2012年2月5日

如何隐藏你的踪迹,避免跨省追捕[4]:通讯工具的防范

  前几天,国内民主人士朱虞夫被党国关了将近一年之后,终于开庭审理。起诉的罪名是:煽动颠覆国家政权;证据是:他的 Skype 聊天记录中有一首诗——《是时候了》。看到此新闻之后,很多网友纷纷担心 Skype 的安全性问题。所以,俺今天重点来聊一聊通讯工具的防范。


★通讯工具包含哪些?


  本文提及的通讯工具,主要包括:电子邮件(以下简称 Email)、聊天工具(以下简称 IM)、手机短信(以下简称 SMS)。


★通讯工具的危险性


  上述这几类通讯工具,有如下的共同点:

◇群发性质


  这几类工具都可以用来群发或转发。一旦你转发或群发的内容,包含有敏感的言论(哪怕仅仅是抱怨或者影射),党国都可以说你是“煽动颠覆国家政权”(这个罪名的亮点在于“煽动”二字)。

◇历史记录


  无论是 Email、IM、SMS,都需要经过服务器中转,理论上都可以在服务器中保留历史记录。此外,某些 IM 客户端(比如:Skype)和某些 Email 客户端(比如:Outlook)还会在你的电脑上保存历史记录。
  如果你的历史言论中,有过对党国不敬的只言片语,都可能成为对你不利的罪证。


★如何【选择】通讯工具?


  要确保通讯工具的安全,首先要确保你用的工具是可靠的。如果你选择的工具本身就不安全,那其它一切防范措施都白搭。

◇SMS(短信)


  SMS 是无论如何都不能相信滴!
  毕竟天朝的3大电信运营商(中国移动、中国联通、中国电信)都在党的掌控之下。党国早就在这些运营商的短信网关中,设置了监控短信的模块。你收发的每一条短信,只要包含敏感内容,都会被发现。打个比方,2011年发起“茉莉花集会”的时候,如果你在【群发】的短信中包含茉莉花3个字,估计当天就会有六扇门的走狗去敲你家门。

◇IM(即时通讯)


  一提到聊天软件,天朝的网友自然会想到 QQ。而 QQ 恰恰是【最危险】的 IM 工具。因为 QQ 的用户群实在太大了(好几个亿),党国早就在疼逊的服务器上部署了监控和过滤的软件(其原理与 SMS 类似)。只要你在 IM 聊天中涉及了太多的敏感内容,就会被盯上。
  其它几款【国产】的 IM(比如:阿里旺旺、网易泡泡......),也都有这类风险,切【不可】使用。
  那么,该选择哪些【国外的】IM 捏?考虑到 IM 工具的更新换代很快,俺提几个原则,供大伙儿参考:

  原则1:【运营方】的选择
  一般来说,非营利机构(含“开源社区”)比“商业公司”更靠谱(具体的原因及分析,参见《如何保护隐私》系列的第一篇)。
  如果你因为种种原因,不得不使用商业公司的 IM,选一个【口碑足够好】的商业公司的 IM。

  原则2:是否【开源】?
  一般来说,“开源的 IM”比“闭源的 IM”更靠谱。其中一个原因是:“源代码公开”有利于【代码审计】,防止 IM 软件暗藏后门。

  原则3:是否依赖【手机号】?
  这里所说的“依赖”至少包括两种:其一,IM 绑定手机号;其二,注册 IM 时需要用手机短信进行验证。只要有这两者之一,都算是“依赖”。
  尽量使用那种【无需】依赖手机号的 IM 工具。道理很简单——
一旦 IM 工具依赖手机号,也就意味着——IM 的运营方可以拿到你的手机号。对大部分网民而言,通过“手机号”很容易就可以定位到【自然人身份】。
  如果你因为种种原因,不得不用某款依赖手机号的 IM 工具,你要【确保】——该手机号与你的自然人身份【完全无关】(比如说,你可以购买那种【不记名】的手机卡,并且在购买时用【现金】支付)。

  原则4:是否支持【桌面】操作系统?
  尽量使用那种可以运行在桌面操作系统的 IM 工具。
  为啥捏?(相比手机/平板而言)桌面操作系统可以进行更好的安全加固(比如说:基于【虚拟机】进行隔离)

  原则5:是否提供【端到端加密】?
  “端到端加密”,洋文称之为“End-to-End Encryption”,简称 E2EE。通俗地说就是:确保聊天双方的数据传输是【全程加密】。
  显然,有这个功能的 IM 更靠谱——由于聊天内容的传输是【全程加密】,因此 IM 服务器在中转聊天信息的时候,看到的全是【密文】。这就避免了“IM 服务器偷窥聊天内容”。

  原则6:是否【免费】?
  很多人总是觉得:“付费”的东西更好。
  但对于【隐匿性】这个领域而言,“付费”是一个很大的风险点。因为“付费环节”(不论是“线上 or 线下”)都很容易暴露身份信息。

  原则7:【架构】的选择
  IM 的运作包括不同的架构,常见的有:中心式、联邦式、点对点式(P2P)。
  尽量选择后两种——有助于对抗政府的审查与封锁。

◇Email(电子邮件)


