距离轰轰烈烈的白纸运动已经过去一年有余,作为见证者和亲历者的我,对烟花绽放后的虚无不免唏嘘。一年之后,当时的参与者或流亡海外,或身陷囹圄,有的早已回归原本平淡的生活轨迹,有的仍然坚持不懈在和独裁强权抗争;物是人非,早已不复当时模样。而在我电脑磁盘的某个角落,当时做的给异见者的网络安全指南项目还静静躺在那里,告诉我昨日非梦,来者可追。为了自己曾经的理想,也为了帮助更多的异见者在网络上保护自己免遭威权独裁政府的迫害,打算在这里把这个项目完成。
异见者安全指南主要目的是根据我的知识,整理一些有用的方法,帮助反抗权威政府的异议人士在互联网空间更好地保护自己,避免国家安全部门的追踪和追捕。这一系列将由多个部分组成,这篇主要来聊一聊硬件设备的安全。
壹. 不使用中国品牌的电子产品和智能设备
中国电信和科技公司协助政府进行维稳活动早已不是什么秘密,早在几年之前,华为人脸识别系统在互联网被披露的测试报告早已显示,华为利用摄像头和该系统自动识别维族人的样貌,并在发现维族人后自动报警;而随后中国政府对“反诈骗app”的全民推广更是将这样精细化的监控部署到每一个居民的身边,而小米则协助政府将这个间谍软件内置进其操作系统,确保每一个小米手机的用户都可以畅通无阻被政府监视;再之后拼多多被曝出利用安卓系统漏洞提升权限以搜集用户隐私。因此要保证自己在网络世界的安全,首要的前提就是不使用中国品牌的电子产品和智能设备,这样的设备不仅仅局限于电脑、手机和平板,还包括一切可以联网的产品,包括家用Wi-Fi 路由器、智能家居、穿戴设备、可以联网的摄像头等。
这绝不是危言耸听,任何被政府植入后门(指可以绕过安全控制的获得系统访问的代码或硬件)的联网设备,都可以作为被安插在你的私人网络中的间谍,它不仅可以搜集你的数据(如通信录和浏览记录)偷偷上传到云服务器,也可以作为攻击的起点,攻陷你私人网络内的任何一台其他联网设备,将存储在其他设备上的信息上传。可以说,一旦你使用这样的设备,将其连入你的私人网络当中,那你将不会有任何安全性和隐私性可言。
当然,在中国生产和出售的其他国家品牌的电子设备也不是绝对安全的,根据爱德华斯诺登披露的资料显示,NSA会拦截装运电子产品的包裹,在其中植入后门之后,再重新打包将其邮寄给被监控对象。我们没有理由相信中国政府不具备同样的能力和意愿做相同或者是类似的事情。
贰. 不在从事敏感活动的设备上安装中国软件
我想关于后门和中国政府如何利用它们进行监控这一点,上一节我已经讲的很清楚了。即使用户使用一台干净的设备(指无硬件后门),一旦在其中安装了带有后门和监控功能的软件,那么这台设备也同样不再安全了。当然完全不使用中国软件是不现实的,不论是身在中国的用户还是身在海外的,总需要诸如微信一类的软件和家人朋友进行联系,在这种情况下,尽量将从事敏感活动的设备和安装了中国软件的设备区分开,是很关键的。如果想要做的更好,则不要让他们连入同一个网络中。例如,在私人网络中区分不同网段进行隔离(之后写网络安全部分我们会展开讨论)。
叁. 使用一次性虚拟机进行敏感活动
虚拟机是指利用虚拟机程序在现有操作系统的基础上运行一套单独的系统,这套单独的操作系统不需要独有的硬件设备来支持,并且和电脑上安装的操作系统相互隔离。
上图显示了虚拟机的一般结构,其中Hypervisor就是指虚拟机程序。常见的免费虚拟机程序包括VirtalBox和VMWare Player,可以支持用户在电脑上安装虚拟机,安装过程也很简单,网络上有很多安装教程,各位读者可以自行搜索其它教程。
参考教程:https://zhuanlan.zhihu.com/p/548015254
为什么需要使用虚拟机进行敏感活动呢?一方面正如先前我们提到的,它和主机的主系统是分开的,也就是说如果虚拟机被攻击,如感染病毒,只要发现及时,主机系统仍然是不受影响的。另一方面,虚拟机更容易备份和回滚。我个人建议的最佳操作是,在虚拟机初始化完成后,立刻做一个虚拟机快照(snapshot),这就相当于将虚拟机此时的状态截取下来,之后每次使用之后都利用这个快照将虚拟机恢复到最初的状态,可以最大保持它的安全。因为这样的方式不仅可以保证回滚之后任何恶意软件在虚拟机上都不复存在,也可以保证其它一些如cookie、日志之类的可以被用来追踪个人活动的文件和数据也无法被找到。
参考教程:https://blog.51cto.com/callmepeanut/1328601
肆. 及时更新系统和软件
这个世界上没有绝对安全的系统,所有系统都是有漏洞的。当软件厂商发现自己的软件/系统中存在漏洞后,会发布安全补丁或安全更新,对漏洞进行修补。设置系统自动更新可以确保操作系统内(几乎)不存在已知的漏洞,降低被攻击的概率,确保自身的安全。类似的,应用程序也是如此,及时更新应用程序也可以避免它们作为网络攻击的入口被利用。
iPhone/iPad设置自动更新:https://www.163.com/dy/article/HCO21V9I0552ED2D.html
macOS设置自动更新:https://support.apple.com/zh-cn/guide/mac-help/mchla7037245/mac
Windows设置应用自动更新:https://support.microsoft.com/zh-cn/windows/启用自动应用更新-70634d32-4657-dc76-632b-66048978e51b
伍. 设置杀毒软件定期更新和全盘扫描
杀毒软件可以帮助发现已知的病毒、木马等恶意软件并采取合适的措施,定期扫描可以帮助提早发现恶意软件入侵;实时扫描功能可以让杀毒软件对任何新下载的文件与程序以及插入的移动存储设备进行监测,在恶意软件发挥作用之前发现并清除它们;大部分杀毒软件都依靠将设备中的程序与软件供应商维护的病毒库中的病毒样本进行比对来发现恶意软件,因此及时更新杀毒软件有助于保持最新的病毒库,有助于发现新出现的恶意软件。
