捍卫隐私(0):可能会用到的重要软件及专栏说明
我们必须保卫我们的隐私——假如我们还指望拥有它们的话。
https://zhuanlan.zhihu.com/p/602473714
aka. xxx使用教程/反取证教程
请各位严格遵守国家相关法律法规,勿将本专栏中提到的工具用于不当目的,不然后果自负。
操作系统(PC)
Qubes OS
斯诺登推荐并且日常使用的操作系统(with Whonix)
Xen虚拟机隔离,保障安全。安全和隐私不可分割。
Qubes OS的基本思路是把危险的事情用危险的虚拟机做,这样当它被攻破时仍然可以保证其他部分的安全,以此类推,把每一/组事情交给每个Qube(虚拟机)去做。
每个Qube基于一个模板。安装软件应该在模板中进行。基于同一个模板的Qube之间相互隔离
在安装完系统后的基础配置里可以选择安装Debian和Whonix模板,默认系统自带Fedora模板
默认桌面为Xfce4,可以改成KDE或者i3(我知道i3是WM)
Qubes OS可以和以某种较安全的方法和Bedrock Linux结合,详情请见后文
Qubes OS与外界通过两个AppVM来连接网络,这两个AppVM是最危险的部分,可以为它们使用HardenedBSD/OpenBSD,需要技术水平,详见后文
可以通过HVM在Qubes OS上无缝使用BSD和Windows等系统,并且Qubes OS官方为Windows HVM开发了一系列工具。Android X86也可用,但支持不佳,详见后文
你可以在Qubes OS里部署AEM来抵御Evil Maid邪恶女仆攻击,但这会使你失去对有后门的U盘的攻击的保护。
一般来说,建议笔记本用户装AEM,台式机用户不装。很显然,会被带着移动外出的笔记本被Evil Maid攻击的概率更大
Tails
斯诺登推荐并且在需要在陌生电脑上进行操作时所用的操作系统。有EFF的支持
Tails一般来说作为LiveUSB启动。
Tails 预装的桌面环境是GNOME 3。该系统包括阅读和编辑文档、图像编辑、视频观看和打印等功能的基本软件。可以根据用户的要求安装来自 Debian 的其他软件。
Tails 包括各种独特的软件,用于处理文件加密和 Internet 传输、加密签名和hash以及其他对安全性很重要的功能。它预先配置为使用To*,具有多个 To* 连接选项。它试图强制所有连接使用 To* 对于网络,它具有To* Browser、即时消息、电子邮件、文件传输和监控本地网络连接以确保安全。
按照设计,Tails 是“健忘症”。它在计算机的随机存取存储器(RAM) 中运行,不会写入硬盘驱动器或其他存储介质。用户可以选择将他的 Tails 驱动器上的文件或应用程序保存在“持久存储”中,该存储不是隐藏的,并且可以通过取证分析检测到。在通过正常或紧急方式关闭时,Tails 会覆盖大部分已使用的 RAM 以避免冷启动攻击。
也就是说,你应该把Tails作为一个LiveUSB来运行,而不是像Qubes OS那样作为PC操作系统。不必担心计算机有病毒,因为 Tails 独立于其他操作系统运行并且从不使用硬盘。但是,如果你从带有病毒的计算机上安装 Tails,或者在带有恶意硬件(如键盘记录器)的计算机上使用它,则 Tails 无法始终保护你。
当然你也可以把他放在虚拟机里运行,但这会增加额外的风险——何不使用Whonix呢?