  Email 跟 IM 类似,【不】要用【国内】邮件服务商提供的邮箱(比如:网易、新浪、搜狐、腾讯、等等)。一旦你用了这些邮箱,今后你往来的每一封邮件,都有可能被党国监控和审查。
  既然国内邮箱【不】靠谱,那么国外的邮箱是否就足够安全捏?也不一定哦!
  2004年出过一个很轰动的“师涛案”,估计有些网友还记得吧?(不知道此事的网友,请看“这里”的介绍)师涛就是因为用了雅虎邮箱而倒霉的。当年国安局的人找雅虎交涉,让雅虎交出师涛邮箱的信息。据说国安局尚未施加压力,这个没骨气的雅虎就乖乖交出来了。师涛因此被判10年监禁。
  所以,光是国外的邮箱还不够,还得找【有骨气】的机构(此处所说的“机构”包括“商业公司 or 非营利组织”)。


★常见的【安全隐患】


  前面介绍的,都是如何选择靠谱的通讯工具。但是,光选对工具还不够,还得注意一些潜在的安全隐患。

◇自动登录的隐患


  此次的朱虞夫案,党国爪牙之所以能拿到 Skype 的聊天记录,据说是因为朱虞夫的 Skype 设置为自动登录。由此可见,自动登录是一个潜在的隐患。如今,不光聊天工具可以自动登录,邮箱也可以自动登录。在这种情况下,万一你的电脑被党国缴获,你的邮件内容和聊天记录,就立刻就曝光了。
  要避免此问题,有两种解决方法:其一,不使用自动登录;其二,使用加密存储。
  不使用自动登录的话,每次都要输入口令(假如同时用几个邮箱或 IM,就得输入多次口令),估计大部分人会嫌麻烦。所以,“加密存储”属于即安全又方便的做法。加密存储当然也要输入口令,但是只需输入一次(具体如何搞,后面会说)。

◇本地存储的隐患


  除了自动登录,另一个安全隐患是【本地存储】。很多 IM(比如:Skype、MSN)的聊天记录是存储在电脑本机的。像 MSN 的聊天记录甚至是不加密的。一旦朝廷拿到你的电脑,你全部的聊天历史都会曝光。
  另外,有不少人喜欢用 Outlook 并把邮件同步到本地。如果这么干,也会面临跟“聊天历史”一样的安全风险。
  那该咋办捏?还得靠【加密存储】来搞定!这也是下一个章节的主题。


★如何【加密存储】?


  既然上述两大隐患都可以用加密存储来解决,俺自然要说说具体的加密方法和操作步骤。

◇加密工具的选择


  说到“加密本地数据”,TrueCrypt(简称 TC)实在是不二之选。关于它的优点及功能介绍,请看俺专门写的扫盲帖(在“这里”)。简而言之,TrueCrypt 是目前最靠谱的文件加密工具。据说老美的 FBI,如果碰上嫌犯使用 TrueCrypt 加密数据,也是束手无策。

  补充说明:
  本文写于2010年;到了2014年的时候,TrueCrypt 突然停止开发,于是俺又介绍了它的两款替代品,分别是 VeraCryptdm-crypt(LUKS)。这两款工具都可以完美兼容“TrueCrypt 的加密盘【格式】”。
  换句话说:虽然 TC 这个【软件】已经死了,但是 TC 使用的【加密盘格式】,将长期存在。

◇哪些文件需要加密?


  对于 Email 而言
  前面俺已经建议过,【不要】把邮件同步到本地。如此一来,你只需解决邮箱“自动登录”的问题。
  几乎所有的 Web 邮箱(网页邮箱),都是依靠“cookie”来实现自动登录滴。主流浏览器(包括:IE、Firefox、Chrome、Edge)的 cookie 文件存放于当前用户的【%APPDATA% 目录】之下(在资源管理器的地址栏输入 %APPDATA%,再敲回车,便可进入到该目录)。
  上述所说,针对的是 Windows 系统。如果你用的是 POSIX 系统(Linux & MacOS),“cookie 文件”默认都位于当前用户的【HOME 目录】下。

  对于 IM 而言
  很多聊天工具保存“自动登录口令”以及“聊天历史”的那些文件,也是在【%APPDATA% 目录】之下。
  上述所说,针对的是 Windows 系统。如果你用的是 POSIX 系统(Linux & MacOS),聊天工具保存“自动登录口令”以及“聊天历史”的那些文件,默认都位于当前用户的【HOME 目录】下。

◇如何实现加密?


  对于 Windows 用户
  从上一个小节的介绍可以看出,那些敏感的文件都位于【%APPDATA% 目录】之下。一般来说,%APPDATA% 目录所在的盘就是系统盘(也叫“系统分区”)。因此,你用磁盘加密软件(TrueCrypt 或 VeraCrypt)【加密系统盘】,即可确保安全。
  加密完系统盘之后,你每次开机,都需要先输入“系统盘解密口令”。口令正确,操作系统才能启动起来。如果没有口令,别人即使拿到你的硬盘,也甭想看到系统盘中的任何文件(自然也就看不到“%APPDATA% 目录”)。
  对安全性要求更高的同学,可以考虑加密【整个硬盘】(俗称“全盘加密”)。当你做到了“全盘加密”,“系统分区”当然也被加密了。

  对于 Linux 用户
  从上一个小节的介绍可以看出,那些敏感的文件都位于【HOME 目录】之下。俺建议把 /home 单独分一个区,然后用 dm-crypt(LUKS)加密该分区。相关配置参见“这篇教程”。一旦加密了整个 /home 分区,每个用户的“HOME 目录”自然也被加密了。
  对安全性要求更高的同学,可以考虑加密【整个硬盘】(俗称“全盘加密”)。当你做到了“全盘加密”,/home 目录当然也被加密了。

