身在中国大陆,可能大家比较关心的是科学上网;今天我谈的不是科学上网,而是匿名上网与安全上网。
什么叫匿名上网?在互联网上,匿名是互联网独特的一种特性。1993年《纽约客》杂志上彼得·斯坦纳的一幅漫画被网民们所信奉。这幅漫画的标题是“在网上,没有人知道你是一条狗”。
虽然在网络上匿名给予了人们更大的自由(阅读与发布信息的自由),但是其代价则是丧失了信息来源的确定性,而且也会引发许多不良的和违法的行为。例如网络色情、诽谤性的言论,欺诈行为,侵犯版权等等。
匿名上网的重要性
大家访问网站,然后绝大多数网站都会使用cookies记录你的一些信息(本人的博客也会),比如你的浏览器类型,一些个性化设置,是否登陆,对于广告来说,他还会搜集你的一些搜索记录用于精准推送广告–谷歌和百度都会干这个事情。说简单点吧,你使用百度或者谷歌搜索“减肥”,进入挂有百度或谷歌广告的网站,他马上通过cookies读取你的搜索信息,向你展示减肥药的广告。
目前大部分网站都使用HTTP协议,没有使用HTTPS加密传输,信息是明文传输,可被任意截获和查看,这样你和服务器之间干了些什么都一清二楚。至于你的IP地址什么,对于他们来说,这都早已不是什么秘密了。
有些通讯软件也会使用HTTP传输数据,比如当年的中国版的Skype,就是明文HTTP传送聊天信息,内置有关键字过滤¹,这里有知乎的讨论,各位读者可以进去看看。
说完聊天软件,我们来说说浏览器。比如大名鼎鼎的360浏览器就会有时候同步到别人的数据,点这里你可以看到后来被官方抹掉的更新记录。当然,这个会同步到别人的内容的浏览器也揭露过别人的浏览器会同步到其他人的数据:360曝光搜狗浏览器漏洞。同步的这些数据可以进行以下操作:查看别人的收藏夹、浏览器设置、登陆不依靠安全插件登陆的大部分网站、扩展数据(如果你使用了搜狗或者360的云记事本记下你的一些敏感信息,比如昨天和谁约炮,今天和谁搞基,这个后果…)。
如何匿名上网?
要保持匿名上网,首先,我们需要从硬件开始。
选择一家尽可能相对安全一点的网络接入服务商,尽量远离非主流宽带,比如鹏博士、长城宽带、移动铁通;这些非主流宽带的危害不只是在宽带上缩水,而且会使用反向代理缓存网络资源,造成下载热门文件飞快,下载冷门资源没速度、下载软件老是下载到旧版本的现象,上面链接有知乎的讨论,读者可以进去看看。另外,前不久四川移动无法在WP手机上使用Cortana语音助手,就是因为四川移动反向代理缓存了微软的必应搜索造成的。并且这种反向代理还存在安全隐患,可能泄露你的隐私信息,被恶意钓鱼和窃取身份信息等,详细的情况可以参看乌云的这篇文章:反向代理的有趣用法。
选择了一家相对靠谱的宽带运营商后,建议使用一款靠谱一点的路由器,很多路由器都爆出过安全漏洞,比如最近比较有名的“厄运饼干”漏洞,此漏洞影响最多的就是TP-LINK,其次是华为的,如果你想看看你的路由器有没有上榜,点这个PDF自己查看。笔者在这里也没有什么好路由器推荐,本人还是推荐你去Openwrt网站查看一些那些可以刷Openwrt固件评价较高没有发生过漏洞的路由器,自行选择一款。
路由器选择好后,接下来选择的是系统和软件。
对于系统,目前来说,没有绝对安全的系统。我这里只提醒:不要使用Windows XP,因为已经没有安全支持。
安装好系统后,建议开启系统更新或者使用第三方软件更新系统补丁(插一句,鉴于国内的某软件冒充过微软补丁,本人不推荐你使用),笔者经常看见有人说自己的系统不打补丁很安全,黑客也不会对他有什么兴趣。这种想法是一种侥幸心理,和不戴套内射不会怀孕一样的心理。等到发生那天我看你哭都来不及。
虽然,微软的系统也会有一些“0day漏洞“,但情况毕竟少数,及时更新补丁,可以让系统更加安全,但如果你不修复这些安全漏洞,那么就等着被黑客或者恶意软件盯上,这里就有一个利用已经修复的IE漏洞来流氓推广的例子:百度有钱联盟利用IE漏洞推广安装软件。
尽量不要使用管理员账户,除非你很自信。事实上,在Win8及以上系统,使用内置的管理员账号,是没办法体验一个完整的系统功能的。至于安全软件,选择口碑好、牌子响的,尽量远离吹牛逼的。
选择好系统并更新补丁后,接下来是选择一款沙盘虚拟机类产品,这里本人推荐Sandboxie和vmware player或者VMware Workstation。虚拟机可以隐藏你的真机物理硬件信息,有利于操作和隐藏。至于沙盘,如果你没这个需求。你可以不用选择。
目前,鉴于国内软件的现状,尽量不要使用国内的那些流氓软件,有些软件不仅流氓,还收集你的隐私,或者存在安全漏洞,比如:McAfee曝光搜狗输入法明文传输隐私漏洞、迅雷软件捆绑病毒推广、百度输入法强制安装手机助手和百度安全组件、360安全卫士冒充微软补丁、360旗下投资的公司制造病毒。
