关于互联网匿名化建议

Posted on Edited on

重要警告

请不要用于非法用途,仅供参考交流,首发于r0nge的博客
严禁转载!

硬件

为什么我不推荐手机,原因如下
1.手机探测硬件过多
2.系统闭源,后门、bug多少未知(不要以为安卓开源!内核是闭源的
3.手机软件隔离性不强
4.无法使用虚拟机
5.手机端利润、市场较大,商业公司众多,可能为了利益牺牲隐私
6.用手机的人太多了,恶意软件重点关注对象(Windows同理

关于系统

一定不要:使用预装系统
我个人观点:从安全性考虑 WIN<MACOS<LINUX

衡量发行版是否合适的几个小标准

(仅个人意见
1.软件足够多(实用性角度
2.开源,并且是社区/非营利组织(为啥? 因为ubuntu系统搜索搜集了用户数据原因就是因为他们是商业机构
3.社区、帮助积极(有问题可以解决
4.你有技术能力(选择合适的 例如是arch还是majaro这种问题

软件

尽可能从官方网站下载,养成检查hash值的习惯

讲个例子:参考外网关于这次事件的报告,tor浏览器一直以安全著称,但是在这次攻击中我们就能看到软件下载源的重要性,攻击者利用人们的大意提供了修改版本的安装包,导致中毒(想详细了解看链接)
所以提出 以下要求
0.从应用市场下载一般是最好的选择
1.查询官网下载(可利用google,bing,duckduckgo等搜索引擎,注意看权重)
2.检查hash值(不要看md5,md5已经被证实不安全)

选择“安全”的软件

1.这里建议大家用一些开源的,维护及时的软件,浏览器方面我推荐FireFox
注意要用ESR版本 不要使用国内版,大众版!
这些版本经常更新一些新功能,但是对于我们长期、稳定、安全的需求相违背,并且可能会存在一些bug和0day/Nday漏洞
当然你可能确实需要这些,怎么办呢?
2.软件分身 环境隔离
软件分身<环境隔离<虚拟机<物理隔离<物理+网络环境隔离
参考上面的,根据情况自己选择
(一些软件可能会上报手机内其他软件哦,不提是谁了
3.及时关注软件病毒提示
可以参考卡巴斯基、GitHub等其他安全平台的渗透报告,了解自己用的软件有没有漏洞

网上浏览

关于vpn、加速器

请在合法前提下使用,本文只评价技术,不评价用途,好自为之
这方面我并不专业,只简单说说,有兴趣看看别的博主
1.你自己购买的那些无法匿名化,查订单号、支付方式轻松找到你
2.游戏加速器只代理游戏流量,无法实现 某些功能
3.注意国内外软件分流,最好像上文一样双系统
4.尽可能在物理层面使用,例如clash可以增加虚拟网卡,当然wifi代理也行
5.梯子只是用来突破GFW,匿名化安全不一定能保证
忠告:请遵纪守法!

关于账号

不得不说这一部分真的很重要,很实用,信息泄露太危险了

注册

1.尽量使用虚拟电话号,或者注册一个不经常使用的,只用于注册这一个账号
2.不要用私密电话注册一些小网站! (为啥:你好好想想为啥新买的电话没短信广告、骚扰电话,为啥你现在的有? 广告如此,信息同理!
2.(如果必要)用加密的、纯净的网络 (包括注册环节)
3.设备区分开,不要交叉用
4.不要使用真实个人信息

使用

1.仍然使用独立网络环境
2.不要用登陆了该账号设备访问不安全网站
3.确保上线时间随机,更不能与另一台设备经常重叠(参考“顶级黑客 Jeremy Hammond 被捕”事件)

[重要]不要分享你生活中的一切!

朋友圈不离手?抖音天天发?
社工黑客最喜欢你这样的! 不知不觉家庭住址、个人信息全暴露了!接着发吧……
站在攻击者的角度思考!

关于密码

特别声明:目前绝大多数服务都是安全的,所以 一个安全的密码 约等于 安全的账号(前提运营商自己别有内鬼,运营机制足够可靠,但这些大概率没问题)难道那些微信钱被盗的都是因为微信的问题??

这里我将放出在archlinuxcn_安全中的一些精选内容 ps:这篇文章真的很好,有时间一定看看!

【牢记】

1.每个网站密码都要不同! 懒就别想安全
2.记住几个密码很难么!天天就知道拿自己的名字生日设密码,现代破译程序30s就能暴力破解!
最后提醒:(反正你们知道了也不遵守,都是血的教训,不记下一个就是你!
1.10位密码 4字母4数字2特殊字符

如果你实在是懒(几个小妙招

1.用诗词首字母设密码
2.手指错几位打字
3.凯撒密码

浅谈“社工”

不得不说这个话题实在是复杂,已经不单单属于网络安全的范畴了。如果你真的很担心这方面(事实上值得我们担心)那么还是建议你找一些专业的文章来看,我这里只讲一些理论和基础的内容。

为啥社工很危险

成本低,最关键的是门槛也很低(往下看你就知道了),关键如果真的掌握某些信息很要命!

我见过的几种攻击方式

1.冒充亲友套取信息
2.通过已经泄漏的密码猜测你的身份信息、密码;进一步扩大攻击面(这一部分可以和密码那一部分一起看)
3.通过社交媒体,软件(这个很常见哦)比如
支付宝看你的名字
通过电话号看你的抖音、知乎、小红书、微信等账号信息,进一步了解你,发动攻击
总结一下,就是防不胜防

简单防范

刚才解释了奥,我懂得不多,只简单说
1.增强警惕心,不贪小便宜,再亲密的家人也先核实身份,最好有个心有灵犀的小暗号,最关键的身份确认
2.用好我匿名化那几招。
3.别什么东西都发!别人烦、自己安全受影响
4.管理好密码、电话
5.该报警报警,别和任何人妥协!

结语

挖槽这次真的写了好多,算是有感而发吧,马上升初三了,时间越来越很少,希望大家生活顺利,我也能学习顺利吧……
以后不出意外的话断断续续更,几乎失联了哈哈哈
(明年的这个时候我还会回来的!)

祝大家万事顺利,安全无忧

        ———————————R0nge-2023.9.1