◇注意事项


1. 再啰嗦一次,“TC 加密格式”很牛逼——口令丢了,神仙也救不了你。
2. 如果你是【头一次】用 TrueCrypt 或 VeraCrypt 或 dm-crypt/LUKS,在加密前,务必先做好备份工作,以防配置错误,把数据搞丢了。
3. “加密系统盘 or 全盘加密”,对性能会有一定影响。影响程度多大,取决于你选择哪种加密算法。
4. 已经使用磁盘加密的电脑,当你不用电脑的时候,要【关机】,而不要使用“待机”,也不要使用“休眠”(具体原因参见如下“引申阅读”)

  引申阅读:
  本文发布于2012年;之后的几年,俺又陆续写了一些与“磁盘加密”相关的教程(如下):
TrueCrypt 使用经验》(系列)
扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品
扫盲 dm-crypt——多功能 Linux 磁盘加密工具(兼容 TrueCrypt 和 VeraCrypt)
如何用“磁盘加密”对抗警方的【取证软件】和【刑讯逼供】,兼谈数据删除技巧


★虚拟机的【局限性】


  看到有不止一位网友在本帖留言,建议用虚拟机解决安全隐患。所以,俺额外补充这一章节。

◇无法防范“服务端的历史记录”


  即便用了虚拟机,如果你依旧使用国内的 IM 工具或电子邮箱,那你的邮件历史和聊天历史还是会被保存在服务器端。如此一来,党国的爪牙就能拿到这些历史信息,从而有助于追踪你的身份。

◇无法彻底解决“加密问题”


  有些同学可能会考虑用 EFS(加密文件系统)来解决加密问题。但是其安全性【未必】能达到要求。请看俺的分析——
  打个比方,假如你在虚拟机中安装了 Windows,然后在 Windows 中装了 Skype。为了保密,你把 Skype 的相关目录用 EFS 加密。你以为这样就安全了?非也!
  一旦你的电脑被党国缴获,专业的安全取证人员不难发现你在用虚拟机。然后把你的虚拟机文件找出来,对其中的系统用户进行分析。在刚才的例子中,如果你仅仅用 EFS 加密 Skype 相关目录,那安全取证人员只需攻破你的 Windows 用户口令,即可拿到你加密目录中的所有文件。要知道,攻破 Windows 用户口令,可比攻破 TrueCrypt 容易多了。

◇难以隐藏“虚拟硬盘文件”


  对于大部分虚拟化软件,虚拟系统(Guest OS)中的虚拟硬盘通常对应于真实系统(Host OS)中的某个单独文件(该文件称之为“虚拟硬盘文件”)。比方说,你虚拟出来的系统有2个 4GB 的虚拟硬盘,那你的电脑中,通常也会有2个接近 4GB 的大文件。另外,真实系统中必然装有相应的“虚拟化软件”(比如:VMware 或 VirtualBox)。
  有经验的警方取证人员,一看到你电脑中装有 VMware 或 VirtualBox 这类软件,就会在你的硬盘上搜寻虚拟机的“虚拟硬盘文件”。这类文件通常都有几个 GB,很好找。
  不要跟俺说,你用了隐藏目录之类的把戏——那种把戏只能骗骗技术菜鸟。

◇小结:“虚拟机”应该结合“磁盘加密”


  综上所述,为了安全起见,【不能】仅仅依靠虚拟机来作为防范措施。真要用虚拟机,还得配合【磁盘加密软件】一起用(把虚拟机放到【加密盘】中),才够安全。

回到本系列的目录


俺博客上,和本文相关的帖子(需翻墙)
TrueCrypt 使用经验》(系列)
扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品
扫盲 dm-crypt——多功能 Linux 磁盘加密工具(兼容 TrueCrypt 和 VeraCrypt)
如何用“磁盘加密”对抗警方的【取证软件】和【刑讯逼供】,兼谈数据删除技巧

91 条评论:

  1. 谢谢你一直以来真诚的好文章,拜读中

    回复删除
  2. Apple的FileVault 2已经被破解了. TrueCrypt被破解是早晚的事情吧,国内蓝翔技校这么牛逼,RSA口令都搞破。

    回复删除
    回复
    1. 查閱了一下,對於 BitLocker、File Vault 2 和 TrueCrypt 的破解基本都是從記憶體或者休眠時的記憶體傾印檔中提取密鑰,所以嚴格意義上說,TrueCrypt 本身和它所使用的加密算法還是安全的。

      删除
    2. TO 1单元的网友
      多谢补充 :)
      之前也有读者在留言中提到 TrueCrypt 的破解工具,基本上都是从“休眠文件 或 内存转储文件”中提取 TrueCrypt 的密钥。

      应对措施:
      1、禁用休眠功能
      2、把内存转储设置为“小内存转储”或“不转储”(“我的电脑”=>右键菜单属性=>高级=>启动和故障恢复=>设置)

      另外,
      对于暴力破解的应对措施是:[b]不要光用密码,还得用key files[/b]
      用了 key files,基本上没法搞“基于口令的暴力破解”

      删除
    3. 请问博主。你的博客中那个帖子介绍过key files?

