为啥要防范个人软件?

  2009年那个臭名昭著的“绿霸事件”,大伙儿应该记忆犹新吧?据说这玩意儿可以把你上过哪些网站、甚至通过键盘打了哪些字都记录下来,然后发送到“绿霸”所在公司的服务器上。如果你的电脑上装了它,基本上你的一举一动,都在某人的监视之下(这就是传说中的老大哥在看着你)。这时候,你即便再搞什么隐藏 IP、加密代理,也是白搭。

  所以捏,你首先必须彻底杜绝这种带有后门性质、木马性质,且受控于某人的软件。那么除了“绿霸”,还有哪些软件【可能会】暴露你的隐私和行踪捏?我粗略整理了几种类型,介绍如下。

即时聊天(IM)软件

监控聊天内容

利用聊天历史记录取证

利用 企鹅 搜罗电脑中的文件

 如此一来,企鹅的危险性又增加了一层。不排除今后有关部门利用QQ庞大的装机量,收集 企鹅用户电脑中的敏感文件。

有2个 企鹅 的替代品:

其一是:提供的 Web 版的 企鹅 工具

其二是:开源的Pidgin

(原先支持 企鹅 协议,后来疼讯升级了 企鹅版本后可能无法支持了)。用这2个替代品,可以避免 企鹅 客户端软件扫描你的硬盘文件,但还是无法避免你的聊天内容被监控。

还有哪些 IM 可能被监控?

  既然某人的有关部门会利用 企鹅 进行监控,它自然也不会放过其它几款【国内】的聊天工具

比较可靠的 IM

  选择开源端到端加密的软件。比如TOX,BITMESSAGE,Wire,Viber,LINE,Telegram 或 Threema等,在此不是很推荐Telegram这个软件因为不够匿名化。

杀毒软件

  不光国内的 IM 工具不保险,国产的杀毒软件也要多加小心。

国产杀毒软件的危险

​ 你用了某款国产杀毒软件,而该软件恰好又安放了受某人控制的后门。那么,它就可以名正言顺地对你硬盘中的每一个文件进行扫描;然后,在扫描的过程中,顺便收集一下你电脑中的敏感文件;再然后,利用在线升级的机会,顺便把收集到的信息传回厂商的服务器上;最后,某人的有关部门发觉了你的异动,到你家来敲门。

应对措施

  要规避上述风险,也挺简单——就是尽量不用国产滴杀毒软件,改用国外滴。 目前某人滴触角还不够长,还没有伸到国外杀毒厂商那里。

浏览器

  再来说说上网必用的工具——浏览器。

浏览器的选型

  从安全性角度从隐私方面考虑,Firefox 比 Chrome 要好

记得清除上网的痕迹

  主流的浏览器(包括:Firefox、Chrome、IE)都支持“隐私浏览模式”。如果你通过浏览器进行某些敏感的操作,建议在隐私浏览模式下进行。这样,当你干完事情后,只要关闭了浏览器,你的浏览历史(包括浏览器 cookie)就不会保存下来。

隐私模式对浏览器插件是无效的。比如隐私模式可以控制“浏览器 cookie”,但是【无法】控制 Flash 的 Cookie!也就是说,即使你用了隐私模式,Flash 的 Cookie 还是会保存在硬盘上。

  对于浏览器插件留下的痕迹,该咋办?有两个办法: 

  • 你的浏览器不要装任何插件(比如 Flash 插件、Java 插件、PDF 插件、媒体播放器插件 …) 
  • 利用虚拟机的快照功能。你先设置好一个干净的虚拟机快照,然后在该虚拟机中上网。上网结束后,回退到快照,那么你在虚拟机中的任何痕迹都会被抹去。

 另一个需要提醒的是,浏览器的缓存通常是存储在硬盘的某个目录中。浏览器清除缓存的时候,只是简单删除这些缓存文件,

而不是彻底删除

。简单删除,还是有可能用专门的工具软件恢复出来的(比如某些反删除工具)。更保险的做法是,你需要采用一些数据加密的措施(加密浏览器存放历史信息的目录),以防止浏览历史被恢复出来。

去除后门CA证书

小心浏览器的 CA 证书国内很多恶心的后门证书,在此推荐一款全平台的可以自动化开源吊销那些后门证书的厂商工具。

工具链接:https://github.com/chengr28/RevokeChinaCerts

FireFox-Privacy配置强化

准备:

  1. 在浏览器的网址列输入 “about:config” 并点击 enter 键
  2. 点击"I’ll be careful, I promise!“按钮
  3. 依照下方的指示操作

开始动手:

  1. privacy.firstparty.isolate = true
    • Tor Uplift效用的结果,它可隔绝主要访问网域中所有浏览器辨识器来源(如 cookies),并期能可阻挡跨域名的追踪。(如果已使用扩展 “Cookie AutoDelete”,请不要打开此功能。)
  3. privacy.resistFingerprinting = true
    • Tor Uplift 效用的结果, 此偏好可让 Firefox 更能抵抗指纹辨识。
  5. privacy.trackingprotection.enabled = true
    • Mozilla 新內建的追踪保护功能,其利用 Disconnect.me 过滤名单,但如果你已使用其它第三方的屏滤器如 uBlock Origin,其效能就会重复多余,因此你可以将之设为关闭。
  7. browser.cache.offline.enable = false
    • 取消离线的缓存快取资料
  9. browser.safebrowsing.malware = false
    • 取消 Google 安全浏览的恶意软件检查。这会有安全上的风险,但可改善隐私。
  11. browser.safebrowsing.phishing.enabled = false
    • 取消Google安全浏览与防钓鱼保护。这会有安全上的风险,但可改善隐私。
  13. browser.send_pings = false
    • 这个性能可让网站追踪访客的点击情況。
  15. browser.sessionstore.max_tabs_undo = 0
    • 尽管 Firefox 设定为不记录浏览资讯,但在用户关闭浏览器分页之前,这些资讯仍会暂存在选单 -> 浏览历史 -> 近期关闭的分页 底下
  17. browser.urlbar.speculativeConnect.enabled = false
    • 关闭自动完成的 URLs 预载, 当用户在网址列输入资讯时,Firefox 会自行预载,有人担心这些浏览器自动建议的网址并非是用户想要连上的网站。 来源
  19. dom.battery.enabled = false
    • 网站主人可以追踪用户上网设备的电池状况。来源
  21. dom.event.clipboardevents.enabled = false
    • 取消让网站在让你从某网页中复制、贴上是剪下任何内容時,会发出通知。这会让他们知道网页的哪一部份被挑选。
  23. geo.enabled = false
    • 取消地理定位资料
  25. media.navigator.enabled = false
    • 网站可以跟踪用户上网设备里的麦克风和摄影机状态
  27. network.cookie.cookieBehavior = 1
    • 取消cookies
    • 0 = Accept all cookies by default
    • 1 = Only accept from the originating site (block third party cookies)
    • 2 = Block all cookies by default
  29. network.cookie.lifetimePolicy = 2
    • cookies 在期间结束后会被刪除
    • 0 = Accept cookies normally
    • 1 = Prompt for each cookie
    • 2 = Accept for current session only
    • 3 = Accept for N days
  31. network.http.referer.trimmingPolicy = 2
    • Send only the scheme, host, and port in the Referer header
    • 0 = Send the full URL in the Referer header
    • 1 = Send the URL without its query string in the Referer header
    • 2 = Send only the scheme, host, and port in the Referer header
  33. network.http.referer.XOriginPolicy = 2
    • Only send Referer header when the full hostnames match. (Note: if you notice significant breakage, you might try 1 combined with an XOriginTrimmingPolicy tweak below.) Source
    • 0 = Send Referer in all cases
    • 1 = Send Referer to same eTLD sites
    • 2 = Send Referer only when the full hostnames match
  35. network.http.referer.XOriginTrimmingPolicy = 2
    • When sending Referer across origins, only send scheme, host, and port in the Referer header of cross-origin requests. Source
    • 0 = Send full url in Referer
    • 1 = Send url without query string in Referer
    • 2 = Only send scheme, host, and port in Referer
  37. webgl.disabled = true
    • WebGL 有潜在的安全风险来源

照片和文档清除元信息

​ 每个人拍照的照片在没有进行过二次处理都会存在元信息,你在哪拍,用的什么设备等等都会包含在照片里泄露你的个人信息,所以当拍完照片需要使用exif工具去清除照片元信息。

​ 文档也一样所有自己新建的文档都会有元信息,具体怎么清除各位就自己去网络寻找解决办法吧,这里不细讲!

网络账户的注册

​ 不要使用同一个用户名,或者具有强烈标识性的用户名,密码也同样需要进行多元化。注册的电子邮件也不可以多站共用一个。如果非要用,那么就注册一个新的专门用来关联这些无关紧要的站点。尽量保证到一个站一个单独无关联的用户名和电子邮件。具体的方案怎么架构自己去研究!

网络账户撞库防范

账户注销

对于一些不想再去的网站进行一个注销账户处理,这里推荐两个全方位的外网注销账户导航网站

http://backgroundchecks.org/justdeleteme/(需fq)

https://www.accountkiller.com/en/

大部分都是国外的国内的基本上没有!

密码管理

  • 对于各个网站能开启两步认证的都开启,对于密码和账户很多的推荐使用开源的keepass搭配官方的插件使用的很舒服。
  • 尽量不要多个网站使用同一个账户或者密码防止撞库。
  • 自己需要建立一个自己的独特的账户密码生成体系结构。这里就不展开去讲,各位可以自己去研究总结。
  • 比如唐诗密码,佛经密码,歌词密码等等。
  • 最终密码= 程序建议密码(好记+伪随机)+ 用户个性规则(用户个人方便记忆+更强的随机)(所谓的加盐)

输入法

  其实,早期传统的输入法都是单机软件,是没有太大的隐私风险。

  但是随着这几年网络的发展,Web 2.0 的普及,连输入法软件也开始上网了(还美其名曰“云输入法”,可见 IT 业多么喜欢炒概念:)。很多新推出的输入法,可以把用户个性化的词库同步到输入法厂商的服务器上。这样,无论你使用哪台电脑,只要该电脑可以联网,你就可以体验到自己的个性化词库。

  但是,这样也就带来了一个潜在的隐私问题。因为输入法软件非常了解你经常输入哪些词组,而且把你经常输入的词组保存到你的个性化词库,然后再把词库同步到服务器上。如果你用的输入法是国产软件,那么,某人一样可以逼迫输入法的软件厂商把每一个用户的个性化词库公开给有关部门。然后有关部门就可以通过你的个性化词库,知道你平时经常输入哪些东东。

输入法选型

推荐RIME、Google输入法离线词库导入

如何防范?

  如果你觉得输入法在线同步词库的功能很爽,让你很 High,让你不可抗拒,我还是奉劝那句老话:别用国产滴,用进口。

  如果你觉得在线同步只是个花哨的功能,无所谓,我建议你还是用单机模式的输入法比较保险。这时候无论国产/进口,差别应该不大。

Email选型

推荐不在UKUSA协议中的国家的服务。具体不做具体推荐防止薅羊毛出现。

常见的安全隐患

  • 自动登录的隐患
  • 本地存储的隐患

如何防止出现问题,请看踏雪无痕系列的其他文章推荐的加密软件和良好的操作思想。

个人软件脱中化推荐网站

https://prism-break.org/zh-CN/

https://cybermagicsec.github.io/privacytools-zh

个人软件使用总结

  说了许多,大伙儿应该看出点门道了吧?——但凡【国产的】、带有【网络功能的】应用程序,只要【用的人多】了,都可能被盯上。所以,不要怨我崇洋媚外,实在是无孔不入啊!

  可能会有人质疑说:老美的软件,也可能植入了美帝的安全局的后门啊!

  但是我想反驳说:即便国外的那些软件,都带有美国国安局的后门,也不用怕——毕竟美国佬对咱们没有司法管辖权 :)

未完待续~~~~~~