您的位置: 首頁 >互聯(lián)網(wǎng) >

如何在網(wǎng)上保持安全

2020-05-17 11:20:07 編輯: 來源:
導(dǎo)讀 通過這一系列的第四個(gè)也是最后一個(gè)條目,您應(yīng)該掌握信息安全基礎(chǔ)知識。 在繼續(xù)下兔子洞之前,讓我們先對它們進(jìn)行評估。 您已經(jīng)檢查了各種攻擊向量和關(guān)閉它們的方法。 在觀察它們的模式時(shí),你已經(jīng)了解了內(nèi)在在線暴露的弱點(diǎn),因此需要干預(yù)。 您已經(jīng)了解到,任何處理您的通信的軟件或操作員都會控制它。 信息安全歸結(jié)為打破這個(gè)僵局。 要做到這一點(diǎn),你要么在可能的情況下切除中介,要么在不可能的情況下通過它們加密連接。

通過這一系列的第四個(gè)也是最后一個(gè)條目,您應(yīng)該掌握信息安全基礎(chǔ)知識。 在繼續(xù)下兔子洞之前,讓我們先對它們進(jìn)行評估。

您已經(jīng)檢查了各種攻擊向量和關(guān)閉它們的方法。 在觀察它們的模式時(shí),你已經(jīng)了解了內(nèi)在在線暴露的弱點(diǎn),因此需要干預(yù)。

您已經(jīng)了解到,任何處理您的通信的軟件或操作員都會控制它。 信息安全歸結(jié)為打破這個(gè)僵局。 要做到這一點(diǎn),你要么在可能的情況下切除中介,要么在不可能的情況下通過它們加密連接。

在這個(gè)過程中,你還發(fā)現(xiàn)人類不善于設(shè)計(jì)真正的隨機(jī)輸出,所以你不能假設(shè)你的大腦思考的密碼足夠隨機(jī)。 我們最明顯的弱點(diǎn)是我們傾向于自動相信我們的本能評估。 當(dāng)人們請求敏感信息時(shí),這種正常的偏見也降低了我們的警惕。

第二類對手沒有什么可打噴嚏的,但他們的資源是有限的。 如果你裝甲足夠,他們就會放棄,并轉(zhuǎn)移到一個(gè)更容易匹配的目標(biāo)上。

在面對第三類的威脅時(shí),你所學(xué)到的一切都會升級到一個(gè)全新的偏執(zhí)程度。 第三類對手有功能無限的資源來追求頂級目標(biāo)。

它們通常被稱為“民族國家行為者”或“先進(jìn)的持續(xù)威脅”(APTs),有稅收、國家主權(quán)和背后的法律。

在繼續(xù)之前,考慮以下幾點(diǎn)。

首先,我們系列的這一部分的指導(dǎo)幾乎肯定不適用于你。 你可能會發(fā)現(xiàn)它很有趣,你可能會從中受益。 然而,從統(tǒng)計(jì)上講,你永遠(yuǎn)不會面臨這種程度的威脅。

如果由于某種原因,本指南確實(shí)適用于您,您將需要比我所能提供的更多的幫助。 目前,我不能抵擋一個(gè)民族國家。 我也不知道有誰能抗拒一兩個(gè)月以上的。

與其把這本指南作為防御民族國家的權(quán)威詞匯,不如把它作為進(jìn)一步研究的起點(diǎn)。 我建議接下來學(xué)習(xí)電子前沿基金會的監(jiān)控自衛(wèi)手冊,然后是開源協(xié)會大學(xué)學(xué)位軌道。

你應(yīng)該咨詢更多有價(jià)值的資源,但這是一個(gè)適度的開始。 正如信息量所暗示的那樣,你需要一個(gè)全面的計(jì)算機(jī)科學(xué)背景才能有機(jī)會。