      删除
  3. 谢谢你的文章。不过一个很重要的问题是,除非刚开始上网的时候就开始玩[隐藏],不然的话,党要想找到我们,实在太简单了。

    回复删除
  4. to 楼上的楼上的网友
    TrueCrypt 被破解,也就是如下几种可能:
    1、TrueCrypt软件本身有缺陷
    (TrueCrypt是开源的且成熟度很高,即便出现Bug也可以通过打补丁或升级版本解决,顶多再重新制作加密盘)
    2、针对具体算法的缺陷
    (TrueCrypt用的都是成熟算法,不太可能)
    3、暴力破解
    (这是目前唯一的手段,通过使用复杂口令及key files可以让暴力破解的时间成指数增加)

    ----

    to 楼上的网友
    假如想要搞一些网上的敏感活动,可以通过创建一个全新的网络身份,然后严格遵循本系列教程的操作规范。
    之后所有的敏感活动,全都通过这个新的身份进行。并且保持新身份跟原有身份完全隔离。
    这样一来,党国就难以定位这个新的网络身份是谁。

    回复删除
    回复
    1. TO 编程随想
      两种身份之间的软件可以共用么?
      (就是从网上下载来的软件,这个身份装了之后,再拿去那个身份再装)

      删除
    2. TO 世界级
      一个软件在两个身份下安装,通常问题不大。
      前提是这个软件本身要安全可靠。

      删除
    3. 通过使用复杂口令及key files可以让暴力破解的时间成指数增加)
      墙外真不赖

      请教博主:什么是key files?

      我在百度和谷歌都搜索了,可是发现几乎都是英文链接,没有中文。请博主简要介绍一下,谢谢。

      删除
    4. TO 墙外真不赖
      关于 key file 的概念,请看俺写的 TrueCrypt 教程,链接如下:
      [url]http://program-think.blogspot.com/2011/05/recommend-truecrypt.html[/url]

      删除
    5. 能不能推荐一个接受验证码平台

      删除
  5. 看了百科上的人物和那些個黨的介紹,
    博主,本人突然有個也許是恨傻恨天真的問題??
    他們創那個“”中国民主党“”,想當然中共不會放過他們,但,不是有啥::中国民主同盟 · 中国民主建国会 · 中国民主促进会 ·之類的雞肋,雖然雞肋,去滲透它們豈不更實際且名正言順(估計比登天還難,但還是更實際些吧?) ,要命就是那狗屁憲法序言裏的“中国共产党领导的多党合作和政治协商制度”吧?

    回复删除
  6. 楼上的,要看就看维基百科,收录的词汇更多也比较公正。

    回复删除
  7. to 前3楼的网友
    天朝的民主党派,实在没啥用处。即使民主党派反水,也只能在政协闹闹。而天朝的法律限制了政协的权力,使它根本无法发挥作用。

    另外,人大虽然有法律上的权力,但天朝法律不允许以党派身份参选人大代表——只能以个人身份参选。所以,即便有个别独立人士能够侥幸竞选成功,也难以发挥太大影响。

    回复删除
  8. 那个楼上的您呐,本人点击那个“朱虞夫”名字的外链看的不就是wiki吗。。。?。。。?
    to 博主,: ?“不允许以党派身份参选”? shit,扶正的二房防小三的功力真是太恐怖了。。。
    又查了那个“全国人民代表大会”的词条(看着很晕哪),好像也没说太全面? 看完一些"零八宪章签署者"的人士的介绍,似乎觉得那个姚立法最有贡献,咱的共产党最怕的就是这种人了吧?
    那么,理论上如果要撬掉咱亲爱的共产党,不是只能以可能性无限趋近于0的“爱国爱民主无党个人联盟”弄了?
    另外,看着那句“在對外交往上扮演國會角色。但是根据中国的国情,全国人大目前接受中国共产党的领导”,,,真是,想起了以前的思想政治教材哈。。。

    回复删除
  9. 这么麻烦,以现在的电脑性能,搞个虚拟机运行这些IM、Email的东西肯定没问题,设定虚拟机里面每次关机都恢复到初始状态,电脑就是被拿到也没事。当然,最安全的还是脱离共匪的势力范围。

    回复删除
  10. to 楼上的楼上
    俺说“不允许以党派身份参选”,意思是:
    天朝只有伟光正和8个民主党派能够提名参选的人大代表;而不可能自己组建一个政党,然后由这个政党提名参选代表。
    所以目前民间人士只能以个人身份参选。而个人身份参选,往往缺乏团队优势,无法形成有影响的政治势力。

    to 楼上
    利用虚拟机的快照功能,可以用来防范流氓软件,也可以防止聊天历史的本地存储。
    但是虚拟机无法防范服务器端的邮件历史和聊天历史。
    假如某个人用的是国内的邮箱或IM工具,即便采用虚拟机的措施,还是容易被跨省追捕。

    回复删除
  11. 最近党国又开始实行微博实名制了......哎

    回复删除
  12. 说个很简单省事的办法,创建个虚拟机,加密,所有要保密的活动在虚拟机里进行。你只要记住虚拟机的通电开机密码,再藏好虚拟机文件(单文件)就行了。

    回复删除
  13. to 楼上的网友
    关于虚拟机的局限性,俺在前面的回复中,已经解释过了。

    另外,既然有不止一个网友想用虚拟机来解决本文提到的安全隐患,俺干脆在原文中增加了一个章节,介绍虚拟机的局限性。

    回复删除
  14. 纯技术探讨: windows的密码如果靠暴力穷举法,是几乎不可能攻破的

    回复删除
  15. to 楼上的网友
    当专业人士拿到你的虚拟机文件,其效果就相当于黑客可以物理接触你的电脑。
    这时候要攻破口令,有N种方法——哪用得着暴力破解。