Whonix
斯诺登推荐并通过Qubes-Whonix形式使用
Whonix ™ runs like an app inside your operating system - keeping you safe and anonymous. Whonix is available for:
- Windows
- Linux
- MacOS
- Qubes
- KVM
- on USB
更多将在Whonix章节提到
Kodachi Linux
我对这个系统不太了解,所以不讲太多
摘抄一些:
连接 V**
连接 T** 和 出口节点选择
DNScrypt 服务器运行环境
拥有 Truecrypt 加密 – keepass 密码管理系统- 安全云等
免费开源
随机 Mac 地址生成
RAM 关闭/重启 时清除
内置 T** 浏览器
Pidgin 即时通讯
*特币 钱包
Litecoin 钱包
DNSCrypt
多个 T** 出口节点转换器
多个 DNS 选项
Vera 加密
PeerGuardian(P2P网络安全软件)
Bleachbit、Nautilus-wipe、Keepass2xdotool、Seahorse、Gpa、Gnupg2、Enigmail、ufw、gufw、firejail
Komodo / Geany 开发环境,Krusader 文件管理器、Meld 代码对比、Shutter 多媒体、FileZilla、Audicity 音频处理、Terminator、Transmission、VirtualBox APPS
Htop 进程浏览器、Rdesktop、Gksu、Ncdu、Xtrlock、Nmap、Pcmanfm、Cairo-dock、Geoip-bin、Sysv-rc-conf、Disper、Smbclient、Syslinux-utils、Fcitx、Ibus、Pidgin-Otr
杂项与注意事项
Kali,Backbox,BlackArch,Pentoo这样的系统是拿来进攻的,不适合防御
单纯的Windows真机环境不可能很好地保护你的隐私,比如DNS预连接机制……
操作系统(手机)
GrapheneOS
The private and secure mobile operating system with Android app compatibility. Developed as a non-profit open source project.
有很多新颖的技术,比如沙箱,独特定制的浏览器,这样的。Google Play没有特权。
GrapheneOS has official production support for the following devices:
- Pixel 7 Pro (cheetah)
- Pixel 7 (panther)
- Pixel 6a (bluejay)
- Pixel 6 Pro (raven)
- Pixel 6 (oriole)
- Pixel 5a (barbet)
- Pixel 5 (redfin)
- Pixel 4a (5G) (bramble)
- Pixel 4a (sunfish)
The following devices are end-of-life, no longer receive full security updates and are supported via extended support releases of GrapheneOS:
- Pixel 4 XL (coral)
- Pixel 4 (flame)
也就是说你需要Pixel手机。
关于GrapheneOS的详细说明:
GrapheneOS 专注于隐私和安全,但提供更多面向安全的功能;它经常被认为是最安全的移动 Android 操作系统。
GrapheneOS 的大部分重点是减轻和防御未知漏洞的利用,通常称为“零日漏洞”。零日漏洞是攻击者在产品供应商意识到这些漏洞之前发现的漏洞;供应商通常不得不“追赶”来推送修复新的零日漏洞的更新,这有时可能需要数小时到数周的时间,同时可能会受到零日攻击和利用。
该操作系统采用 4 种不同的方法来防御零日攻击:
- 攻击面减少
- 利用缓解措施
- 改进的沙盒(基于 Android 开源项目,“vanilla”Android。)
- 反持久化和检测
GrapheneOS 的大部分攻击面减少是通过剥离“不必要的”代码和默认禁用可选功能来实现的。
GrapheneOS 强化libc 并malloc 改进了对常见内存损坏漏洞的防御,这些漏洞通常是更全面开发的漏洞利用或连锁攻击的基础。强化内核提高了操作系统最基本级别的安全性,并启用了 GrapheneOS 改进的沙盒功能。增强的验证启动有助于确保执行的代码来自定义和可信的来源。
