臉書專頁
翻牆交流電報群
RSS/FEED訂閱
簡體
正體
English
日語
한국어
Deutsch
Français
Русский
Español
Italiano如何隱藏你的蹤跡,避免跨省追捕[3]:操作系統的防範
作者:編程隨想 於2010年5月18日,有的信息或比較陳舊,僅供參考。
文章目錄
★先來個八卦
★電腦中的數據,如何讓你暴露?
★數據泄露的幾種途徑
★如何防範?
★總結
上一個帖子,咱們聊了如何避免個人軟體泄露你的行蹤,今天的主題是操作系統相關的防範。而操作系統相關的防範,歸根結底,就是保護你操作系統中的【各種數據】不被泄露。
★先來個八卦
考慮到本帖有點長,先拿一個八卦舊聞來給各位同學提提神,順便也讓大伙兒了解了解保密性是何等滴重要。
想必列位看官都還記得,當年陳冠希同學的艷照門醜聞吧?(就算你不記得艷照門醜聞,總該還記得那些艷照吧:)陳同學之所以身敗名裂,就是因為太不注重敏感數據的保密性了。首先,他沒有把重要的數據(也就是那些艷照)加密存放;其次,在電腦拿去送修的時候,也沒有進行相關的處理(至少也應該先把硬碟留下來)。最後的結果就是——搞臭了一堆女明星,便宜了廣大男網民。
★電腦中的數據,如何讓你暴露?
從上述例子,列位看官應該體會到保密性的重要了吧?回到咱今天的話題,「數據的保密性」和「隱藏蹤跡」有啥關係捏?且聽俺細細道來。
◇電腦中的虛擬身份
當你用你的虛擬身份上網時,不可避免的,會有一些相關的信息保存在電腦上。比如:
很多用戶為了省事,會讓瀏覽器記住自己登錄的網站的用戶名/密碼;
有些 Web 網站,會把你的登錄名保存到 cookie 中;
你可能會把聊天工具設置成自動登錄;
…..
凡此種種,都可能在你的電腦中,留下和你的虛擬身份相關的信息。
◇電腦中的真實身份
另外,你除了用虛擬身份上網,還可能會用電腦幹一些個人的事情,甚至用真實身份登錄一些 Web 網站。因此,有些和你真實身份相關的數據,也會留在電腦中。比如:
郵件客戶端(Outlook、Foxmail …)的通訊簿;
你保存的一些個人的照片;
你使用的網銀信息(如果你用它上網銀);
你公司的一些文件(如果這是你的工作用機);
有些 Web 網站,會把你的登錄名保存到 cookie 中;
你的手機號(如果你在某些IM工具中綁定了手機號)
…..
◇兩種身份的關聯
假設你是一名地下工作者,隱藏得很好,正在和黨作鬥爭。結果有一天,由於某種原因,你電腦上的數據,落入他人之手。那麼,拿到數據的人,可能會發現——網上的「某XX」原來就是現實生活中的「某叉叉」。這時候,你的蹤跡也就徹底暴露鳥 🙁
★數據泄露的幾種途徑
那麼,在什麼情況下,別人會拿到你電腦中的數據捏?俺總結了一下,有如下幾點:
◇電腦被入侵
首要的風險,就是你的電腦被入侵,並且很不幸地被植入了木馬。那麼,在這種情況下,木馬可能會盜取你電腦中的很多數據。(如果你在信息安全方面一竅不通,不知何為「木馬」,請看「這裏」的介紹)
千萬不要以為中木馬是小事。一個普通網友中招,可能確實是小事,因為讓你中招的可能是一個普通黑客。但如果你是一個小有名氣的維權人士、異議人士、民運人士,那黨國的走狗很可能會想盡辦法讓你中招(植入木馬),然後利用你電腦中的木馬監視你的一舉一動。
另外再提醒一下:
最近今年,六扇門的相關部門(公安的技偵部門)已經開始採用你意想不到的技術來投放高級的木馬,具體詳情參見《如何對付公安部門的「網路臨偵」?——「黑暗幽靈(DCM)木馬」之隨想》