    所谓的“攻破口令”,并非是真的要拿到你的口令。很多时候,只要能拿到同等权限即可。

    最简单的,比如:用安装光盘重置管理员口令。

    回复删除
  16. 可能对于老是使用QQ的用户来说,使用TrueCrypt有些难为了。
    安全当然没有绝对,但养成一定的习惯,就会减少隐患很多!
    我的习惯是:
    1.Thinkpad硬盘锁。(注意,不是BOIS密码)(很多笔记本都有硬盘锁,大家可以研究一哈)
    2.MSDN原版Windows 7+淘宝上购买的序列号。
    3.安全方面,使用Norton 360 + Comodo Firewall,两个配合得很好。将Comodo里的自动判断关闭,并删除绝大部分”信得过软件商“列表,自己定制规则。尽管赛门铁克出事了,还是比较放心。
    4.随手在我的Windows 7来个Win+L来锁屏,当然这并不安全。
    但能对付一般的资料窃取者。

    5.不用迅雷360腾讯暴风搜狗等等一系列支那无良骗子软件产品!
    包括神马汉化、破解一类、以及各种插件(包括Adobe Flash Player,当然Chrome自带的除外,Google Voice Plugins除外)!
    替代品当然很棒!(当然国外的产品也有不靠谱的时候,比如IOBIT Advanced SystemCare,使用Comodo你会发现前者权限过大,这玩意,其实没啥用)
    非用不可的商业类软件,我会找注册码。比如Windows 7。注册码解决不了的,而且在我支付能力之外的,我不会使用它。

    6.购买SSH和VPN来翻墙。不会为翻墙而经常时不时的在电脑上安装奇怪软件,声称可以翻墙。
    7.用Keepass管理数百个密码。
    8.Dropbox备份文档、照片和部分Program Files应用程序以及软件。
    9.Chrome
    暂时就这点吧,Google的安全问题以后在博客上再谈

    回复删除
  17. 楼上的说的有道理,向你学习,俺一直用CHROME

    回复删除
  18. to FuckCPC:
    多谢分享 :)

    不过俺不提倡购买 VPN 和 SSH——有很多网友的经济未必好,他们更愿意用免费的。
    所以俺博客推荐的翻墙工具,都是免费的、傻瓜化的。

    另外,Dropbox 的安全性貌似不如 Wuala 好。

    回复删除
    回复
    1. 请外也不赖

      Dropbox 的安全性貌似不如 Wuala 好。

      有何根据?

      删除
    2. TO 请外也不赖
      关于Dropbox 的安全性
      如果俺没记错,前几年出现过若干次安全方面的问题(比如被入侵,比如网站出现高危漏洞)

      删除
  19. 其实我有个很简单的问题,假如已经被朝廷拿到电脑了,问你要密码,你如何回避这个问题?

    回复删除
  20. “假如已经被朝廷拿到电脑了,问你要密码,,,”
    哈哈哈,那么多被搞加搞死反动派的精彩电视剧就是教材嘛,不是玩笑的。

    回复删除
  21. 请问下 bitlocker 的安全性?

    回复删除
  22. TO allen feng & 楼上的楼上

    如果被胁迫要求交出密码,也有技术上的应对方法。俺在《TrueCrypt——文件加密的法宝》一文有介绍。请看文中的“Plausible Deniability”章节。

    TO 楼上
    BitLocker 好歹也是微软公司推出的商业产品,至少不会太烂。用它来防天朝的六扇门,应该够了。但是估计防不了老美的六扇门。

    另外,俺觉得它的功能不如 TrueCrypt 专业。
    比如:TrueCrypt 有“Plausible Deniability”,有“Key Files”

    回复删除
  23. 今天发现此博,隐藏踪迹这一系列写得特别好,以前都没想过这么多东西可以泄露隐私,thanks~

    回复删除
  24. 请问博主一个问题,如果有关部门要实行跨省,他们会通过何种手段追踪。我们在国外的网站发布言论,按理说网站应该不会泄露我们的IP之类隐私信息,特别是谷歌、推特之类的网站。那他们是如何进行跨省的呢?

    我们了解这个也就是想要学会如何更好的隐藏身份,就像软件加密之前就要先学解密一样。

    希望博主可以为我们解答一下。

    回复删除
  25. TO 记忆め碎片
    关于党国跨省的手段,俺大致说一下。

    1、利用国内网站收集的踪迹
    因为是在墙内,很多人都没有用翻墙代理。所以国内的网站有可能会记录你的客户端IP地址。一旦朝廷的爪牙想查你,一查就查到你的IP了。
    另外,很多网站在注册时会要求填写某些个人信息(比如手机号),这也为朝廷走狗提供了便利。

    防范措施:
    即使访问国内网站,也要走翻墙代理。
    比如俺在国内的CSDN有镜像博客,每次去更新帖子,俺都要通过代理。
    不要在国内网站填写个人真实信息。

    2、通过身份的关联
    如今SNS很发达,很多人会在多个网站注册相同(相似)的身份(用户名、ID)。那么党国的爪牙就有可能通过这种相似性,进行关联。
    打个比方:你在国内微博的发言都很规矩,但是你在国外的Twitter上经常抨击党国。那么,党国的走狗,就会先用国内网站查你的IP,再把你Twitter上的言论拿来做罪证。

    防范措施:
    发表过敏感言论的社交网络身份,跟你日常用的身份,一定要严格分开。两者不能有丝毫的关联性。

    3、通过社会工程学手段
    这个说来就话长了。建议先看看俺的系列博文《信息安全之社会工程学》
    http://program-think.blogspot.com/2009/05/social-engineering-0-overview.html

    从中可以了解社会工程学的常用手法。

    回复删除
  26. 好文!学习了!

