看很多人安全意识不强,这里普及一下信安方面的知识与建议
看很多人安全意识不强,这里普及一下信安方面的知识与建议
2020-2-25:针对大家得回复,这里多补充几句:
1、做到“编程随想”那种程度的安全,需要非IT相关人士掌握一定的计算机知识,门槛相对较高。但大家对于的敏感程度确实没有那么高,所以一些较难实现的设置我会尽量精简,让大家都能用自己现有的知识大幅提高自己的信息安全水准,而不是写得全面,大家一头雾水,到头来什么也没瞧懂;
2、不用手机翻墙,而用高度加固的PC翻墙,对于绝大多数人来说,很不现实。所以,结合我的经历,我推荐大家用iPhone,不是说iOS绝对安全,而是对比安卓,二者选一,那只能选前者;
3、这里我再强调——安卓,无论是国内魔改,还是海外软硬件都是原生(你们所谓说的非中国制造),在眼里,那都是软柿子,工作项目上,我是亲眼见识过某ZF部门开发的代码直接无视原生安卓的安全机制直接秒root的,而此代码,已经在很多国内APP上部署了,但有没有传到Google市场上,我不知。
所以不要去争论安卓和苹果哪个更安全,没有争论的价值。同时提醒大家:千万不要被安卓什么权限管理所忽悠,在掌握更底层的控制权的前提下,那真是防君子不防小人的。
就说到这里,有别的我再补充。
----------------------------------------------------------------------------------------------
本人信安专业,从事IT行业N年,因为看到大家信息安全意识过于薄弱,很多大陆和香港的同胞因此被查水表。本想注册账号后发一篇科普文,普及一下信安方面的知识,无奈点数不够,于是乎,我只能不停点赞凑点数,希望版主能理解。这么做无非是让更多的人看到,以避免大家被身边电子设备出卖而处于危险之中。
下面直奔主题,我尽最大可能避免使用专业词汇,用通俗浅显的语言去解释。
概况
首先,目前大家遇到的几乎所有的主流APP都留有各种后门,这些后门会运用各种复杂的技术手段收集用户的信息。这些信息从收集、处理到倒卖上拥有一个大的超乎行外人想象的产业链,一方面,用户信息可以在商业上给终端用户精准投放广告;另一方面,用户信息也会被政府随时采集并利用大数据进行数据挖掘,根据权重评价每个用户的“良民度”。
而自从16年人工智能开始火了后,内置的后门程序开始有了质的飞跃。目前通过我的专业知识以及人脉,我可以肯定地告诉大家,诸如微信、支付宝、今日头条、搜狗输入法等国产应用,都内置了大量运用人工智能技术的后门,它们会随时监控你的行为,包括但不限于:你的聊天文字、你的语音通话、电话、以及你手机待机状态也会24小时记录你说下的话,人工智能会根据你说的、虚拟键盘输入的关键词、你的行动轨迹等按照事先制定的规则,搜集你的设备号、手机号、IP地址等信息,再加上对你行为判断的结果,一并上传到指定服务器。这也是为什么大家最近几年开始发现,自己和好友吃饭时无意聊了几句某商品/事件,手机马上就会给精准推送。
解决方案
严格意义上来讲,除了回归原始生活,绝对意义上的信息安全根本不存在。在不考虑成本的前提下,你的生活是完全透明的。
然而,你的自身价值,决定了政府能抽出多少的预算来监控你。因此,我的建议是对于普通民众来讲的,能保证95%以上安全:
1、不要在敏感的互联网上暴露自己的身份,这点最重要,我放在第一位,注册时能填虚假信息就填,忌发会暴露自己位置的图片和视频,防止被人肉、被追踪;
2、尽量避免在电子设备(手机、电脑)上安装国产应用,这点毋庸置疑,但一些必要软件,如微信、支付宝等生活必须APP,我会在第四点详细讲;
3、不要用安卓手机!这点相当重要!目前的国产安卓机,以我个人所能确认的,华为、小米都在系统底层内置了后门,一种是直接监听用户,另一种往往隐蔽性更强——即专门给微信、支付宝等APP开了“绿色通道”,这意味着这些国产应用完全不受安卓权限管理的控制,而用户完全无法察觉,所以不要轻信那些权限控制的软件。这里肯定会有人问:刷原生安卓不久可以了吗?我的答案是:相比国产魔改系统安全,但远远不够,因为安卓系统毕竟还是操作系统,硬件还是国产厂商的,软硬件的高度分离导致安卓APP在安全问题上永远比封闭生态的苹果差得多得多;
4、手机仅推荐苹果手机且版本在iPhone X以上(不包含iPhone X),原因无它,封闭的生态、严格的APP审核、近乎苛刻的安全机制使得苹果有着极高的安全性(但,不否认苹果与CCP相勾结,开了后门,但相比安卓明目张胆的好很多)、
touch ID 设置要复杂(包含数字、英文大小写及符号)、
不要用国区苹果账号、
可以在苹果手机上安装国产APP,但权限设置上,国产软件一定要严格控制,取消不必要的“后台刷新”、“获取位置信息”、“获取通讯录”、“麦克风”等权限、