第二,即使你只練習(xí)這篇文章提供的技術(shù),你的操作安全(OPSEC)必須是無可挑剔的。 也就是說,你可能會失敗。

OPSEC是您遵循威脅模型規(guī)定的安全控制的紀(jì)律。 正如我在本系列的開頭所指出的,安全是以方便為代價(jià)的,當(dāng)你面臨最終的威脅時(shí),方便的犧牲是完全的。

這就是為什么最優(yōu)秀的OPSEC從業(yè)人員將他們的追求者限制在幾年內(nèi)。 所以,有一個(gè)應(yīng)急計(jì)劃,當(dāng)你失敗的時(shí)候。 只有你才知道那是什么樣子。

那么這一期應(yīng)用于誰呢? 國家安全或國際事務(wù)記者,為之一。 對于那些審查機(jī)密信息或敏感來源的人來說,情況加倍。 對民族國家來說,秘密是無價(jià)的,他們將不惜一切代價(jià)來追捕那些泄密者。

高調(diào)的持不同政見者也會發(fā)現(xiàn)自己處于民族國家的交叉點(diǎn)。 這些持不同意見的人主張政府認(rèn)為極端的政策,以任何方式為沉默辯護(hù)。

最后,技術(shù)研究人員應(yīng)該預(yù)測第三類攻擊。 民族國家一直在損害工程師開發(fā)或經(jīng)濟(jì)優(yōu)勢的來源,因此他們可以收集一份工作副本,并使競爭環(huán)境公平。

理解計(jì)算中的“信任”很重要。 在這里,信任是不好的。 具體來說,信任一些東西,如硬件或軟件或維護(hù)它的實(shí)體,意味著你必須信任它來處理你的數(shù)據(jù)。 在信任關(guān)系中,你不能為你所信任的東西辯護(hù):你只能希望它不會背叛你。

相反,采取不信任的態(tài)度。 如果沒有信任,您就不必信任某個(gè)實(shí)體來觸摸您的數(shù)據(jù)。 你通過實(shí)施措施來達(dá)到這個(gè)姿勢,確保如果實(shí)體試圖破壞你,你不會受到傷害。

端到端加密是消除信任的一個(gè)例子。 例如,VPN使ISP無法窺探您,因此您不必信任它。

要避免類別3,您信任的實(shí)體數(shù)量必須為零。

政府的對手是極其危險(xiǎn)的,因?yàn)樗麄儙砹苏馁Y源。

他們有龐大的預(yù)算。 深口袋允許APT為專門的黑客機(jī)構(gòu)工作。 他們可以買得起昂貴的玩具,比如用于暴力攻擊的超級計(jì)算機(jī),或者用于制作定制開發(fā)的零天漏洞(在灰色市場上發(fā)現(xiàn))。

民族國家享有的另一個(gè)優(yōu)勢是賦予其代理人法律豁免權(quán)。 套用技術(shù)專家Chris Soghoian的說法,就像士兵可以殺人而不進(jìn)監(jiān)獄一樣,政府黑客可以不受懲罰地傷害你。 它是黑客尋求有報(bào)酬工作的主要吸引力之一。

最后,政府行為者可以使用法律脅迫。 簡單地說,他們可以命令數(shù)字服務(wù)提供商出賣你。 合法支持的操作可以從請求您的數(shù)據(jù)到命令強(qiáng)制服務(wù)提供商插入后門。 其他程序中的代碼片段允許根訪問任何知道它們?nèi)绾喂ぷ鞯娜耍@使得監(jiān)視用戶變得微不足道。

詳細(xì)列出民族國家行動者實(shí)際使用的技術(shù)是不可能的。 對他們來說,很少有壯舉是不可能的。 他們針對他們的目標(biāo)排列的武器是一個(gè)民族國家愿意做什么來鎖定目標(biāo)的問題。

有這么多目標(biāo),你,假設(shè)的獵物,不太可能接近APT列表的頂部。 因此,你有一個(gè)機(jī)會:讓攻擊你的任務(wù)如此繁重,以至于不值得戰(zhàn)略回報(bào)。 你不一定知道什么是臨界點(diǎn),但如果你確定你被APT包圍,你必須嘗試。