◇電腦被沒收
有時候,當黨國的爪牙開始懷疑你的身份,它們可能會突然沒收你的電腦,拿回去分析。根據你電腦中的數據,了解你在網上的虛擬角色。
如果你本身已經是一個公開身份的知名人士,那電腦被沒收的概率就更大了。之前已經有多位知名的維權人士、異議人士,個人電腦被黨國的走狗強行搜走。然後,走狗們可以分析你電腦中的信息,從而了解你與哪些人過從甚密、干過哪些對黨不利的事情。
◇電腦公用
假設你的電腦不是你一個人專用,而是與別人合用,那也得小心。比如你把電腦借給別人,或者你使用公共場所(網吧、學校機房)裏面的電腦。在一台多人共用的電腦上,你的個人隱私很容易暴露。
◇電腦遺失
這年頭,台式機越來越少,筆記本電腦越來越普及。而且,電腦的小型化大有愈演愈烈的趨勢——比如「上網本、平板電腦」等。電腦小了,便於攜帶,但同時也增加了丟失的概率。
一旦你的電腦丟失,撿到的人又不願意做活雷鋒,那你的數據也就被別人拿到了。
★如何防範?
經過前面漫長的鋪墊,終於要說到本文的重點部分了 🙂
◇防止電腦被入侵
要說黑客入侵的防範,那內容可是相當的雜,三言兩語是肯定講不清楚滴。為了避免本貼過長,俺另外開個一個「如何防止黑客入侵」的系列,普及一下黑客入侵及木馬的防範。
除了操作系統被入侵,另外的其它幾種情況(電腦被沒收、電腦丟失、電腦公用)導致的風險,都可以用後續幾個招數來化解。俺再多啰嗦一下,一旦你的操作系統,被入侵併被植入木馬(尤其是很厲害的木馬),後續的這些招數是幫不了你的。這時候,你【最保險】的做法,就是重裝系統並重裝裏面的各種軟體。
◇數據加密
首先,你要把一些重要的、敏感的數據,加密保存。具體的加密方式,可以考慮如下幾種。
1. 加密文件系統(EFS)
加密文件系統是比較方便的一種方法。你可以針對文件系統中的某幾個文件或某幾個目錄,設置為加密存儲。平常使用的時候,你完全感覺不到(用 IT 的行話,就是「對使用者透明」)。但如果別人拿走了你的硬碟,是無法讀取出 EFS 裏面被加密的文件滴;甚至同一個操作系統的其它用戶,也是無法讀取出被加密文件的內容。
EFS 有賴於特定文件系統的支持。如果你使用 Windows 系統(Win9x 不算,至少要 Win2000),你必須得用 NTFS 格式的分區才行(不能用 FAT16、FAT32);如果你使用 Linux,使用默認支持的 ext3 或 ext4 文件系統即可。關於 EFS 的更多介紹,請看「這裏」。
考慮到Windows系統,用的人多,再多說兩句。
Windows 傳統的 EFS,有若干缺點。其一、如果包含有 EFS 文件的系統重裝了,你就再也無法打開這些 EFS 文件了;其二、不便於在移動設備(如 USB Key、移動硬碟)上使用 EFS;其三,如果要解決前兩個缺點,需要導出/導入相關的密鑰,但是步驟較繁鎖。想必微軟也意識到這些缺點,從 Vista 開始(包括其後的 Win7、Win8),推出了 BitLocker 功能,可以解決上述缺點。詳細的功能介紹,可以看「這裏」。
2. 加密盤
除了 EFS,還可以使用專門的加密軟體來達到加密數據的效果。目前的文件加密軟體五花八門,俺推薦一個相當牛逼的加密盤工具——TrueCrypt。關於該軟體的介紹,可以看俺寫的系列掃盲教程(在「這裏」)。
補充說明:
由於TrueCrypt 在2014年已經停止開發了,於是俺又介紹了它的兩款替代品,分別是VeraCrypt和dm-crypt
