上周五,Dyn公司的域名服务器系统(DNS)遭到黑客攻击,导致美国东岸地区的网络瘫痪长达11小时,受影响的公司包括Twitter、Spotify、Netflix、Amazon、Tumblr、Reddit、PayPal等知名互联网大佬,以及其它使用Dyn Inc.服务器的公司。

调查发现黑客利用Mirai恶意程序感染的IoT僵尸网络发起攻击,或者说Mirai僵尸网络至少是发起本次攻击的一部分。Mirai恶意程序主要就是以类似路由器、DVR、安全摄像头之类设备为目标的恶意程序。

很多人不知道,这个恶意程序的源码造就被公布在网上,咱们自己也可以查到Mirai僵尸网络的分布情况。貌似目前已有至少120万IP受到Mirai感染, 而这其中,有我大中国公司的产品,主要报道中国杭州雄迈科技公司(Xiongmai)销往美国的DVR和IP摄像头。这家公司周日发了一封公开信,承认他们生产的设备“无意间”参与了本次攻击。产品中的默认密码成为安全缺口,造成了雄迈科技的DVR和IP摄像头被Mirai感染。

也就是说,很多用户在首次使用设备的时候根本没有改默认密码,即便那些密码可能是“1234”、“0000”、“password1”等一下子就能破解的组合。

咱中国用户虽然没有亲身感受到周五那场网络瘫痪的可怕,但网络安全越来越成为而且也应该成为我们生活中重要部分。不管你是普通人,还是像当年shi tao被雅虎卖了的常年和“境外反动势力”打交道的journalists, activists, civil society groups等,都应该习得一技旁身,以免哪天一不留神就被你的互联网运营商(ISP),那些给你提供邮件服务的互联网大佬,乃至你家一个小小的智能设备给卖了。

所以,具体有哪些途径可以尽可能地保证我们在网络上的个人隐私和信息安全呢?Well,以下是我学到的几点的,大家按需拿走。

一、使用加密的聊天软件

个人感觉这一点对那些常年与每咸对象打交道的记者、律师比较重要。首先你要保证你和对方的通讯是私密、安全的。要做到这一点,你要确保(1)你的设备没有感染恶意软件(有关啥是恶意软件,可以随便看看我之前给老板翻译的网络安全入门手册),(2)正在和你通讯的那个人是你想要联系的人(别小看这一点),(3)你用的聊天软件有点对点加密(end-to-end encryption,感兴趣的自己百度一下)。

基本上,据我所知,除了iMessage以外的短信,基本的家庭或手机通话,都是没有点对点加密的,也就是说,只要有心,谁都可以偷看偷听你的短信和电话。

目前,市面上比较好的加密的聊天软件都有:

- Signal(斯诺登本人强势推荐啊):免费的聊天软件,信息和语音都被加密,iOS和安卓都能用,有移动和桌面版。

- WhatsApp:由于种种原因,这个貌似不适用于敝国。Anyway,如果你人在国外,又懒得下载其他聊天软件,WhatsApp就蛮够的,也是安卓和苹果通用,有移动和桌面版。但个人也不喜欢WhatsApp,此物前几周修改了自己的服务协议,如果你不小心点了“同意”,那么恭喜你,WhatsApp将不遗余力地把你的数据与非死不可共享,美其名曰”让服务更个人化“。

- Zom:极其小众的软件,敝国能用,不聊太多背景了,大家知道有这选择就好。

二、安全使用你的邮箱

首先的首先,不要点那些钓鱼邮件!听起来很简单有没有?听起来傻子都知道不要点那些垃圾、钓鱼邮件是不是?Well,呵呵……Easy said than done. 要知道,连希拉里竞选经理John Podesta这样的大腕儿也栽在了钓鱼邮件上。插播一则小故事,话说Podesta某天收到了来自“Gmail”的“官方邮件”,告诉他他的邮箱账号存在风险,必须马上重置密码,然后Podesta二话不说就点了“重置密码”的链接,然后的然后,就是有了维基百科”十月惊奇“事件……什么”重置密码“,”确认身份“之类的邮件,三思而点啊各位!

第二,如果你想通过邮件讲很重要的内容,请一定要用加密邮件。怎么实现呢?先去申请一个PGP(全程是Pretty Good Privacy,简单来说就是密钥),并叫上你要发邮件的对象也申请一个,在且仅在两个人都有PGP并互相认证了对方的PGP的情况下,你的加密邮件才能被正常阅读。至于怎么设置PGP,网上应该有很多教程,如果嫌阅读太麻烦,随便搜个教学视频看就好。

提一句,像Gmail这些邮件提供商的官方页面都不支持发送加密邮件或者解密邮箱,我个人用的是Thunderbird软件,自带PGP管理系统,so far so good。

三、用“复杂到阿妈到不认得”的密码

上周五震惊互联网界的黑客事件其实就是黑客利用了许多用IoT设备的普通用户没有修改默认密码或者使用非常容易破解的密码,哪怕你前几步都懒得做,管好自己的密码总是需要滴吧。

- 我私自以为,咱们普通人的大脑是无法记住成百上千个随意密码的,这时候,密码管家一类的软件就派上用场了。这些软件可以为每一个网站随机产生一个密码,你把密码保留在软件服务器上,下次就可以自动填充了。这样保证了密码的随机性以及不重复性。如果各位有耐性,我甚至建议回到那些你几年、几十年前申请的账号,要不就直接关闭不需要的账号,要不就修改密码。黑客是非常容易通过破解你的一个密码,加上搜你以前的互联网使用史(装逼名词叫”digital footprint“)来了解你这个人乃至破解你的所有互联网服务。

我目前在用LastPass,网页版免费,如果想和手机同步的话得交钱,大家各取所需就好。上网搜了一下评论,貌似Dashlane、True Key、RoboForm都不错,大家在使用前多搜搜评价就好。

- 启用“两步验证” (Two-factor Authentication, 2FA),也称“双重身份验证”。设置这一步很简单,但会给你的账户增加一道痕重要的安全防线。以谷歌邮箱为了,设置了2FA后,你不仅需要密码,还需要手机号码接受认真短信或者谷歌提供的实时认证软件,才能成功登录。

四、浏览网页时多个心眼

双11快来了, 盯着你的钱包的不仅有马云一类的大佬,还有心怀不轨的黑客们。在浏览银行网站、电商网站时,注意网址是不是以“https”开头,有s证明是有被认可的安全证书,在用安全的渠道传输你的数据。(不过貌似自从敝国出了个WoSign以后,问题就变得复杂了……这个WoSign臭名远扬啊,导致火狐都看不过眼,直接发话说不认可他颁发的任何电子证书,Anyway,这个下回有空再说。)

还有,不明来路的链接、附件不要点击或下载!这个说起来容易,做起来超级难……各位好自为之。

这些tips不全面,也不保证你不被黑,大家权当个闲时fun read咯。半桶水入门就不乱写别的了,有错漏的,欢迎大神指正补充。

 

Advertisements