20

[基础建设]防晶哥开盒不完全指北

 2 years ago
source link: https://0792z.blogspot.com/2022/04/blog-post_20.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

0x00 前言

  1. 浪人里很多已经润出去了,晶哥开了也无济于事,还有必要吗?别忘了连坐是桂枝人流传2000多年的传统手段,找两个本地黑皮狗给你父母打电话,给父母工作单位施加压力,你如何解决?
  2. 本文现版本完成于2022年3月,所有标准皆以现时点为准,未来不可知。好日子还在后头呢。
  3. 本文阅读起来并不轻松愉快,提前有个心理准备。

0x01 成本,习惯与技术

小故事①: 记得几年前一个新闻吗? FBI paid more than $1.3 million to break into San Bernardino iPhone https://www.reuters.com/article/us-apple-encryption-fbi-idUSKCN0XI2IB

技术的攻防世界,从来没有绝对的安全,而一直是谁高一尺,谁又能高一丈。隐私的安全也不全是技术问题,还伴随着成本的问题,换句话说,你值不值这个价。

因此,简单地将所有浪友定个价:

  1. Level1 普通浪友。无论你是小留还是翻墙鼠鼠,无论你天天高强度操习明泽还是“我来冲浪只是看黄图的”,都属于此级别。

  2. Level2 已经引起东厂注意的。比如大翻译运动帐号的持有人。

  3. Level3 已经/曾经上猎杀名单的。比如胡编亲自科普,亲自宣传的恨国党陈光诚,比如编程随想。

由上,将下文将提到的对策划分重要程度(三颗星星按顺序对应Lv1~3级别),

  • 重要度★★★:所有人都应该注意,这是最基本的安全防备。此级别对策应对的是无差别监控信息,扫号等操作,影响所有人。
  • 重要度☆★★:在现时点,普通浪友,可以有一些小小疏忽,因为开盒成本略高。但L2,L3浪友仍需注意。
  • 重要度☆☆★:一般人不配,L3顶级浪友专属。此级别对策的对手你可以想象成柯南,福尔摩斯。

但要注意的一点是,共匪从不和你讲道理,如乌克兰那个老哥一样,可能自己万万没想到,一条反战视频让他从Lv1(甚至之前还偏粉),瞬间就被全网封号,被晋升为Lv2了。因此,尽可能在可接受的麻烦程度下提高警惕性是必要的。

小故事②: 忘记具体是哪个安全界大神了,当时想进入阿里内网很久都没得手,后来是怎么成的?在阿里楼下星巴克架了个假wifi,截包了阿里员工笔记本的全部数据,顺利拿到进入内网的权限。没错,就是这么没有技术含量,入门级安全从业人员就能掌握的技术。

因此,应该明白,人永远是整个安全链条中最薄弱的一环,社科上的安全远比技术安全更更重要。

总结,当你想审视自己是否足够安全时,技术上的安全,良好的冲浪习惯,晶哥攻破的安全壁垒的成本,这三个因素缺一不可。

0x02 对策

​ 总的来说,根本方法就是:精分。如果在国外最好,如果在国内,就想象一个虚拟的Fake人物(简称F)。不要想象成非洲一个说机理哇啦语的28cm非洲大屌,选择你能装的像的一些,比如你在国内,但会说一些法语,那你就可以伪装一个在法国的留学生/移民二代,设计一个全新的身份信息,包括名字,生日,性别,学校/公司,倒背如流前写在纸上。

具体措施就是切割,要想你和F是两个完全不同的人,你们不应该有的交集都不要出现。

  1. ★★★为的你假身份注册一个全新的邮箱,这个邮箱的任何信息都不应该与你的真实信息有关。包括不限于,姓名生日,惯用密码,恢复手机,恢复邮箱等等。敏感的服务均使用此邮箱注册。

