2022/04/20

[基础建设]防晶哥开盒不完全指北

0x00 前言

  1. 浪人里很多已经润出去了,晶哥开了也无济于事,还有必要吗?别忘了连坐是桂枝人流传2000多年的传统手段,找两个本地黑皮狗给你父母打电话,给父母工作单位施加压力,你如何解决?
  2. 本文现版本完成于2022年3月,所有标准皆以现时点为准,未来不可知。好日子还在后头呢。
  3. 本文阅读起来并不轻松愉快,提前有个心理准备。

0x01 成本,习惯与技术

小故事①: 记得几年前一个新闻吗? FBI paid more than $1.3 million to break into San Bernardino iPhone https://www.reuters.com/article/us-apple-encryption-fbi-idUSKCN0XI2IB

技术的攻防世界,从来没有绝对的安全,而一直是谁高一尺,谁又能高一丈。隐私的安全也不全是技术问题,还伴随着成本的问题,换句话说,你值不值这个价。

因此,简单地将所有浪友定个价:

  1. Level1 普通浪友。无论你是小留还是翻墙鼠鼠,无论你天天高强度操习明泽还是“我来冲浪只是看黄图的”,都属于此级别。

  2. Level2 已经引起东厂注意的。比如大翻译运动帐号的持有人。

  3. Level3 已经/曾经上猎杀名单的。比如胡编亲自科普,亲自宣传的恨国党陈光诚,比如编程随想。

由上,将下文将提到的对策划分重要程度(三颗星星按顺序对应Lv1~3级别),

  • 重要度★★★:所有人都应该注意,这是最基本的安全防备。此级别对策应对的是无差别监控信息,扫号等操作,影响所有人。
  • 重要度☆★★:在现时点,普通浪友,可以有一些小小疏忽,因为开盒成本略高。但L2,L3浪友仍需注意。
  • 重要度☆☆★:一般人不配,L3顶级浪友专属。此级别对策的对手你可以想象成柯南,福尔摩斯。

但要注意的一点是,共匪从不和你讲道理,如乌克兰那个老哥一样,可能自己万万没想到,一条反战视频让他从Lv1(甚至之前还偏粉),瞬间就被全网封号,被晋升为Lv2了。因此,尽可能在可接受的麻烦程度下提高警惕性是必要的。

小故事②: 忘记具体是哪个安全界大神了,当时想进入阿里内网很久都没得手,后来是怎么成的?在阿里楼下星巴克架了个假wifi,截包了阿里员工笔记本的全部数据,顺利拿到进入内网的权限。没错,就是这么没有技术含量,入门级安全从业人员就能掌握的技术。

因此,应该明白,人永远是整个安全链条中最薄弱的一环,社科上的安全远比技术安全更更重要。

总结,当你想审视自己是否足够安全时,技术上的安全,良好的冲浪习惯,晶哥攻破的安全壁垒的成本,这三个因素缺一不可。

0x02 对策

​ 总的来说,根本方法就是:精分。如果在国外最好,如果在国内,就想象一个虚拟的Fake人物(简称F)。不要想象成非洲一个说机理哇啦语的28cm非洲大屌,选择你能装的像的一些,比如你在国内,但会说一些法语,那你就可以伪装一个在法国的留学生/移民二代,设计一个全新的身份信息,包括名字,生日,性别,学校/公司,倒背如流前写在纸上。

具体措施就是切割,要想你和F是两个完全不同的人,你们不应该有的交集都不要出现。

  1. ★★★为的你假身份注册一个全新的邮箱,这个邮箱的任何信息都不应该与你的真实信息有关。包括不限于,姓名生日,惯用密码,恢复手机,恢复邮箱等等。敏感的服务均使用此邮箱注册。

  2. ☆★★在社交媒体上F身份帐号不要和有真实身份信息的帐号互相关注,最好完全0联系。

  3. ★★★不要使用国内手机号码注册国外已经被墙的服务。如果人在国内,请尽量使用 textnow/GoogleVoice/5sim 等等虚拟号码服务。原因①晶哥经常会定期扫号,比如按顺序遍历所有大陆有效手机号码,在telegram上添加你为好友,以此来确定你是否注册过telegram。原因②,防止国外服务商被拖库而泄漏你的信息。原因③,虽然目前来看并没有针对注册短信,但要知道短信的监控系统可是早于GFW的。你注册Gmail之类的短信可能早已经被注意到了,现在无非是暂时懒得理。

  4. ★★★不要使用国内邮箱(包括不限于QQ,126等等)注册国外服务。推荐Gmail或protonmail(此两邮箱的安全性不在此论证,事实上你也找不到更好的)。

  5. ★★★不要在国外服务使用你真实的身份信息(包括不限于姓名,生日)。事实上国外服务也不会强制你填写真实信息(包括很多支付系统)。如果涉及到找回帐号等等需要记忆功能,那就填写F身份信息。

  6. ★★★不要在国外敏感服务公开你的生物信息,如长相,声音。如果不得不公开,比如linkedin,那此帐号一定要与F身份切割。

  7. ★★★不要用F身份帐号,以资料,留言,回复等等任何方式透露真实信息,更进一步,还可以误导。

  8. ★★★检查所有敏感的被墙服务网站,删除可能透露你真实身份的帐号(包括不限于3-6条提及的内容)。如果实在舍不得删除一个老帐号,那就关闭所有信息可见性,用F身份的邮箱重新注册新号。(比如我这个reddit帐号就是)

  9. ★★★不要国内服务和国外服务共用邮箱。尤其像浏览冲浪tv这种行为,请使用F的独立的邮箱注册。

  10. ☆★★不要国内服务和国外服务共用有辨识度的昵称/头像。想想编程随想。。。

  11. ☆★★不要在淘宝等国内平台购买GV帐号,如果实在没有选择,尽量挑选小的店家。

  12. ★★★不要使用国内银行卡/微信/支付宝等支付被墙的服务。之前整治虚拟币时,有很多人银行卡在交易后很快被冻结,说明对于银行卡的监视能做,而且在做。最好选择国外的银行卡。退而求其次,谨慎直接支付,最好通过App store/Google Play等赚差价的中间商。通过Paypal支付时,是否可以一定程度隐藏支付信息,这点有没有银行系统的浪友确认下。

  13. ★★★有条件的,准备少量虚拟币,ETH即可。在国内可以找信得过的朋友兑换一些。

  14. ★★★不要使用国产输入法。Apple系默认的就很好用,Android可以用Gboard,唯独Windows平台,确实很难找到好的替代品。小狼毫真的不好用,而且对于一般用户配置起来也有些难度,自己取舍吧。

  15. ★★★不要在微信上给好友发被墙的网址,翻墙服务器的URL,如果一定要发,请去掉敏感部分,如“reddit.com”域名,“vmess://”协议头等等。

  16. ★★★不要在国内App和被墙App间,使用App内置的分享功能互相分享内容。

  17. ★★★不要使用国产手机,不要使用国行系统。至少要保证二者其一。

  18. ★★★不要使用国产浏览器(包括国产手机自带浏览器)。

  19. ☆★★尽量使用Web服务,少使用App服务。因为Web技术特点,有一部分内容永远是对用户可见的(即使被混淆/加密)。之前党媒弄个什么签名活动,自动涨签名数,以前小米的抢购,都沦为笑柄,就是因为伪造部分代码都是在前端完成的。而App就是完全不可见的黑盒,同类型国内App的体积是国外的3倍差不多,谁也不知道他们都做了什么。

  20. ★★★尽量使用网络世界通用的功能/手机的功能(非国产国行机),少使用App功能。

- 比如新浪微博的生成长图功能。他们可以轻而易举将用户的UID信息隐藏于图片之中,而且绝不是豆瓣那种靠调色来隐藏的瓦房店水平。请使用安全的手机截图。 - 比如分享链接。https://www.bilibili.com/video/BVABCD1234?p=1&share_medium=android&share_plat=android&share_session_id=ABCDEFGHIJKLMNOPQRSTUVWXYZ&share_source=WEIXIN&share_tag=s_i&timestamp=1647123456&unique_k=ABCDEF 这是经过处理的,从批里批里app分享到微信的一个链接,然后在浏览器中打开(其中的ABCD部分是我更改的)。记住一条规则,网址中,「?」前面的部分标识的是资源地址,而后面部分是参数,即使删除,也不影响你定位到该资源。那么?后面是什么呢?从share_session_id这一项,就足够定位到分享的人是谁了。因此你想分享给别人时,请直接发网址的?前的部分,即https://www.bilibili.com/video/BVABCD1234

  1. ☆★★综合前两条,当你想分享一条微博截图时,不考虑麻烦程度,仅做安全性排名:使用别人的截图>模拟器+翻墙+游客帐号截图>网页截图>app中手机截图>app生成图片。使用哪种方法,自己权衡。其他App同理。

  2. ☆☆★尽量不要本地真实IP和翻墙服务器混合使用,访问墙内网。

  3. ☆☆★不要通过翻墙服务器访问墙内政府网站。

  4. ☆☆★发布照片前去除exif信息。很多手机相机在设置中就可以直接设置。

  5. ★★★鉴于之前看到的北京地铁已经开始抽查手机,那么请准备一个根正苗红备用手机,尤其在不了解的城市出差的时候。

此外,下述几个通用的准则,非具体细节。

  1. 不要认为使用了VPN/代理等等你就是绝对安全的。有很多途径可以获得你的真实IP。
  2. 翻墙工具的安全性重要在于使用什么协议,而不是什么客户端。先进的客户端使用落后的协议那就是落后的。之前看有浪人讨论过什么方式翻墙安全,其实都没说到点子上。
  3. 主流的代理协议的信息加密性上都是没问题的(除非是晶哥的钓鱼服务器),区别在于伪装。在晶哥那边看来就是,你使用大量流量以加密方式稳定访问一个服务器,虽然他不知道你收发了什么,但傻子也清楚你在翻墙。伪装可以伪装成访问百度的流量,微信视频的流量,等等,但其实也是猫鼠游戏,并不是绝对安全。
  4. 永远不要相信墙内服务会保护你的隐私。
  5. 即使你相信部分国外的服务会保护你的隐私,但记住那句话,最薄弱的环节是人,你仍无法防备他们买通了哪些人。你真的相信chonglangtv仅仅是因为开盒了徐好就被直接删版,并且追杀了许多转生版面吗?

0x03 如何自己思考补全

​ 对于有一定网络知识基础的浪人,可以在本片文章基础上,根据自己的情况审查安全漏洞。

​ 互联网公司曾有有一道经典的面试题:当你在浏览器网址栏输入网址,按下回车时,都发生了什么?那么,也可以有一个同样的问题:当你通过某终端(或手机或电脑)使用某服务时,都发生了什么?进一步说,会经过哪些节点,获得你哪些数据?

​ 实际这段本来想写在「0x02 对策」章节前面的,这个思考问题的方式也几乎是所有对策的来源,只是怕大家看得云里雾里,故而置后。实际上了解了这个思路后才能更好的理解对策。

0x04 后注

文章版本:0.01

最后修改日期:21/03/2022

本文首发于reddit论坛,CLTV版块/quanlangtv版块,以及天国的chonglangTV,随想随写,日后若想到新的,不定期更新。

备份地址:后续补充。

本文欢迎以爱寄吧署名不署名,爱寄吧注明不注明来源的方式分享传播,希望这片文章早日没有任何价值。所有鼠鼠不必像挖地洞一样,以东躲西藏猫鼠游戏的方式访问自由开放的网络世界。

submitted by /u/NotOnlyGodKnows
[link] [comments]

on
标签:

没有评论:

发表评论

订阅: 博文评论 (Atom)