2009年7月31日星期五

匿名网民的安全指南(1)

作者:virushuo 发表于 2009-07-24 11:07 最后更新于 2009-07-24 13:07

版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。

http://blog.devep.net/virushuo/2009/07/24/anonymous-security-guide-1.html

Version: 1.0b virushuo (twitter@virushuo) 20090724

注意:

1 这不是一份完整的安全手册,只是一些知识参考。但他能帮助你了解那些最重要的细节。如果有发现相关部分好的文档和教程,请提供给我,我连接上。

2 本文主要用于商业安全和个人隐私安全(包括你的私人照片,银行账号等的安全),本文不鼓励将这种技巧用于其他用途,使用在其他用途造成的损失和后果与本文无关,正如用菜刀杀人与磨刀的老大爷无关。

3 本人并非专业研究计算机和网络安全。只是觉得略有所知,所以分享一些常识。如有专业人士认为有错漏,请不吝赐教。virushuo( attt
) gmail.com

4 感谢geekcook.org的支持和建议

5 郭宝锋,你妈妈喊你回家吃饭 #amoiist

6 本文会时常修补增加内容,要转载请务必注明出处和以上注意事项。

网络是怎样传递信息的

整个互联网,可以看作是一台台计算机组成。当然,他们承担了不同的任务。一些机器负责存储你的信息,一些机器负责寻找路线,另外一些则只负责传递。你的信息,或者叫做数据,总是穿过了一台台计算机,才到达最终的目的地。可以想像,在穿过这一台台计算机的时候,是一次多么惊心动魄的历险。每台计算机后面都有一双眼睛,有的还不止一双。这其中可能有你的朋友,可能有完全中立者,不幸的是,你的敌人也往往混迹其中,虎视眈眈。

如果你不采用任何安全措施,则你的信息对于这无数个环节都是透明的。这可能意味着:你的商业机密转天见报,你的情书转天成为办公室趣谈,你的账号上一大笔血汗钱不翼而飞。当然,当然,还有最糟糕的......你还没来得及反映过来,就发现被人塞进车里送到一个不知名的地方。为了不至于成为陈冠希或是被躲猫猫,那么你必须得把这个事情重视起来。

大部分情况下,危害安全的行为都是广泛的,并非针对你个人,比如说,用扫描器来大量寻找具有某些漏洞的机器,或是用爬虫来尝试用123456做邮箱密码的家伙。所以,只要稍微设置一些障碍,对方往往知难而退,去寻找更容易上手的菜鸟。而,特殊情况下,你被盯上了,这就要非常留心了。

一份数据(文档,照片,聊天的一句话,统称数据),从你的计算机上完成编写,经过你的网络发出,进入公共网络。经过无数节点之后,到达某处,等待另外一方获得。这就是进行一次互联网应用的过程。我们来依次看看这个过程中哪里会产生安全问题。

1 你的计算机是否安全?你的操作系统是否有漏洞?你的计算机内是否有木马或病毒?是否有其他人可以使用你的计算机?

2 你的网络是否安全?你的局域网内还有谁?

3 经过的节点安全吗?你的数据是否进行了加密?

4 为你提供服务的服务商安全吗?你所拥有的账号是否泄露?

5 你的IP地址安全吗?你是否愿意被别人追踪到你的IP?

6 除了目标方,还有别人能看到你的信息吗?尤其是email和IM的聊天。

先问问自己这些问题,如果答案不确定,那么就继续往下看吧。

计算机安全

计算机安全是一切的基础,但又往往被忽视。可以想像,如果在你使用计算机的时候,身后永远站着一个人,时刻盯着你的屏幕,那一切安全都无从谈起。所以,首先要保证你有一台足够安全的计算机。这个安全是一系列良好的习惯。绝对不是安装一个杀毒软件就可以高枕无忧的。

1 补丁,木马,病毒,以及其他

对于个人计算机的信息安全来说,最大的挑战是木马。木马真正实现了"你身后永远站着一个人"的效果。相比之下,病毒最多是破坏资料,侵占系统资源,尚无泄密之忧。在这个时代,我认为病毒的安全危害远远小于木马了。现代破坏者们也不再和当年的hacker们一样,乐于通过写一个"得不到任何利益"的病毒程序来炫耀自己的水平。他们更感兴趣是你的银行账号,邮箱密码,网游账号等等真正能变成钱的东西。就算这些都没有,控制你的计算机去帮一些网站刷Alexa排名也是能赚钱的。从几年前开始,新的木马程序和流氓软件产生的速度远远高于传统的病毒,其中"利益为上"是主要原因。