3. 硬碟口令
有些筆記本電腦,提供硬碟口令的功能。一旦設置了硬碟口令,在開機時,必須輸入該口令,才可以使用。注意,硬碟口令和 BIOS 里的開機口令是兩碼事,別搞混了。一旦設置了硬碟口令,即使把該硬碟取來下,掛載到另外的電腦,也還是無法讀取該硬碟的數據。
有必要提醒一下諸位:不同的電腦廠商,其硬碟口令的實現機制不同,因此其強度(抗破解能力)也就不同。所以,俺建議把硬碟口令作為一種輔助手段,而【不要當作唯一手段】。
◇學會徹底刪除數據
除了要懂得加密技術,還得懂得銷毀技術。
很多傻瓜用戶以為,只要把文件搞到回收站,就萬事大吉了;還有一些不那麼傻瓜的用戶,以為把回收站清空,就沒事了。這些都是很幼稚的想法。如果你只是普通地刪除一個文件(比如用 Windows 資源管理器的刪除功能、或命令行的刪除命令),那麼該文件的內容,還是繼續保留在硬碟上。別人用專門的反刪除工具,還是有可能恢復出來滴。
那麼如何才能徹底刪除文件捏?
1. 用專門的工具刪除
目前已經有很多專門的軟體,可以幫你徹底刪除一個文件。比如前文提到的 PGP 軟體,就自帶了文件徹底刪除功能。這類軟體,在刪除文件之前,會用某些特別的方式,對文件的內容進行覆蓋,然後再刪除文件。這樣就可以避免文件內容被恢復出來。
2. 用低級格式化
很多時候,當你想把硬碟的所有數據都幹掉,你可能會選擇格式化硬碟(或格式化分區)。但是俺要提醒一下:「快速格式化」和「完全格式化」都無法保證覆蓋整個分區的所有扇區,同樣存在數據被恢復的風險。比「完全格式化」更保險的是——「低格」或「用專業工具擦除數據」。
◇盡量不用移動設備
俺【不推薦】用移動設備(尤其是智能手機、平板之類)進行某些敏感操作。主要的原因有兩個:
1. 前面已經提及了:這類手持設備,很容易丟失;
2. 這類設備的操作系統,功能往往不夠全,不夠強。因此,你不便於使用專業的全盤加密軟體(類似 TrueCrypt 那種)。
◇盡量專機專用
如果經濟條件許可,最好是專機專用——專門用一台電腦來操作你敏感的虛擬身份。在這台電腦上,不要有任何能關聯到你真實身份的東西。俺重點強調如下幾種有風險的情況:
1. 不要在任何網站(尤其是交友網站)、任何軟體(尤其是IM軟體)中輸入你的真實姓名、手機號、身份證號
2. 不要存儲涉及個人信息的文件(比如個人照片、通訊簿)
3. 不要存儲任何與你的工作有關的文件
★總結
費了好大勁,終於說清楚操作系統層面,跟數據泄露相關的防範措施。由於篇幅所限,沒來得及聊「防黑客」的話題。如果你對此話題有興趣,可以看俺寫的另一個系列《如何防止黑客入侵?》。
推薦安卓翻牆APP:SpeedUp VPN
Android版SpeedUp VPN,基於ShadowsocksRb,與SSR和Shadowsocks協議兼容,內置免費SSR伺服器。 如果您對內置SSR VPN伺服器不滿意,則可以自行添加或導入任何SSR和Shadowsocks伺服器使用。
- Google Play下載:SpeedUp VPN
- Github下載:SpeedUp VPN
本博客所有的原創文章,作者皆保留版權。轉載必須包含本聲明,保持本文完整,並以超鏈接形式註明作者編程隨想和本文原始地址:
https://program-think.blogspot.com/2010/05/howto-cover-your-tracks-3.html
