚滴。   除了操作系统被入侵,另外的其它几种情况(电脑被没收、电脑丢失、电脑公用)导致的风险,都可以用后续几个招数来化解。俺再多啰嗦一下,一旦你的操作系统,被入侵并被植入木马(尤其是很厉害的木马),后续的这些招数是帮不了你的。这时候,你【最保险】的做法,就是重装系统并重装里面的各种软件。

数据加密

  首先,你要把一些重要的、敏感的数据,加密保存。具体的加密方式,可以考虑如下几种。

  1. 加密文件系统(EFS)

  2. 加密盘( VeraCrypt )

  3. 硬盘口令

  4. %APPDATA%目录之下(在资源管理器的地址栏输入%APPDATA%,再敲回车,便可看到该目录)。

    如何实现?

      敏感的文件,都位于“%APPDATA%目录”之下。一般来说,“%APPDATA%目录”所在的盘就是系统盘(也叫系统分区)。因此,你用VeraCrypt对整个系统盘加密,即可确保安全。对于加密系统盘的电脑,不用的时候,要关机,而不要待机

学会彻底删除数据,用专门的工具删除

  • Eraser

  • bleachbit

  • 支持的数据擦除方法有13中,我就列举前两个:彼得-加特曼法(35次覆盖),美国国防部标准法(US DoD 5220.22M)(7次覆盖)。

  • 而且这个玩意儿有个很牛逼的功能就是:可以把擦除过多地方用其他文件替换(Plausible Deniability),道理类似于TrueCrypt的隐藏卷实现的Plausible Deniability。

用低级格式化

清除上网的痕迹

隐私浏览模式

隐私模式对浏览器插件是无效的,所以控制自己安装的插件和扩展。

去除后门CA证书

小心浏览器的 CA 证书国内很多恶心的后门证书,在此推荐一款全平台的可以自动化开源吊销那些后门证书的厂商工具。

工具链接:https://github.com/chengr28/RevokeChinaCerts

输入法

​ 推荐开源rime输入法,国内的输入法会为你单独收集生成你的词库进行xxxx。

照片和文档清除元信息

​ 每个人拍照的照片在没有进行过二次处理都会存在元信息,你在哪拍,用的什么设备等等都会包含在照片里泄露你的个人信息,所以当拍完照片需要使用exif工具去清除照片元信息。

​ 文档也一样所有自己新建的文档都会有元信息,具体怎么清除各位就自己去网络寻找解决办法吧,这里不细讲!

网络账户的注册

​ 不要使用同一个用户名,或者具有强烈标识性的用户名,密码也同样需要进行多元化。注册的电子邮件也不可以多站共用一个。如果非要用,那么就注册一个新的专门用来关联这些无关紧要的站点。尽量保证到一个站一个单独无关联的用户名和电子邮件。具体的方案怎么架构自己去研究!

尽量不用移动设备

  主要的原因有两个:

  1. 这类手持设备,很容易丢失;
  2. 这类设备的操作系统,功能往往不够全,不够强。因此,你不便于使用专业的全盘加密软件(类似 VeraCrypt那种)。

尽量专机专用

  如果经济条件许可,最好是专机专用——专门用一台电脑来操作你敏感的虚拟身份。在这台电脑上,不要有任何能关联到你真实身份的东西。俺重点强调如下几种有风险的情况:

  1. 不要在任何网站(尤其是交友网站)、任何软件(尤其是IM软件)中输入你的真实姓名、手机号、身份证号
  2. 不要存储涉及个人信息的文件(比如个人照片、通讯簿)
  3. 不要存储任何与你的工作有关的文件

使用防火墙

​ 安装配置防火墙软件,或者国外杀软比如小红伞or科莫多comodo来进行建立初步的网络防线。设置电脑组策略进行个人化安全配置。