安装一个木马到你的计算机上有很多方法。最简单的方法,就是诱使你安装某个程序。 这个行为又可以分成很多具体操作。常见的有:

a 绑定在正常的软件中。

b 通过常见的聊天工具,利用你的好友给你发送消息,骗你下载(比如QQ尾巴)

c 群发邮件,诱使你运行附件

d 把图片,flash等等打包成exe文件,把木马捆绑上。

最简单的办法永远是骗。千万不要看到"骗"这个词,就觉得技术含量很低。实际上,这个办法学名叫做"社会工程学"。实在是一种专门的学问,不可小看。后面我们还要多次提到这个词,你可以看到,几乎在各个环节,只要有人参与,就有"社会工程学"发挥的机会。

比最简单的方法复杂一点的办法,就是利用浏览器的漏洞。IE是个漏洞百出的浏览器,出现过多次致命漏洞。通过在网页中嵌入一些代码,就很容易利用带有漏洞的IE把木马安装到计算机上,比如"灰鸽子"。

最复杂的方法,就是缓冲区溢出(其实利用IE的漏洞也是缓冲区溢出的一种。),你的计算机上总是运行着很多程序,这些程序,包括操作系统(windows)本身,都可能存在各种漏洞。这些漏洞如果被巧妙的利用,就可以用来安装木马。历史上有几次大的破坏,比如针对windows漏洞本身的"红色代码","尼姆达"。而如果你不小心安装了权限很高,漏洞很多的软件,那么就更容易被攻击。比如我之前说过绿坝的危害。

要保证你计算机的安全,建议做到以下几点:

a 如果可能,不要使用Windows。Mac和Linux的安全强度高的多(很多人认为Mac/Linux安全是因为用户群体小,这个看法是不对的。后面我会用一些例子说明),Windows也并非如大家印象中的那么不安全,只不过需要付出更多的精力来调整和维护。这和一般认为Windows"易于使用"的特性恰恰相反。

b 如果要使用Windows,必须做到及时更新,打所有的补丁。最近看很多人号召关掉Windows自动更新,这是比较危险的行为。我记得360安全卫士提供了给Windows更新的功能,还不错,如果关掉了Windows自动升级,那么就用360的吧。反正不升级是肯定不行的。

c 正确使用防火墙。Windows
XP自带了防火墙,一般来说就不用装其他的了。只要把大部分没用的端口关闭掉,就能应付很多情况了。这篇文章可以参考
如果你有一个路由器,那么配置合理的话可以当作硬件防火墙使用(当然也会导致一些新的问题)

d 不要运行任何来历不明的程序。包括你朋友的推荐来的。如果有朋友通过msn或是邮件发给你一个软件或让你下载,那么问他几个问题,以确认是他本人在操作计算机。必要的时候,甚至可以打个电话给他。不要怕麻烦,很多时候,这也是在帮助你的朋友。

e 如果你非常热爱折腾新软件。那么,准备一个虚拟机,专门用来试用软件。确认安全和有用之后再挪到你的工作系统上使用。相信我,你没有那么多需要的软件。

f 如果可能,尽量使用开源软件,并注意在下载的时候校验MD5或PGP,以便确认你下载的是真正的软件,而不是被别人替换过的。可参考这篇文章
其实,我甚至想极端的建议拒绝从不提供任何校验方式的下载站下载,这种下载站要么缺乏基础的安全常识(这样他们就很难保护你的安全),要么就是根本不负责任。

g 杀毒软件在这个时代用处不大,空占资源,还可能惹出来很多新麻烦。包括把能够保护你的软件悄悄删掉(后文会提到)。所以,如果你做到了前面几点,就别浪费这份钱了。

2 权限,账号和共享

使用计算机是有权限的。一般来说,应该降低权限使用。不幸的是,我在很多地方看到人们大摇大摆的使用administrator(或者是具有管理员权限的其他账号),这是系统的最高权限,就像你这台计算机的上帝,日常用这么高权限的账号,危险啊!更糟糕的是,很多人的administrator账号没有设置密码,或是只有简单的密码,在这个危险的世界里,这是和裸奔差不多的行为。正确的做法是:

a 给自己的日常使用建立一个权限较低的账号。甚至低到这个账号只能运行指定的程序才好。

b 前面说了,尽量不要和别人公用计算机,哪怕是家庭成员,限于现状,实在做不到的时候,也应该给其他人单独建立账号,而不要公用一个账号。这些账号的权限都不应该太高,因为一个安全意识不强的人中招,有可能影响到所有人。一些网吧管理软件可以帮助你更好的完成这项工作。

c 设置一个复杂的密码。如果你的administrator密码为空,或是很简单,那么别人很容易通过访问C$来读取你的硬盘,这意味这对方可以拿走你硬盘上的所有文件,管他是艳照还是商业机密。(至少在XP时代,这样还是可行的),所以,给你的administrator设置一个复杂的密码吧。

d 时常注意检查你的共享文件夹。比如说,你在家里把笔记本上的文档通过共享复制到台式机,而你忘记关闭了笔记本的共享。那么下次你去咖啡厅上网的时候,跟你公用一个无线网络的人也可以轻松拿走这些文件。(但愿里面没有艳照...)
Windows 使用管理工具->计算机管理->系统工具->共享文件夹 中可以查看哪些文件被共享了。