改进后的沙箱功能扩展到应用沙箱和 WebView 渲染沙箱。有趣的是,GrapheneOS 的增强沙盒功能甚至可以为 Google Play 服务提供强大的沙盒功能,这些服务在“定期”实施时,享有设备的高级和未修改权限。
随着 Android 13 的实施,GrapheneOS 增强的 Google Play 服务沙盒为 Android 应用引入了一个更新的兼容层。在这个增强的沙盒中,即使是 Google Play 服务也被操作系统视为“常规”应用程序,允许用户控制其权限。
所有这些对安全性的强调也有助于保护用户隐私;GrapheneOS 确实具有专门用于增强用户隐私的功能:
- GrapheneOS 默认不包括谷歌应用程序/服务
- Storage Scopes - 一个比标准 Android 存储权限管理器更安全、更受限制的替代方案
- 传感器权限切换——设备传感器已被应用程序用来悄悄收集高度独特、可识别和有价值的数据(例如,Facebook 应用程序就是这样做的),并为用户提供拒绝这些权限的选项。
- 私人无线网络
GrapheneOS 提供定期安全更新,在某些情况下,该项目在上游 Android 这样做之前实施了安全修复。由于 Google Pixel 设备系列原生增强的 Android 安全功能,例如支持验证启动的 Titan M 安全元素,GrapheneOS 仅支持 Google Pixel 设备。该操作系统的目标不是获得最广泛的设备支持。相反,重点是根据GrapheneOS 官方网站上概述的标准要求自己选择设备。该项目最初成立于 2014 年,名称不同,自成立以来经历了多次重组和更名工作。在这些重组中,最值得注意的是,GrapheneOS 的前身是CopperheadOS。在撰写本文时,CopperheadOS 是一个与 GrapheneOS 无关的闭源项目;据称,新的 CopperheadOS 使用了之前由 now-GrapheneOS 建立/拥有的品牌和代码。GrapheneOS 由非营利性 GrapheneOS 项目和整个开源社区维护。
DivestOS
这个OS带有一些很有趣的东西
详细介绍:
DivestOS 是 LineageOS 的一个分支。具体来说,它是 LineageOS 的非官方软分叉,旨在帮助用户“收回(部分)对您设备的控制权”。
DivestOS 支持给定的设备子集,并发布了选择与 DivestOS 一起使用的设备的指南;但是,开发人员建议尽可能使用非运营商品牌的 Google Pixel。
DivestOS 包含官方 F-droid 应用程序。DivestOS 使用官方 F-droid 客户端从其关联的存储库中获取更新。它从构建时删除了许多专有 blob,通过消除不受信任和不必要的代码来提高安全性和隐私性。
DivestOS 允许用户在每个应用程序的基础上限制网络访问——蜂窝、Wi-Fi 或虚拟专用网络 (VPN) 连接。用户可以使用 Shelter 或在单独的用户配置文件中运行应用程序,这会在授予权限时最大限度地减少应用程序可用的数据;这有助于防止应用程序使用用户已经授予的权限静默收集数据,但在授予这些权限时不一定是有意的。
默认情况下,DivestOS 附带 Hypatia,这是一种开源实时恶意软件扫描程序。它利用 ClamAV 签名数据库来扫描和检测已知的恶意软件签名。
与许多防病毒解决方案不同,Hypatia 的操作是在设备上执行的——互联网连接主要用于更新签名数据库。考虑到防病毒软件对系统具有执行某些功能的高级权限,本地操作减少了可能的数据收集途径;“传统”商业防病毒软件被指控滥用其对系统的高级特权,悄悄收集数据并回拨相关远程服务器。
系统 WebView(Chromium Webview)通过 DivestOS 的名为“Mulch”的实现得到强化,并具有增强安全性的集成,并使用 GrapheneOS 的 Vanadium 作为上游。Mulch 通过 F-droid 存储库独立于操作系统进行更新,使其能够跟上一般 Chromium 项目的快速更新。Mulch 在上游使用 GrapheneOS 的 Vanadium 浏览器。
为了保护隐私,它使用自定义主机文件来阻止超过 900,000 个已知的广告和跟踪服务器。Mull 是默认浏览器,它是 Firefox (Gecko) 的一个分支,使用 Tor uplift 项目和 arkenfox-user.js 的调整来抵制常见的指纹识别技术。默认DNS服务器设置为Quad9,对已知恶意域和主机提供良好的过滤/阻断,是avoidthehack推荐的DNS服务商。