建议所有用户都安装杀毒软件(Windows用户推荐使用Windows Defender,无需安装其他杀毒软件),并设置实时扫描杀毒软件自动更新,并定期进行全磁盘扫描。macOS推荐杀毒软件如下
https://cybernews.com/best-antivirus-software/free-antivirus-for-mac/
用户如果需要安装杀毒软件,除了需要遵守指南第二条,即不安装中国的杀毒软件以外,还应该确保杀毒软件的来源,只从官网或者谷歌或苹果应用商店下载,不从其他不可靠来源下载。如果软件官网有提供安装包的哈希值(hash value),可以将下载下来的文件的哈希值与官网提供的值进行对比,确保安装包完整性未被篡改(例如植入后门/木马)。
macOS计算哈希值命令:https://www.cnblogs.com/luoxiaolei/p/12771756.html
陆. 加密保护磁盘和文件
使用加密功能可以确保他人在缺少密钥的情况下无法读取数据,其工作流程如下
在实际操作中,加密分为两种,一种是全磁盘加密,即对设备的整个磁盘进行加密,另一种是文件/文件夹加密。全磁盘加密可以确保即使设备丢失或被盗,磁盘内存储的数据也不会被获取,这种加密方法不仅对电脑自身的磁盘有效,也可以用来加密移动存储设备(USB)。Windows和macOS都支持全磁盘加密:
WIndows全磁盘加密:https://learn.microsoft.com/zh-cn/windows/security/operating-system-security/data-protection/bitlocker/
macOS全磁盘加密:https://support.apple.com/zh-cn/guide/mac-help/mh40593/mac
虚拟机磁盘加密: https://docs.oracle.com/en/virtualization/virtualbox/6.0/admin/diskencryption.html
另一种则是利用加密工具对包含敏感信息的文件进行加密,可以确保文件在传输和存储过程中不会泄露敏感数据:
Windows加密文件:https://support.microsoft.com/zh-cn/windows/如何加密文件-1131805c-47b8-2e3e-a705-807e13c10da7
macOS加密文件:https://support.apple.com/zh-cn/guide/mac-help/mh40593/mac
ZIP加密压缩文件:https://www.indeed.com/career-advice/career-development/password-protect-zip-files
PDF文件密码保护:https://helpx.adobe.com/cn/acrobat/using/securing-pdfs-passwords.html
Office文件密码保护:https://support.microsoft.com/zh-cn/office/使用密码保护文档-05084cc3-300d-4c1a-8416-38d3e37d6826
柒. 关闭和限制敏感功能
尽管电子设备的一些功能可以方便我们的日常使用,但是同时一旦遭到入侵,它们也可以反过来变成帮助监视用户的工具,这些功能一般包括摄像头和麦克风、GPS定位功能。在设备上关闭或限制这些功能可以最大限度防止花钱买来的电子设备反过来变成被安插在我们身边的间谍。
Windows关闭定位功能:https://support.microsoft.com/zh-cn/windows/windows-位置服务和隐私-3a8eee0a-5b0b-dc07-eede-2a5ca1c49088
Windows限制/关闭摄像头和麦克风:https://support.microsoft.com/zh-cn/windows/windows摄像头-麦克风和隐私-a83257bc-e990-d54a-d212-b5e41beba857
iPhone/iPad关闭定位功能:https://support.apple.com/zh-cn/102647
iPhone/iPad限制/关闭摄像头和麦克风:https://support.apple.com/zh-cn/guide/iphone/iph168c4bbd5/ios
macOS关闭定位功能:https://support.apple.com/zh-cn/guide/mac-help/mh35873/mac
macOS控制摄像头访问:https://support.apple.com/zh-cn/guide/mac-help/mchlf6d108da/mac
macOS控制麦克风访问:https://support.apple.com/zh-cn/guide/mac-help/mchla1b1e1fe/mac
捌. 其它安全建议
除了上述之外,还有一些良好的操作习惯可以保证异见者的设备安全,包括在离开电脑或其他电子设备是及时锁屏,防止离开期间有人可以偷窥到其中的内容或进行非法操作;不在不安全的地方存放电子设备;设置苹果设备的自动擦除设置,包括密码输入错误几次后自动重置系统和丢失后远程擦除,目前Windows似乎只能通过MDM进行远程磁盘擦除,对个人使用不太友好。
苹果远程擦除丢失设备的数据:https://support.apple.com/zh-sg/guide/iphone/iph21a030ae3/ios
AuCyberTalk 