顺便说一句,我见过某人,从一个竞争对手的总经理笔记本上,弄到了数G的文档,无所不包,甚至包括该公司员工的工资表,相当壮观。其实,那个可怜的家伙也没犯太大错误,无非是违背了c和d原则而已。

在Mac中,默认系统是不允许直接使用最高权限账号root的,其实这也是unix家族的传统。在需要使用管理权限的时候,会给予提示并要求输入密码(这个特性我4年前写过一篇blog讨论
)。这个小小的技巧让系统安全性大大增加。Windows Vista似乎也采用了类似的方式,不过据说做的不好用。我没用过,就没发言权了。

Mac中,默认的共享只有一个"公共文件夹"和其下的"投递箱",公共文件夹是所有人都可以看到的文件,而"投递箱"是别人给你传递文件用的,顾名思义,放到这里的文件,只有你本人才能访问,哪怕投递者本人,一旦放进去也不能再访问了。这些默认的设置很好的引导用户正确使用共享功能,降低了安全隐患。Windows通过一定设置应该也可以实现同样的效果。

3 公共计算机安全守则

如果万一你需要在公共场合使用计算机,那么往往代表存在着极高的安全隐患。必须要提起重视。你永远也不知道你使用的这台计算机上安装了什么软件。是否有自动屏幕截图?是否有键盘按键记录?是否记录所有发送的数据包?天,这就好像你到酒店开房,永远也不知道房间是否有隐蔽式摄像机和窃听器一样......

当然,对方可能是你很好的朋友,他并无恶意,也没打算窃取你的机密。但是,如果他的安全意识不高,那么他早就成了别人饵下的鱼。你跑上去登录一下你的邮箱,只不过是给幕后黑手多一份惊喜罢了。

所以,同样也遵守一些守则吧:

a 不使用不加密的服务。只访问https的服务,这可以有效的避免有人记录你登录数据,所谓登录的数据就是你的用户名和密码。如果不是https的服务,那么你的用户名和密码是用明文发出的。等于白白送给别人。

b 不要使用你最重要的邮箱。你最重要的邮箱往往是你一系列服务的基础,如果这个邮箱落到别人手里,他可以通过找回密码来搞定你所有的服务。所以,最好准备一个备用邮箱,专门放一些不太重要的东西,以及在这种场合使用。

c 一个小技巧。输入密码的时候,先打开一个记事本,在里面胡乱按很多字符,然后用鼠标把你需要的密码字符一个个粘贴,复制到相邻的位置。然后把他们连同一些多余字符,一起复制粘贴到密码输入框中,删去多余的字符,登录。这个技巧是为了防止计算机后台运行了键盘记录木马,鼠标位置的移动比键盘的纪录难的多,所以经过这番折腾,能给窃取者制造一些麻烦,给你修改密码的行为争取一些时间。复制粘贴一些多余的字符,是为了防止有记录剪贴板内容的木马存在。这样他们得到的密码是比实际多几个字符的。

d 一旦回到你的安全计算机上,必须修改你的密码。要修改的密码包括你在公共计算机上使用过的服务,也包括同名同密码的其他服务。比如
iamhere@gmail.com
iamhere@163.com两个邮箱密码相同,你只登录了后者,但是前者的密码一样要改一次。不然,假如后者密码被键盘记录器记录了,那么前者也会被试验出来。c的技巧是为了给你争取到一些修改密码的时间。

公共计算机往往是安全泄露的重要环节,我听说过有人网游账号被盗,有人邮箱被盗,今天还听说了一个朋友因为邮箱被盗,最终导致支付宝被盗。这些尚且是损失一点钱和时间。如果你立志做一个匿名网民,邮箱里面有一些不想被别人知道的文档,那么...诸多血的教训一定要牢记啊。

待续,下一篇中我们将讨论什么样的网络服务比较安全,应该选择什么样的邮箱作为主要邮箱,如何保护你的账号安全等话题。


Things you can do from here:

Subscribe to 牛博山寨头条 using Google Reader
Get started using Google Reader to easily keep up with all your favorite sites

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://bczc.blogspot.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~

没有评论:

发表评论