第三方输入法要取消“第三方完全访问”权限、
不要在国区下载任何翻墙软件,如:国区小火箭,那是CCP用来钓鱼的、
不要拿国产APP走翻墙的流量、
在“隐私”设置里“限制广告追踪”并定期“还原广告标识符”;
5、敏感行为一定要用Tor,且在安全设置里把安全级别调至“Safer”即可;
6、不要用来历不明的VPN,免费的根本不要考虑,建议自己买VPS搭梯子(当然,VPS不要选阿里云等国内厂商的)然后通过梯子上TOR;
7、建议在敏感地区不要用VPN等特征明显的梯子,目前SS,SSR也从去年年底被识别,目前推荐TLS代理、
8、不要在IM、网页点开不明来历的图片和链接,有时你点开的是精心准备的、能暴露你的脚本而你浑然不知;
9、系统定期打补丁;
10、不要用你国内实名的手机号注册任何海外IM和社交媒体,尤其在现在这么关键的时刻、
11、Windows系统可以安装杀毒软件,记住:绝对不要安装国产杀软(国内版的卡巴也不行)!推荐国外的Bitdefender Total Security,支持正版,但如果经济条件不允许,可以无限次申请90天免费试用,https://www.bitdefender.com/media/html/consumer/new/get-your-90-day-trial-opt/index.html、
12、计算机做到全盘加密,推荐veracrypt;
13、不要相信谷歌,do must be PY and evil!
1、做到“编程随想”那种程度的安全,需要非IT相关人士掌握一定的计算机知识,门槛相对较高。但大家对于的敏感程度确实没有那么高,所以一些较难实现的设置我会尽量精简,让大家都能用自己现有的知识大幅提高自己的信息安全水准,而不是写得全面,大家一头雾水,到头来什么也没瞧懂;
2、不用手机翻墙,而用高度加固的PC翻墙,对于绝大多数人来说,很不现实。所以,结合我的经历,我推荐大家用iPhone,不是说iOS绝对安全,而是对比安卓,二者选一,那只能选前者;
3、这里我再强调——安卓,无论是国内魔改,还是海外软硬件都是原生(你们所谓说的非中国制造),在眼里,那都是软柿子,工作项目上,我是亲眼见识过某ZF部门开发的代码直接无视原生安卓的安全机制直接秒root的,而此代码,已经在很多国内APP上部署了,但有没有传到Google市场上,我不知。
所以不要去争论安卓和苹果哪个更安全,没有争论的价值。同时提醒大家:千万不要被安卓什么权限管理所忽悠,在掌握更底层的控制权的前提下,那真是防君子不防小人的。
就说到这里,有别的我再补充。
----------------------------------------------------------------------------------------------
本人信安专业,从事IT行业N年,因为看到大家信息安全意识过于薄弱,很多大陆和香港的同胞因此被查水表。本想注册账号后发一篇科普文,普及一下信安方面的知识,无奈点数不够,于是乎,我只能不停点赞凑点数,希望版主能理解。这么做无非是让更多的人看到,以避免大家被身边电子设备出卖而处于危险之中。
下面直奔主题,我尽最大可能避免使用专业词汇,用通俗浅显的语言去解释。
概况
首先,目前大家遇到的几乎所有的主流APP都留有各种后门,这些后门会运用各种复杂的技术手段收集用户的信息。这些信息从收集、处理到倒卖上拥有一个大的超乎行外人想象的产业链,一方面,用户信息可以在商业上给终端用户精准投放广告;另一方面,用户信息也会被政府随时采集并利用大数据进行数据挖掘,根据权重评价每个用户的“良民度”。
而自从16年人工智能开始火了后,内置的后门程序开始有了质的飞跃。目前通过我的专业知识以及人脉,我可以肯定地告诉大家,诸如微信、支付宝、今日头条、搜狗输入法等国产应用,都内置了大量运用人工智能技术的后门,它们会随时监控你的行为,包括但不限于:你的聊天文字、你的语音通话、电话、以及你手机待机状态也会24小时记录你说下的话,人工智能会根据你说的、虚拟键盘输入的关键词、你的行动轨迹等按照事先制定的规则,搜集你的设备号、手机号、IP地址等信息,再加上对你行为判断的结果,一并上传到指定服务器。这也是为什么大家最近几年开始发现,自己和好友吃饭时无意聊了几句某商品/事件,手机马上就会给精准推送。
解决方案
严格意义上来讲,除了回归原始生活,绝对意义上的信息安全根本不存在。在不考虑成本的前提下,你的生活是完全透明的。
然而,你的自身价值,决定了政府能抽出多少的预算来监控你。因此,我的建议是对于普通民众来讲的,能保证95%以上安全:
1、不要在敏感的互联网上暴露自己的身份,这点最重要,我放在第一位,注册时能填虚假信息就填,忌发会暴露自己位置的图片和视频,防止被人肉、被追踪;
2、尽量避免在电子设备(手机、电脑)上安装国产应用,这点毋庸置疑,但一些必要软件,如微信、支付宝等生活必须APP,我会在第四点详细讲;
3、不要用安卓手机!这点相当重要!目前的国产安卓机,以我个人所能确认的,华为、小米都在系统底层内置了后门,一种是直接监听用户,另一种往往隐蔽性更强——即专门给微信、支付宝等APP开了“绿色通道”,这意味着这些国产应用完全不受安卓权限管理的控制,而用户完全无法察觉,所以不要轻信那些权限控制的软件。这里肯定会有人问:刷原生安卓不久可以了吗?我的答案是:相比国产魔改系统安全,但远远不够,因为安卓系统毕竟还是操作系统,硬件还是国产厂商的,软硬件的高度分离导致安卓APP在安全问题上永远比封闭生态的苹果差得多得多;
4、手机仅推荐苹果手机且版本在iPhone X以上(不包含iPhone X),原因无它,封闭的生态、严格的APP审核、近乎苛刻的安全机制使得苹果有着极高的安全性(但,不否认苹果与CCP相勾结,开了后门,但相比安卓明目张胆的好很多)、
touch ID 设置要复杂(包含数字、英文大小写及符号)、
不要用国区苹果账号、
可以在苹果手机上安装国产APP,但权限设置上,国产软件一定要严格控制,取消不必要的“后台刷新”、“获取位置信息”、“获取通讯录”、“麦克风”等权限、
第三方输入法要取消“第三方完全访问”权限、
不要在国区下载任何翻墙软件,如:国区小火箭,那是CCP用来钓鱼的、
不要拿国产APP走翻墙的流量、
在“隐私”设置里“限制广告追踪”并定期“还原广告标识符”;
5、敏感行为一定要用Tor,且在安全设置里把安全级别调至“Safer”即可;
6、不要用来历不明的VPN,免费的根本不要考虑,建议自己买VPS搭梯子(当然,VPS不要选阿里云等国内厂商的)然后通过梯子上TOR;
7、建议在敏感地区不要用VPN等特征明显的梯子,目前SS,SSR也从去年年底被识别,目前推荐TLS代理、
8、不要在IM、网页点开不明来历的图片和链接,有时你点开的是精心准备的、能暴露你的脚本而你浑然不知;
9、系统定期打补丁;
10、不要用你国内实名的手机号注册任何海外IM和社交媒体,尤其在现在这么关键的时刻、
11、Windows系统可以安装杀毒软件,记住:绝对不要安装国产杀软(国内版的卡巴也不行)!推荐国外的Bitdefender Total Security,支持正版,但如果经济条件不允许,可以无限次申请90天免费试用,https://www.bitdefender.com/media/html/consumer/new/get-your-90-day-trial-opt/index.html、
12、计算机做到全盘加密,推荐veracrypt;
13、不要相信谷歌,do must be PY and evil!
不要同时使用 Tor 和不使用 Tor 访问同一台服务器。
为了让自己完全隐藏起来,你需要伪装自己。[b]这意味着您需要在使用 TOR 时将自己表现为具有不同行为特征的人。变成完全不同的人,具有不同的好恶、选择偏好,以及理想等等。[/b]
为了让自己完全隐藏起来,你需要伪装自己。[b]这意味着您需要在使用 TOR 时将自己表现为具有不同行为特征的人。变成完全不同的人,具有不同的好恶、选择偏好,以及理想等等。[/b]
国内有家叫数字联盟的,打着对抗黑产的名号,向很多手机“注入身份证”,让这些手机生成独一无二的指纹,修改imei、mac地址、设备序列号以及IMSI和iOS系统的IDFA等设备信息也无法清除。(据说有人卡刷双清硬改设备信息后还指纹ID还在。
截止2018年,有7亿台手机已经有了这些独一无二的指纹。
还有个数美科技的也是做这个的。
安装国产软件就会生成smid(不知道他们背后还和多少厂商合作
所以手机真的不适合搞敏感活动,去Linux上开虚拟机吧
截止2018年,有7亿台手机已经有了这些独一无二的指纹。
还有个数美科技的也是做这个的。
安装国产软件就会生成smid(不知道他们背后还和多少厂商合作
所以手机真的不适合搞敏感活动,去Linux上开虚拟机吧
手机操作敏感活动就是找死行为。浏览一下还是可以的。别的不说就说小米浏览器,每浏览一个页面都会把网址url传送到 security.browser.miui.com 这个服务器然后由服务器返回信息判断是否 根据相关法律法规xxx 或者 风险提示 关是关不掉也没有开关。还有一个data.mistat.xiaomi.com 每时每刻都在访问网络,你以为为什么掉电那么快?这都是有原因的。还有一些url根据一些特征可以判断出在获取用户位置信息 imei imsi 等敏感信息不过都是加密了的。所以够胆就用手机进行敏感活动
留言
張貼留言