  2. ☆★★在社交媒体上F身份帐号不要和有真实身份信息的帐号互相关注,最好完全0联系。

  3. ★★★不要使用国内手机号码注册国外已经被墙的服务。如果人在国内,请尽量使用 textnow/GoogleVoice/5sim 等等虚拟号码服务。原因①晶哥经常会定期扫号,比如按顺序遍历所有大陆有效手机号码,在telegram上添加你为好友,以此来确定你是否注册过telegram。原因②,防止国外服务商被拖库而泄漏你的信息。原因③,虽然目前来看并没有针对注册短信,但要知道短信的监控系统可是早于GFW的。你注册Gmail之类的短信可能早已经被注意到了,现在无非是暂时懒得理。

  4. ★★★不要使用国内邮箱(包括不限于QQ,126等等)注册国外服务。推荐Gmail或protonmail(此两邮箱的安全性不在此论证,事实上你也找不到更好的)。

  5. ★★★不要在国外服务使用你真实的身份信息(包括不限于姓名,生日)。事实上国外服务也不会强制你填写真实信息(包括很多支付系统)。如果涉及到找回帐号等等需要记忆功能,那就填写F身份信息。

  6. ★★★不要在国外敏感服务公开你的生物信息,如长相,声音。如果不得不公开,比如linkedin,那此帐号一定要与F身份切割。

  7. ★★★不要用F身份帐号,以资料,留言,回复等等任何方式透露真实信息,更进一步,还可以误导。

  8. ★★★检查所有敏感的被墙服务网站,删除可能透露你真实身份的帐号(包括不限于3-6条提及的内容)。如果实在舍不得删除一个老帐号,那就关闭所有信息可见性,用F身份的邮箱重新注册新号。(比如我这个reddit帐号就是)

  9. ★★★不要国内服务和国外服务共用邮箱。尤其像浏览冲浪tv这种行为,请使用F的独立的邮箱注册。

  10. ☆★★不要国内服务和国外服务共用有辨识度的昵称/头像。想想编程随想。。。

  11. ☆★★不要在淘宝等国内平台购买GV帐号,如果实在没有选择,尽量挑选小的店家。

  12. ★★★不要使用国内银行卡/微信/支付宝等支付被墙的服务。之前整治虚拟币时,有很多人银行卡在交易后很快被冻结,说明对于银行卡的监视能做,而且在做。最好选择国外的银行卡。退而求其次,谨慎直接支付,最好通过App store/Google Play等赚差价的中间商。通过Paypal支付时,是否可以一定程度隐藏支付信息,这点有没有银行系统的浪友确认下。

  13. ★★★有条件的,准备少量虚拟币,ETH即可。在国内可以找信得过的朋友兑换一些。

  14. ★★★不要使用国产输入法。Apple系默认的就很好用,Android可以用Gboard,唯独Windows平台,确实很难找到好的替代品。小狼毫真的不好用,而且对于一般用户配置起来也有些难度,自己取舍吧。

  15. ★★★不要在微信上给好友发被墙的网址,翻墙服务器的URL,如果一定要发,请去掉敏感部分,如“reddit.com”域名,“vmess://”协议头等等。

  16. ★★★不要在国内App和被墙App间,使用App内置的分享功能互相分享内容。

  17. ★★★不要使用国产手机,不要使用国行系统。至少要保证二者其一。

  18. ★★★不要使用国产浏览器(包括国产手机自带浏览器)。

  19. ☆★★尽量使用Web服务,少使用App服务。因为Web技术特点,有一部分内容永远是对用户可见的(即使被混淆/加密)。之前党媒弄个什么签名活动,自动涨签名数,以前小米的抢购,都沦为笑柄,就是因为伪造部分代码都是在前端完成的。而App就是完全不可见的黑盒,同类型国内App的体积是国外的3倍差不多,谁也不知道他们都做了什么。