DivestOS 本身每月都会对支持的设备进行更新;选择设备接收更小的增量更新。移动操作系统还会自动检查 Linux 内核补丁,为受支持的设备修复与安全相关的常见漏洞和披露 (CVE)。
DivestOS 主要由 Divested Computer Group 维护。
附:摘编自DivestOS FAQ(并翻译为中文):
你推荐什么手机?¶
如果你能获得/负担得起 Pixel 6/6a/7,那就去买一个并使用 GrapheneOS。否则请查看“黄金”设备列表。
DivestOS支持范围更广,例如,支持一部分小米设备和很多一加设备。
(不推荐)CalyxOS(不推荐)
这篇文章的先前版本推荐将 CalyxOS 作为 Android 的移动操作系统替代品。然而,为了避免 hack 的注意,CalyxOS 在其实现特定功能时带来了一些不必要的风险,这些功能既是“引入”的,也是最近版本的 Vanilla Android 的本机功能。经过大量挖掘,其中许多担忧得到了证实。
CalyxOS 削弱了常规 Android 中的默认验证启动,并显示出落后于 WebView (Chromium) 和操作系统的重要安全更新的模式。此外,可选的 microG(可实现与 Google Play 服务的兼容性)包含基本的隐私问题,不如GrapheneOS的沙盒实现方案。
缺乏及时更新:
CalyxOS 在实施上游 Android 安全更新和上游 WebView (Chromium) 更新方面有着相当落后的历史记录。
当主要的 Android 12 版本发布时(21 年 10 月 4 日),CalyxOS 实施相关的安全修复程序已经过去了 4 个月,从 Android 11 开始。作为参考,上游 Android 12 修复了许多漏洞,其中一些漏洞当时在野外被积极利用释放。由于 CalyxOS 用户仍在使用 Android 11,CalyxOS 用户在这 4 个月内由于运行过时的固件和软件而容易受到攻击或利用。
似乎 CalyxOS在及时实施上游 WebView(Chromium)安全补丁方面也经常落后:
- 22 年 8 月 17 日,Google 推送了 Chromium 104.0.5112.97;GrapheneOS几乎在同一天推出了相同的版本;CalyxOS于 22 年 8 月 31 日推送了相同的版本。
- 22年5月28日,谷歌推送Chromium 102.0.5005.78;GrapheneOS于22年5月30日推送同一个版本;CalyxOS于 22 年 6 月 9 日推送了相同的版本。
- 至少到 22 年 1 月 21 日,CalyxOS 使用的是 10 月 21 日的 Chromium 版本。
在某些情况下,CalyxOS 会定期跳过补丁。
在撰写本文时(2022 年 9 月 9 日),CalyxOS 尚未推送 Android 13 版本;谷歌于 22 年 8 月 15 日发布了 Android 13。Android 13 在 Android 12 的基础上引入了安全改进和安全补丁。
安全漏洞:
CalyxOS 的源代码支持现代 Android 验证启动模型的弱化迭代,比当前状态更信任持久状态。
信任持久状态也会信任所做的更改;常规进程和恶意软件都经常写入和更改操作系统文件,因此更改可能是良性的也可能是恶意的。虽然信任持久性提供了便利,但它也会增加用户可能不一定知道他们正在承担的风险。
如果设备感染了篡改操作系统文件并建立持久性的恶意软件,用户使用受感染设备的次数越多,问题就越复杂。设备将成功启动进入操作系统,就好像一切都已“签出”一样,在某些恶意软件感染的情况下,这不一定是真的。一旦操作系统加载,恶意软件就可以访问设备上的敏感数据和/或破坏设备。
据报道,CalyxOS 中包含的应用内防火墙存在漏洞。此外,在撰写本文时,尽管 CalyxOS在 Android 12 上可用,但应用内防火墙的文档适用于 Android 11。
MicroG:
“可选”microG 的状态是一个两步问题。无论用户是否选择在他们的 CalyxOS 安装中包含 microG,CalyxOS 都会在不明确通知用户的情况下将 Google 的 eSIM 捆绑到安装中。这是有问题的,因为许多用户试图通过安装替代的移动操作系统来摆脱不可撤销的谷歌应用程序和服务的许可。
microG 还期望在系统上有高级别的特权。例如,它的清单列出了 microG 的预期访问权限:
READ_PHONE_STATE它允许以只读方式访问诸如蜂窝网络状态、通话状态以及设备上注册的任何 PhoneAccounts 列表等内容ACCESS_FINE_LOCATION允许访问设备的“正确”位置WRITE_EXTERNAL_STORAGE允许写入外部存储GET_ACCOUNTS允许访问帐户存储部分中的帐户列表
