Shell's Home

Mar 25, 2014 - 1 minute read - Comments

安全的几点快速说明

这篇文章谨献给某些特殊环境下奋斗的人士。其他人参考使用。

物理设备

物理设备上存储着相当多的个人资讯,所以所有的机密资讯要保密这是常识。

物理设备上可能拥有的机密资料:

  • 各大站点的session token。借助这些,虽然不能抢走帐号,但是可以仿冒身份,发出假消息,或者诈骗。
  • 浏览器启用了“保存密码”选项后,所有的密码都半明文存储在硬盘上。这些信息可以被用来抢走帐号。
  • 个人的文档,照片,私密视频。万一笔电丢失就够倒霉了,再变陈老师岂不更痛苦?
  • 浏览某些特别站点的记录。咳咳,大家懂。

之所以要设备加密,是因为有一种破解方法是将你的设备存储拆下来,接到独立的读写设备上,直接读取数据。无论系统密码设定多强,也无法防范。

如果是mac,有一个选项叫做全盘加密。ubuntu有home分区加密的选项。启用这两项可以有效加密你的电脑。windows也有个类似的功能叫做EFS,但是据说不少国家级单位有解密权限。

android上有加密系统的选项。但是要注意,如果启用会消耗大量电力,而且必须擦除整个设备才能解除。iphone我没用过,据一位挺熟悉的朋友说,只要设定了pin码,整个手机就会被加密。

加密只是第一步。对于经常保持开机的系统,如果能够轻易的进入系统,那么磁盘加密也形同虚设。所以,请给你的系统加上一个足够强的登录密码。

最低强度:

磁盘加密8位以上,系统登录6位以上,包含小写和数字。

推荐强度:

磁盘加密10位以上,系统登录8位以上,包含大小写和数字。

网络安全

首先,请把系统的防火墙开到最大:

基本原则是,只许出不许进。如果需要可以开放特定端口。

然后,如果在不安全的环境下使用网络,请使用vpn。这里请允许我广告一把朋友的网站云梯。一般是用来大陆翻墙的,不过要用来绕过不安全的环境也可以。

有时间有条件的朋友可以自行架设vpn服务器,这里给出linux下架设pptp vpn的方法。客户端使用方法可以参考云梯的说明。

注意加密一定要使用128位,不要使用56位。

网站访问

如果可以选择,尽量使用https。下面有一些插件,使你可以尽可能的使用https访问站点。当然,如果站点没有https则无效。

在https访问的时候,如果跳出证书是伪造的之类的警告,请千万不要确定。这是有人在man-in-middle的信号。正确的做法是使用vpn,看看问题是否消失。如果消失,上报给工程师。如果没有消失,请找可信的工程师来排查。千万不要轻易认可未经鉴定的证书(实际上不建议自行接受任何证书——除非那是你自己配出来的)。

另外,请关注证书的签署者。在我这里看到的信息如下:

  • google的证书签署者是GeoTrust
  • facebook的签署者是VeriSign
  • twitter的签署者是VeriSign

如果签署者有异,请上报工程师。这可能是有人获得了某个根证书机构的密钥来做的签署(例如CNNIC之类)。原则上这样的man-in-middle可以攻击任何网站。