  20. ★★★尽量使用网络世界通用的功能/手机的功能(非国产国行机),少使用App功能。

- 比如新浪微博的生成长图功能。他们可以轻而易举将用户的UID信息隐藏于图片之中,而且绝不是豆瓣那种靠调色来隐藏的瓦房店水平。请使用安全的手机截图。 - 比如分享链接。https://www.bilibili.com/video/BVABCD1234?p=1&share_medium=android&share_plat=android&share_session_id=ABCDEFGHIJKLMNOPQRSTUVWXYZ&share_source=WEIXIN&share_tag=s_i&timestamp=1647123456&unique_k=ABCDEF 这是经过处理的,从批里批里app分享到微信的一个链接,然后在浏览器中打开(其中的ABCD部分是我更改的)。记住一条规则,网址中,「?」前面的部分标识的是资源地址,而后面部分是参数,即使删除,也不影响你定位到该资源。那么?后面是什么呢?从share_session_id这一项,就足够定位到分享的人是谁了。因此你想分享给别人时,请直接发网址的?前的部分,即https://www.bilibili.com/video/BVABCD1234

  1. ☆★★综合前两条,当你想分享一条微博截图时,不考虑麻烦程度,仅做安全性排名:使用别人的截图>模拟器+翻墙+游客帐号截图>网页截图>app中手机截图>app生成图片。使用哪种方法,自己权衡。其他App同理。

  2. ☆☆★尽量不要本地真实IP和翻墙服务器混合使用,访问墙内网。

  3. ☆☆★不要通过翻墙服务器访问墙内政府网站。

  4. ☆☆★发布照片前去除exif信息。很多手机相机在设置中就可以直接设置。

  5. ★★★鉴于之前看到的北京地铁已经开始抽查手机,那么请准备一个根正苗红备用手机,尤其在不了解的城市出差的时候。

此外,下述几个通用的准则,非具体细节。

  1. 不要认为使用了VPN/代理等等你就是绝对安全的。有很多途径可以获得你的真实IP。
  2. 翻墙工具的安全性重要在于使用什么协议,而不是什么客户端。先进的客户端使用落后的协议那就是落后的。之前看有浪人讨论过什么方式翻墙安全,其实都没说到点子上。
  3. 主流的代理协议的信息加密性上都是没问题的(除非是晶哥的钓鱼服务器),区别在于伪装。在晶哥那边看来就是,你使用大量流量以加密方式稳定访问一个服务器,虽然他不知道你收发了什么,但傻子也清楚你在翻墙。伪装可以伪装成访问百度的流量,微信视频的流量,等等,但其实也是猫鼠游戏,并不是绝对安全。
  4. 永远不要相信墙内服务会保护你的隐私。
  5. 即使你相信部分国外的服务会保护你的隐私,但记住那句话,最薄弱的环节是人,你仍无法防备他们买通了哪些人。你真的相信chonglangtv仅仅是因为开盒了徐好就被直接删版,并且追杀了许多转生版面吗?

0x03 如何自己思考补全

​ 对于有一定网络知识基础的浪人,可以在本片文章基础上,根据自己的情况审查安全漏洞。

​ 互联网公司曾有有一道经典的面试题:当你在浏览器网址栏输入网址,按下回车时,都发生了什么?那么,也可以有一个同样的问题:当你通过某终端(或手机或电脑)使用某服务时,都发生了什么?进一步说,会经过哪些节点,获得你哪些数据?

​ 实际这段本来想写在「0x02 对策」章节前面的,这个思考问题的方式也几乎是所有对策的来源,只是怕大家看得云里雾里,故而置后。实际上了解了这个思路后才能更好的理解对策。

0x04 后注

文章版本:0.01

最后修改日期:21/03/2022

本文首发于reddit论坛,CLTV版块/quanlangtv版块,以及天国的chonglangTV,随想随写,日后若想到新的,不定期更新。

备份地址:后续补充。

本文欢迎以爱寄吧署名不署名,爱寄吧注明不注明来源的方式分享传播,希望这片文章早日没有任何价值。所有鼠鼠不必像挖地洞一样,以东躲西藏猫鼠游戏的方式访问自由开放的网络世界。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK