无论谷歌事件是不是政府安插了卧底在谷歌北京办公室以获得用户识别代码(来自华尔街日报),也无论09年12月开始的疯狂、放肆的极光行动,是否属实,无论如何,你都要开始捍卫你的数字信息安全了。因为,在数字时代,偷你的重要信息,无需破窗破门,也无需倒挂金钩等特技,他们要做的,只是几行代码。
为什么突然写这篇文章呢,一是看了RSS阅读器里的几篇老文章有点思考,而是周围的人范这种低级错误越来越多,随便说几个吧:这两个月我都在新疆的 某个“小”城市,听说一个大叔给在湖南的老婆发短信说:“新疆七五事件快一周年了,这边乱得很(气氛还好啦),别过来了”,于是国安局的同志找到他上办公 室喝茶聊天来了;一位阿姨,管某国字头的敏感企业的某部门的移动硬盘等设备,女儿在外企,正好需要一块硬盘,于是阿姨就节约地邮寄了一块被删除了所有文件 的移动硬盘给北京的女儿,被国家安全局的截获,恢复出所有文件,并且处罚通报;一位大叔给某私人公司通过电子邮件传送Word文档,被截获…
以上的例子都是由于对常识的稀缺:很多人不知道短信其实是明信片;很多人不知道文件即使在回收站清空了还是可以恢复出大部分的;很多人不知道发邮件 的时候启用SSL连接,或者要加密,又或者试用国外的邮箱并以https协议连接。所以,不要以为我是乖宝宝,所以不需要防范。极光行动,由政府主演的, 疯狂窃取敏感人士的邮件和通讯信息,包括IE的劫持,0Day漏洞等。
我不分析很技术的东西,一是没错吧的读者群体应该不是这样的,二是技术文章多得是,而且我也不是非常精通,于是我就讲点比较容易做到的,很经济的建议。因为通过我5月份的调查,很多人因为麻烦,即使知道不安全,但还是会主动认输。当然,本文的目的不是让读者开始不守法并逃避制裁,只是,在当今国内对公民通讯自由权还没有实质保障和尊重前(宪法只是美好的童话),自己必须得为自己负责,我当然不希望自己国家的战略性机密泄露在空气中。
- 你还在用国内的软件和网络服务吗
国内的服务,其实我非常不信任。
先来说说QQ吧,这个企鹅越来越肥,越来越讨人厌,但是我还是很尊敬他,毕竟,创新不一定是全新的发明,把一个产品和创意本地化也是一种创新,尽管是“狗日的”。
QQ会扫描硬盘文件,证据在这。即使 QQ不扫描硬盘,你所有的聊天记录,登录地点都是透明的,没有加密过。即使加密过,你也知道公安局“正义”的警察叔叔想看就可以看到你的聊天记录,腾讯提 供了一个专门的接口。而且很多QQ用户都抱怨QQ群经常被检查,一旦聊到了敏感词,就会自动被停止服务。所以,我隐约记得QQ聊天窗口上有这么一句话:切 勿在聊天中提及信用卡等银行信息。现在你理解腾讯的好意了吧。
替代方案就是只使用电子邮件,这个最古老但是最高效率却有意义的工作方式,尤其是Google的Gmail引入对话式的整理方式和强大的全文搜索, 非常高效。我就是这样的,有朋友问我QQ,就丢一个邮箱给你,反正是你找我,不联系拉到;如果我找只用QQ的,就发邮件丢到QQ邮箱,QQ号码加 “@qq.com”,很方便。
过度期的办法就是只用WebQQ,网页版的QQ,大部分用户需要的功能都有,虽然聊天内容会被监控,但是网页上运行的代码还没有神通广大到可以获得磁盘里的文件。
尽管在国内这是一个很难的决定,但是有决心就能做到,我就做到了(那是你现实世界的人缘不好),尽管少了很多MM可以调戏并交往,诶。
顺便说一句,你知道Skype在国内推出TomSkype的“专为中国用户设计的特别版”是为什么吗?
360安全卫士什么的都远离吧,毕竟这个软件是做流氓软件起家的,最后却在流氓时代快终结的时刻自己做大好人去了,谁知道它会不会再一次流氓呢。我 想,Symantec的Norton好的多。360的巨大装机量让我恐惧,很容易像暴风影音一样,让全国80%的电脑变成肉鸡。
- 让自己非主流
这个点跟上个点有点重合,终归就是:不要走别人都走的路,走别人想不到的路。
我很建议敏感认识试用Mac电脑或者Linux操作系统。首先,Windows的漏洞和bug满天飞,我前一篇文章已 经分析过了,从架构上就很脆弱。Windows非常容易中毒,所以,别人给你施毒也很容易,什么IE漏洞,0Day,拒绝服务攻击,内存溢出之类的。况 且,微软给中国政府提供了所有的源代码,所以熊猫如果要写一个杀毒软件判断不出来的病毒也不是不可能。消极的猜想一下,这是Google总部全面淘汰 Windows,换苹果机的原因?!
如果你用Mac OS X或者Linux,绝大部分为Windows研制的木马和间谍软件都起不了作用,因为熊猫也都是接受的“被微软绑架了的中国式计算机教育”,只知道电脑就 是Windows,甚至上网只能用IE,对“非主流”的东西完全不知道(见Jason Ng的喝茶记)。毕竟没人会去为“极少数”“用户”开发“精品软件”。即使被熊猫约去和喝茶了(我喜欢咖啡,当然,如果是观音王和大红袍也不错),电脑被 检查了,一般也不需要重装系统再继续使用。
- 做一个技术男(女)
如果你是搞敏感的,比如HR Fighter的话,还是多学学技术的东西吧。就像我开头所说的,现在,他们需要的只是几行代码而已。
下面我举一个例子,是很容易犯的错误,却又很重要,但容易被忽视的:
你一定知道陌生人发来的网站、网页地址不能点击,但是如果给你发一个图片文件,或者一个.jpg/.png/.gif等图片文件的地址呢?你一定以 为,图片文件而已,看看又不会死。的确,图片夹藏恶意代码已经很老套了,但是,做过网站的都知道,我们可以在服务器后台看到每一个文件的访问者IP、时 间、停留时间、从哪个网页跳转来的等许多信息。
如果我是坏叔叔,我可以给你的邮箱发一封带有图片的邮件,图片是插入一个远端服务器的图片。如果你在邮件客户端接收了这封邮件,默认是会自动获取这张图片,于是,你的一切信息就产生了。这就是为什么Gmail会寻问你“是否要载入远端图片”。
另外,我很建议公司内使用正版软件。一是法律有保障,出了任何问题软件公司会进行处理,并且不会面临起诉的风险(金山就被微软敲诈过);二是有电话 技术支持,可以不用雇佣IT支持人员了;同时,例如番茄花园这类的盗版软件,虽然做的很出色,但是都是有后门的,即使软件修改者没有恶意,但是不能保证这 些后门不会被他人利用。当然,这些需要一定的财力支持,如果做不到,那么安装盗版软件是需要找到可信任的提供者。
没有评论:
发表评论