当然,国产软件不光是在自己这里捆绑,也开始向海外捆绑了:Java开始捆绑安装百度安全产品。
80后也可能还记得当年的3721等流氓国产软件,所以,这里,为了尽可能的安全,还是尽量不要使用国内的软件,尤其是流氓软件。
下面开始,笔者会根据本人的使用经历和经验推荐一些软件,但我不对这些软件做任何解答,也不会回答诸如有没有安全风险、会不会泄露隐私作任何回答,你需要学会的是独立思考和使用搜索引擎。
COMODO Firewall(全球顶级SSL数字证书签发商免费提供的防火墙和HIPS软件) 官网和下载地址
FireFox 浏览器(一款开源的浏览器,如果你比我还严重要求安全性,建议使用长期支持版本) 官网和下载地址
小狼毫输入法(一款简洁流畅的输入法,可以输入繁体,不联网,默认词库不强大,建议使用深蓝词库转换其他输入法的词库后导入) 官网和下载地址
Sumatra PDF(一款开源免费小巧的PDF、epub阅读器,还能支持XPS文件)官网和下载地址
KeePass(一款开源免费的密码管理软件,和Lastpass的不同是数据不保存在云端,基本上也是全平台的)官网和下载地址
TrueCrypt²(一款免费开源的基于动态的磁盘加密软件,支持“KeyFile 认证”和“Plausible Deniability”)官网和下载地址
BitLocker(Win7及以上系统自带的磁盘加密功能,兼容性较好)使用教程
Shadowsocks³(一款开源的流量加密混淆软件协议)官网和下载地址
未完待续补充…
要保持匿名上网,我们需要尽可能的隐藏自己的真实IP地址和信息;你可能想到了代理,不过本人不推荐使用HTTP透明代理,因为那和直接不是有代理没什么两样。
选用一款良好的匿名代理软件或者使用哪种协议呢?目前来说,至少Tor?、L2TP的VPN、OpenVPN、SSH代理、Shadowsocks³都是安全的匿名代理。基于他们开发的代理软件都是安全可靠的。有关VPN和SSH的安全性、速度的情况可以参考这篇文章:VPN隧道协议PPTP、L2TP、IPSec和SSLVPN。
至于Goangent,由于其原理,可导致“中间人攻击”,详细的情况请参看这篇文章:GoAgent的安全风险。
有关于Tor?的匿名上网技巧,在Tor浏览器首次启动的过程中,建议选择“网络受到封锁”和“amzon网桥”,这样连上Tor网络的几率要大一些。
除了选用安全性高的硬件、系统、软件、注意防护外,平时我们要养成一个好的密码习惯:尽量不要使用简单的密码作为所有账户的密码。
什么是简单密码呢?比如,这里有一份2014年最不安全的懒人密码Top25、还有中国版的最不安全的密码Top25。密码太简单,账户被窃取的风险就会越大。
有人可能会说我的财产类账户密码和这些不一样,没什么大不了的,你错了,如今各种各样的密码库被泄露,有很多还是明文密码:CSDN600万用户密码明文泄露、凡客诚品明文保存密码被泄露,黑客利用这些泄露的密码和身份信息(比如手机号码,邮箱等),就能迅速的进行“撞库”,有很大记录就能破解你同密码的其他身份信息,如此循环,当掌握大量账号时,就能使用一些手段得到你的那些所谓的“不同密码”账号的密码或者重置掉密码。有关“撞库”的一些例子,请看:500万Gmail用户账号密码遭泄 安全专家称为撞库得到、12306密码泄露为撞库攻击。
依据笔者的经验,将密码、以及和密码关联的邮箱分为三类:无关紧要、一般类型、重要类型。
无关紧要的使用简单自己好记的密码,但也尽量不要使用过分简单的密码。一般类型的使用数字和字母组合,并且不要明文记载在电脑、手机和其他设备上;重要类型的密码使用尽可能的复杂,比如大小写字母加数字和符号,并且能开启安全验证的开启安全验证,比如Gmail和Hotmail的2步安全验证。
当然,如果你的账号密码已经被泄露,也不要担心,尽快修改和泄露密码使用相同密码和身份资料信息的账户,可以把损失降低到最小,这里有一篇乌云的文章:如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?
未完待续…….
附注:
1:微软的Skype中国版已经全面启用HTTPS传输,不再内设关键字过滤,参考链接
2:TrueCrypt已经宣布停止更新,官方建议使用微软的BitLocker,参考链接
3:Shadowsocks需要使用Linux系统部署服务器端才能使用,参考链接
4:Tor网络是基于层层的转发加密实现的高度匿名,但某些情况下,也可能失效,参考链接