    回复删除
  27. 用虚拟机加u盘存虚拟机文件就ok

    回复删除
  28. TO 楼上的网友
    虚拟机放在USB盘上,主要是便于随身携带,以防止有人趁你不在家的时候,把你电脑硬盘上的东西copy走。
    不过随身携带也要注意,别弄丢了。

    所以,如果你非常注重安全,即使放USB盘上,也得用加密的方式(比如 TrueCrypt)。

    回复删除
  29. 博主你好,请问类似于thinkpad的指纹密码或者硬盘锁能否起到一定的保护作用?

    回复删除
  30. TO 阿布
    在笔记本丢失的情况下,“指纹验证”会形同虚设;而硬盘的密码锁能够起到一定的保护作用。
    关于这方面的介绍,可以看本系列之前的帖子:
    《如何隐藏你的踪迹,避免跨省追捕[3]:操作系统的防范》
    http://program-think.blogspot.com/2010/05/howto-cover-your-tracks-3.html

    回复删除
  31. 楼主,给你推荐一款安全删除未加密硬盘上数据的软件:Eraser。google搜索第一条结果就是,它是开源软件,原理是删除文件后,用特定类型的数据overwrite被删文件占用的磁盘空间。
    有了它,可以防止党国走狗恢复你的未加密硬盘的数据。

    回复删除
  32. TO 楼上的网友
    多谢分享安全工具 :)

    回复删除
  33. 博主你好啊!12P的贴子几时推出啊,下一个是吗?

    回复删除
  34. TO 楼上的网友
    30分钟前,俺刚发了一篇《如何翻墙:简单扫盲 I2P 的使用》

    回复删除
  35. TO 博主
    有很多证据表明QQ与党国有密切的合作关系,本不想用QQ聊天,可现实中有不少网友用这聊天工具消遣,如果我们只是消遣一下应该没什么问题吧?
    还有个问题,如果一边挂着QQ一边用翻墙工具翻墙发表对党国不利的言论应该不太安全吧,如果关闭了QQ再翻墙是否安全?在关闭的情况下不知QQ是否还有隐藏的监控程序在运行。
    最后一个问题,我上Skype官网下载时出来一个注册的网页,有一大堆内容需要填写,我原先以为下载安装后再注册账号,谁知在下载前就要注册账号,所以没填写没有下载成功。

    回复删除
    回复
    1. 关于 QQ
      疼逊肯定是跟朝廷密切合作的。
      而且有网友反馈说:最近升级的新版 QQ 会扫描硬盘文件。
      俺觉得,如果装了 QQ,多半就不安全了。不管 QQ 是否运行。
      但是 QQ 又是天朝最大的聊天工具,不得不用。咋办捏?
      俺今天开始写《扫盲操作系统虚拟机》系列。在这个系列的下一篇会提到用虚拟机来防范 QQ。

      关于 Skype
      如果觉得到 Skype 官网下载比较麻烦,也可以到国内知名的软件下载站点找 Skype 的国际版。
      为了保险起见,下载好 Skype 的安装包之后,要验证一下安装包文件的数字签名。

      删除
    2. 确实如此,我用的最新版,也把自动更新关闭了,可一打开QQ硬盘灯狂闪,查看网络下载速度到了我宽带的满速,看到有个腾讯升级进程在运行,待程序下载完了安装时让用户账户阻止,点击否后以为平静了,可上传网速却到了满速,我于是关掉QQ,但那进程还未退出,我手动退出才停止上传。

      删除
  36. 有两台电脑a和b,a用于日常使用,qq什么的都安装了,b用于专门用途,一般是a远程控制b,那如果a有木马或被监控,那b还安全吗?

    回复删除
    回复
    1. 假设你被植入了一个比较牛的木马,能监控你的键盘和屏幕,当然可以通过 A系统 做跳板侵入 B系统

      删除
  37. 可以把虚拟机文件(或者其他任何加密文件)利用NTFS文件流附加到任何文件上面,这样可以非常有效地实现隐藏的目的

    回复删除
    回复
    1. NTFS 文件流是一个小技巧。
      请注意:
      这个技巧不要单独用,一定要配合“加密”一起用。

      如果要用它来隐藏虚拟机文件,也要先做好虚拟机文件的加密。

      删除
  38. 回复
    1. 多谢提醒,已经删除那条垃圾广告

      删除
  39. 搞那么多干嘛?在国外租一台vps 你爱怎么搞都行

    回复删除
    回复
    1. TO 李蔚
      首先,不是每个网友都有条件去租用 VPS 的(要考虑经济成本)
      其次,光依靠 VPS 只能解决部分问题。
      要隐匿踪迹,需要考虑的层面很多(包括网络层面、操作系统层面、个人软件层面、社会工程学层面、等等)

      删除
  40. 此评论已被作者删除。

    回复删除
  41. 不错,学习,楼主以后办一个IT培训学校吧,所谓干实事的人才就是您这样的好人,如果能培养出IT情报人员更是功德无量。对付党国仅仅用甘地那一套非暴力不合作的行不通,人才,技术,资金,武器才是顶用的,对党国只有枪杆子对枪杆子管用,以其人之道还其人之身啊

    回复删除
    回复
    1. TO TianLu Liu
      承蒙夸奖,惭愧。
      对付党国,确实需要多方面的资源。但最关键的还是人才(无论做啥事情,人都是最关键的因素)。
      俺在博客上普及信息安全,是希望有更多的网友可以利用互联网,发表自己真实的想法,而不用担心被跨省。
      另外, 那些有志于推动政治变革的人,也可以从俺博客的安全教程中获益。

      删除
  42. 墙外真不赖

    来自韩国的这个line(连我)聊天工具软件安全性如何?