microG 的主要问题不一定与其权限请求有关,但问题在于其捆绑了 Google 的 eSIM以及无法撤销这些权限。这与谷歌 Android 版本上的 Google Play 服务问题相同,其中 Google Play 服务享有对设备的不可撤销的特权访问。从各方面来说,这都不如GrapheneOS
Replicant
GNU官方推荐的“自由的非GNU系统”,用三星手机的可以试试
自己编译AOSP
Startpage一下就有教程
昨天有人私信我,说他在一个手机上安装了GrapheneOS和DivestOS双系统,6
杂项
敏感操作别上手机
以上“OS”都属于Android ROM
另外,建议将安装中非共和国软件和安装非非洲软件的手机分开来——感谢“现代隐私指南”
输入法及反键盘监听
RIME,安全好用开源跨平台,能支持非常多种语言文字,也可以说是个输入框架。RIME之于输入法如同Emacs之于Text Editor,更像个platform
安卓版叫同文输入法(trime)
相关内容后面会讲
Keyscrambler可以用来反击键侦测,Non-Qubes Whonix也带类似的东西
浏览器(PC)
FireFox(user.js特殊配置版)
后文需要用专门的文章讲
Tor Browser
不用多说
UnGoogled Chromium
如名。
使用这个浏览器也需要很多配置,否则就只是UnGoogled还远远不够你
LibreWolf(安全性存疑)
在某些隐私方面比TxxBrowser还要强,但是据说会向国外几个国家的数据中心发数据,也不知道干什么的。待验证
Email客户端
ThunderBird(电脑)
这个同样也需要后文具体说明
K-9 Mail (手机)
后文具体说明。F-Droid提供下载。
Email服务
ProtonMail(次推)
老牌隐私邮箱,不必多说,然而它曾经向法国警方提供某用户的ip以配合调查,因而声名扫地。但是,如果你没有非常高的需求,或者在中非共和国,海地这种地方使用,应该都是没什么问题的
Tutanota(优先推荐)
(至今没有提供用户ip的记录,然而,用户协议里规定了允许在侦破重大犯罪时向德国警方提供用户ip,问题是它对重大犯罪的规定不够全面)
综上所述,在使用它们的时候,即使不开全局Txr或者V+r,也得套V才行
杂项
Firefox Relay:匿名邮箱服务,提供免费套餐。可以与上面两个搭配起来
Criptext邮箱:使用开源的Signal Protocol协议(前面提到的Signal就是用的这个协议)对邮件进行端对端加密。Criptext无需使用服务器或云端来存储用戶的收件箱,也无法保存用戶的加密密钥。实际上,无论是收件箱或加密密钥都只保存在于用戶自己设备里。
此外,也可用Tutanota和Protonmail邮箱,暂不做介绍了
IM(即时通讯)
可以通过Oversec在Wechat和OICQ上加密聊天(
Session
采用点对点和多种加密技术的开源聊天软件,注册不需要手机号码或邮箱等个人信息,目前无需科学上网即可使用,功能和Signal差不多,自带阅后即焚和防截屏之类的。
Telegram
这个不用多说
TOX
配合Onion服务系列使用,这个以后细说
Gajim(桌面版)
采用Jabber通信协议的自由的即时通信软件,采用GTK+包编写而成。它支持Linux,BSD及Windows平台。Gajim具有多国语言的用户界面,已经包括中文。注册不需要手机号码或者邮箱,有较好的匿名性。
Conversations(安卓)
使用XMPP(Jabber)交流协议(支持这个协议的客户端较多,网页版的有http://conversejs.org),支持OMEMO端对端加密,PGP加密,开源稳定,多语言支持(包括中文)注册不需要手机号码或者邮箱,有较好的匿名性。
http://Riot.im
使用Matrix交流协议,现已支持端对端加密,多平台支持(电脑客户端,手机客户端,网页版),开源稳定,多语言支持(包括中文),注册不需要手机号码或者邮箱,有较好的匿名性。
Signal private messenger
斯诺登力荐(加密协议是Signal protocol,由Moxie Marlinspike(Twitter的前网络安全主管)创建的Open whisper system组织开发,是目前公认的最安全的加密协议之一
搜索引擎(non-DDG)
DuckDuckGo不会屏蔽M$的追踪器。请使用:
- StartPage(需v)
- AstianGo
- SearX(NG)自建(后面细说)
浏览器插件
开单章来说
类To*类的服务推荐:
- I2P
- RetroShare
- Lokinet
- Zeronet
- Freenet
- GNUNet
- ......