    回复删除
    回复
    1. TO 墙外真不赖
      这个 line 俺没用过,了解也不多。不好深入评价。
      不过它跟 360 有合作关系。而 360 又是天朝的大流氓公司。
      所以俺对 line 的印象不太好。

      删除
  43. 谢谢楼主,涨姿势了!

    回复删除
  44. 受教了,谢谢楼主。生在社会,就应该学会保护自己,在发表这些反CPC言论之前就应该深思熟虑这个问题的人,起码要比那些大声宣扬“共匪必亡”的无脑的示威者要好

    回复删除
    回复
    1. TO 郑金行
      多谢捧场 :)
      关于对党斗争,俺一向强调,要讲究策略,不要做无谓的牺牲。
      而信息安全的普及,可以大大防止无畏的损失。有利于大伙儿用好互联网这个工具。

      删除
  45. 个人认为,想着如何加密本地信息不如想办法别被抓住。土匪可是什么手段都敢用,可能强行抓人+刑讯逼供的。对于没有基础的人来说安全技术可能很难掌握,现在wifi普及,还不如提着电脑蹭wifi方便。

    回复删除
    回复
    1. 蹭wifi这不是害人吗?

      删除
    2. 回楼主:你错了。第一:加密信息比被抓住有用。刑讯逼供(为了获取你的口令)是因为他们对你还有信心。但是现在有方法让他们为此失去信心。例如,你可以当着他们面把记录口令(随机数发生器生成的密码)销毁掉。这样免不了一顿打,但是他们绝对找不到确实的证据——但也不能保证你就因此免于牢狱之灾。不过,另一方面看,你也应该意识到你的信息安全牵扯到的不只是你,还有你的经常联系的朋友之类。如果他们获取到了你的聊天记录、电子邮件,就有更多人被你扯进来了。

      你所提到的隐藏自己的踪迹的方法,很抱歉的说,比较幼稚——如果你不用加密。国内的提供商本身就和网警合作(或者是被合作),你的数据总是会被看到的,在哪不重要。何况,很多公共wifi的场所也都是有摄像头的场所。根据你的信息的发布时间,去场所看下,有几个人(不会太多的)用笔记本上网之类,很容易就找到了。

      删除
  46. 请普及一下手机能用的安全的聊天软件

    回复删除
    回复
    1. 你可以用Android版的GPG软件,在你发出消息之前将消息加密。GPG不是聊天软件,是加密软件。
      但是我认为在手机上操作这些软件未必很方便。

      何况,
      用手机本身就是不安全的。最好不要寄希望在手机之上的安全聊天软件。

      删除
  47. 一个政治目的多于传播技术目的的博客

    回复删除
    回复
    1. [url]http://program-think.blogspot.com/2009/06/writing-something-with-polity.html[/url]

      删除
    2. 世界上每一个国家都是为了自己的利益而存在
      掌握世界话语权的国家 可以黑的说成白的 或者放大敌对国家的负面 甚至无中生有的诽谤
      打个比方 你是一个遵纪守法的人 靠自己的本事赚钱发家
      但是你家小区里的一个你的强势竞争对手却向大家散播消息说你是小偷,强盗 在外面靠不法勾当发的家,以至于大家都这么认为 而你无法向你家人解释清楚 那只能想办法暂时让他们不要听信流传的谣言,直到等你有足够的话语权拿出证据来证明你的时候
      放到国家层面上来说 在没有能力挑战世界话语权的情况下 我想封网也是不得已而为之 虽然我对这种行为深恶痛绝 但是也可以理解 同时希望可以逐步放开。

      删除
    3. 本评论注定被吃2014年12月18日 16:40:00

      2单元在偷换概念了 把共匪党偷换成国家。
      什么叫放大敌对国家的负面?
      真的“英雄都是党的,妖魔都是国的”?
      真的“大饥荒不是它们的错,人民吃顿饱饭是它们的功;发动文革不是它们的错,结束文革是它们的功;制造冤案不是它们的错,拨乱反正是它们的功;闭关锁国不是它们的错,改革开放是它们的功;贪官遍地不是它们的错,查处腐败是它们的功……,它们从来没有错,它们就是为立功而生的。”

      删除
    4. 典型的國家和政府混淆不清
      政府的政客會爲了牟私利而掩蓋真相(去危害國家、危害民衆),但國家不是爲了利益而存在的。
      【國家是為人而設立的,而人不是為國家而生存】——愛因斯坦

      所謂的“話語權”不是靠權力/資產強硬壟斷,而是靠依據和遵守契約精神的原則來爭取。
      通過造謠損壞別人聲譽的行爲在成熟的民主國家是可以通過法律維護自身權益的,而非像獨裁國家那樣濫用權力去鎮壓。

      另外言論自由和誹謗造謠的區別請參看《 [url=http://program-think.blogspot.com/2014/02/freedom-of-speech.html]政治常识扫盲:澄清“言论自由”的各种误区[/url] 》



      删除
  48. 不知道Bleep這個通訊軟體的安全性如何?
    據說這是在史諾登揭露美國監聽計畫開發出來的東西

    回复删除
  49. 这个软件只支持苹果和微软视窗操作系统,我的WIN XP就安装不上,不知何故,英文提如下:

    Prerequisite check for system component Visual C++ 2013 Runtime Libraries (x86) failed with the following error

    message:
    "Installation of Visual C++ 2013 Runtime Libraries (x86) is not supported on Windows NT 4.0. Contact your

    application vendor."


    See the setup log file located at 'C:\DOCUME~1\glyy\LOCALS~1\Temp\VSD162.tmp\install.log' for more information.

    回复删除
  50. 想问下TELEGRAM和WICKR怎么样,不太放心SKYPE GTALK好像又被封了吧,翻墙也不方便

    TELEGRAM和WICKR那个更合适呢? 另外是否所有数据都是服务端中转的,也就是说我不挂VPN时,打字也好 语音或者传文件都不会暴露IP给对方?

    我是打算在IOS和WINDOWS上用

    另外我GMAIL不挂VPN直接接收,发信是否是安全的呢 对方有没有可能嵌入什么iframe 我一点开邮件,浏览器就会去访问那个网站,导致我IP暴露?

    回复删除
  51. 请问win8和win10磁贴版的QQ隐患大吗?我指的是文件的泄露,信息被监听没办法了

    回复删除
  52. 攻破WINDOWS的密码很容易?我读书少,你可不要骗我。。。
    windows的密码在不知道原密码的情况下使用一些特殊方法可以很容易的进行修改这个是确实有的,但使用这些非法手段修改以后EFS的密钥也随之改变了,虽然你可以登陆进入系统,但用原密码通过EFS加密的文件是无法解密的,如果没有备份的恢复密钥,那么这些文件会永久性的完蛋的!

    回复删除
  53. google现在已经被腐蚀了,作恶了。gmail也不安全啦

    回复删除
  54. 博主大大,
    我现在的电脑已经装过几款国产软件,而且都是手机注册的。
    现在准备按照您的方法执行,是不是为时已晚,除非换新电脑?

    回复删除
    回复
    1. -----BEGIN PGP SIGNED MESSAGE-----
      Hash: SHA256

      你可以考虑格式化硬盘,重装系统。
      至于你已经注册过的软件,如果能销号,就先让服务商销号。你在重装系统后,不要再轻易安装这种关联到手机的软件。
      -----BEGIN PGP SIGNATURE-----

      iHUEARYIAB0WIQQDjAWULXbMrFFF26E1HbRWgxejegUCXaILqwAKCRA1HbRWgxej
      ekxdAP9rHhsPYslCpKwG7qy6Vwd1VY4a/ZSiKR+NV5U1DBaNvAD/cpYY2YEheRsU
      glIrSkNq0x/hn7mWznIptOuFH32hbwQ=
      =wBl+
      -----END PGP SIGNATURE-----

      -----BEGIN PGP PUBLIC KEY BLOCK-----

      mDMEXZTcBhYJKwYBBAHaRw8BAQdAQX+xpPkqLT4sUnAMCFuZ15+xZCOF1eeXro80
      Nf4uBhy0BUFCQ0RFiJYEExYIAD4CGwMFCwkIBwIGFQoJCAsCBBYCAwECHgECF4AW
      IQQDjAWULXbMrFFF26E1HbRWgxejegUCXZ2jfwUJABbxqgAKCRA1HbRWgxejenHj
      AQCJBrX8Snb8aysPB2xGeOl7Hf8UGkg/bZzQsX1VhvQiUQD+NXeFg6i3fjuDmUNj
      C4FKaFgS9oY9aQLDRZftXkTuGQG4OARdlNwGEgorBgEEAZdVAQUBAQdAjDR8mp5l
      cnbFINFtGdrZzP0M8tWvAV6+FR2gM4Cwe3sDAQgHiH4EGBYIACYWIQQDjAWULXbM
      rFFF26E1HbRWgxejegUCXZTcBgIbDAUJAAnCqgAKCRA1HbRWgxejeuloAQDmfwCB
      RxyTfqErjz1uHywQosPKBO3w/ziiw25h4lCVPwD+LH4Er1MMOMGkn0DUN3BULPtS
      4jndtw5WBXjTZU5cjQU=
      =dtF+
      -----END PGP PUBLIC KEY BLOCK-----

      删除
    2. -----BEGIN PGP SIGNED MESSAGE-----
      Hash: SHA256

      补充一下,装系统时,
      如果是windows或者mac,尽量考虑正版渠道。如果实在没有办法,也要尽量用原版的,没有经过第三方篡改的系统。
      如果是linux系统,注意下载的时候验证签名,以防篡改。
      -----BEGIN PGP SIGNATURE-----

      iHUEARYIAB0WIQQDjAWULXbMrFFF26E1HbRWgxejegUCXaIMuQAKCRA1HbRWgxej
      eiW2AQDUDFLF1038NB9TGj/3P+ZG3oRjvW6KVBuNnwvFYpyRugEAsT/8JrTans3b
      oGt//8YjskA3Wj4VmC+Ay8T9Z5jVOw0=
      =CvTv
      -----END PGP SIGNATURE-----

      删除
    3. 能推荐个windows系统下,验证签名的软件吗?

      删除
    4. 如果你需要验证文章的PGP/GPG签名,你可以去搜索Gpg4win下载,安装时勾选Kleopatra

      如果你只是要验证下载的某个软件是否靠谱,请参考博主的这篇文章:https://program-think.blogspot.com/2013/02/file-integrity-check.html
      文章中提到了命令行版的一个验签工具FCIV(洋文全称是“File Checksum Integrity Verifier”。

      删除
    5. https://wiki-tiandixing.org/%E9%A6%96%E9%A1%B5

      https://tiandixing.org/index.php

      这里有教程及系统

      删除
    6. 这是法轮功反中共迫害办的网站,安全性还是可靠的。

      删除