硬件方面
手机:
选择Google Pixel 6/7(目前最新一代是7),拆机,将USB-C端口的D+、D-置空。然后拆除手机主板端VCC、GND外的其他焊盘,有条件可以割断板层相关线路。这一步可阻止基于专用设备的技术取证。充电时只能使用仅供电的数据线,否则有可能烧毁充电头。
电脑:
尽量自己装机,配TPM 2.0,CPU和GPU最好都用AMD的。AMD yes
加密软件
这里先列举一下,PGP/GPG(最根本),Openkeychain,CrypticSMS,Oversec,VeraCrypt。以后细说
我见过有人用双重AES-256,密钥分开保管。涉密机只连内网,非正常断网立刻销毁密钥 可以学习学习
上网不涉密,涉密不上网,很正常吧,如果必须上网干一些偏离本专栏本意的事情,出门右转program-think(雾
Text Editor & 笔记
Enacs+Org mode
需要使用LaTeX的可以通过AUCTeX等插件
手机端也推荐开源的Omni Notes, Turtl 和 tasks之类的开源笔记或待办事项工具。
Org mode手机也可用,请去emacs-china论坛上搜索“Mobile Org”
匿名网盘与文件共享
- Anonfiles(需v)
- Bayfiles(免v)
- RetroShare
- Onionshare
- ......
手机应用市场:
F-Droid.(划掉,不建议使用。安全漏洞太多)
GrapheneOS 应用商店¶
GrapheneOS 的应用程序商店在GitHub上可用。它支持 Android 12 及更高版本,并能够自行更新。应用商店有由 GrapheneOS 项目构建的独立应用程序,例如Auditor、Camera和PDF Viewer。如果您正在寻找这些应用程序,我们强烈建议您从 GrapheneOS 的应用程序商店而不是 Play 商店获取它们,因为它们商店中的应用程序由 Google 无法访问的 GrapheneOS 项目自己的签名签名。
Aurora Store¶
Google Play 商店需要一个 Google 帐户才能登录,这不利于保护隐私。您可以使用替代客户端(例如 Aurora Store)来解决此问题。
Aurora Store 不允许您下载具有匿名帐户功能的付费应用程序。您可以选择使用您的 Google 帐户登录 Aurora Store 以下载您购买的应用程序,这确实可以访问您已安装到 Google 的应用程序列表,但是您仍然受益于不需要完整的 Google Play 客户端和 Google Play您设备上的服务或 microG。
使用Neo Store而不是官方 F-Droid 应用程序来获取只在F-Droid上发布的应用程序
办公:
LibreOffice
一款功能强大的办公软件,默认使用开放文档格式(OpenDocument Format,ODF),并支持*.docx,*.xlsx,*.pptx等其他格式。它包含了Writer, Calc, Impress, Draw, Base 以及 Math等组件,可用于演示文稿、绘图以及公式编辑,电子表格等等……
杂项与补充
文件安全删除工具,开源项目Eraser,提供多种删除方式,对普通用户来说足够了。
断网聊天(电话,收发消息,收发文件):
The Several Mesh。支持蓝牙聊天,普通联网聊天,断网时局域网聊天(Mesh网络技术),这个项目是专门解决发生毁灭性灾难后的通讯问题的,但是只要想聊咋样都行。非灾难下也可以用
Briar:这是一个比较有趣的断网聊天(Mesh网络技术)应用, 开源项目,有人把它叫做暗网信使(有网络的时候它使用洋葱网络传输),已经通过专业机构的安全审计基于Tor的通讯软件
Tallow, 让Windows全局走Tor代理洋葱网络,达到类似于Tails系统的效果,连接成功以后,普通浏览器也可以打开以onion域名结尾的洋葱连接了(可能许多人以为只能用Tor浏览器打开洋葱链接,其实并非如此,只不过用Tor打开最安全;另Tallow和Tor浏览器是不能同时使用的,Tallow连接成功以后,Tor反而打不开网页了)
NetGuard。安卓机管理网络连接。Windows上类似的软件有Firewall App Blocker
andOTP。安卓机管理2FA。网络账户应尽量开启2FA
手机端推荐密码生成及管理器PasswdSafe
最后补充一下:
下篇普及意识。
留言
張貼留言