說了這么多,讓我們直接探討對策,我會解釋他們的目標(biāo)。 針對第三類的防御包括兩個(gè)考慮因素:使用的工具和使用它們所需的OPSEC。

真正理想的方法是將你的設(shè)備通過伐木機(jī),在高爐中焚燒碎片,并將遺骸扔進(jìn)海洋。 如果這不是一個(gè)選項(xiàng),請繼續(xù)閱讀。

有可能是,如果你正在熱切地努力保護(hù)你的計(jì)算機(jī),這是因?yàn)槟阈枰鼇磉M(jìn)行通信。 所有的通信都是由一些提供者進(jìn)行調(diào)解的,首先選擇一個(gè)致力于保護(hù)用戶隱私的通信。

一個(gè)很好的選擇是選擇一個(gè)電子郵件提供商,聊天服務(wù)器等,這是合并在您的敵人的管轄范圍之外。 然后,你的對手政府必須說服提供者的政府來執(zhí)行記錄請求,后者不會總是默許。

接下來你應(yīng)該做的是通過Tor路由你所有的通信。 Tor是一個(gè)網(wǎng)絡(luò),它通過在將用戶流量路由到適當(dāng)?shù)哪康牡刂皩λ械挠脩袅髁窟M(jìn)行洗牌使用戶匿名。

從本質(zhì)上講,它使VPN使用類固醇。 VPN的弱點(diǎn)是,一個(gè)中等能力的攻擊者可以繞過它。 VPN對可以看到客戶端與VPN的連接或VPN服務(wù)器與Internet的連接的對手是有效的,但不是兩者兼而有之。

ISP適合這個(gè)配置文件,因?yàn)樗麄冎豢吹侥脑O(shè)備連接到VPN。 然而,在頂層類別2或以上的敵人可以觀察VPN兩側(cè)的流量。 如果他們看到你的設(shè)備擊中了VPN,然后在一瞬間看到VPN擊中了一個(gè)網(wǎng)站,他們可以把兩個(gè)和兩個(gè)放在一起。

Tor不像VPN那樣通過一個(gè)代理路由,而是使用三個(gè)連續(xù)的代理。 原理圖上,您的流量從設(shè)備傳輸?shù)絋or節(jié)點(diǎn)A,從Tor節(jié)點(diǎn)A到Tor節(jié)點(diǎn)B,從Tor節(jié)點(diǎn)B到Tor節(jié)點(diǎn)C,最后從Tor節(jié)點(diǎn)C到您的目的地。

沿著這條路徑,您的連接是三次加密的:B-C腿用C鍵加密,A-B腿用B鍵加密,設(shè)備-A腿用A鍵加密,按順序排列。 這樣,雖然A知道你是誰,但它不知道你要去哪里。 相應(yīng)地,C會知道你的連接在哪里,但它不知道是誰提出了請求。

這使得很難跟蹤您的流量通過Tor網(wǎng)絡(luò),使VPN上的相關(guān)攻擊復(fù)雜化。 哦,為了更好地衡量,Tor每五分鐘切換一次使用的節(jié)點(diǎn)。

Tor提供Tor瀏覽器,讓您通過Tor瀏覽。 然而,這只保護(hù)你的網(wǎng)頁瀏覽,所以我不是在說這個(gè)。 您必須配置您的系統(tǒng),以路由所有互聯(lián)網(wǎng)流量通過Tor。 這太依賴于系統(tǒng),無法在這里描述,但有如何做到這一點(diǎn)的指南。

但是,一旦設(shè)置了這個(gè),您的設(shè)備通過Tor發(fā)送或接收過濾器的所有內(nèi)容。 假設(shè)您沒有做任何事情來擺脫自己(下面討論的OPSEC問題),這使得您的流量在功能上是匿名的。

使用Tor并不排除一個(gè)民族國家監(jiān)視你,但它確實(shí)迫使它攻擊Tor本身,而不是要求第三方記錄或在互聯(lián)網(wǎng)主干上嗅探你的連接。 這些來源包含您的活動的痕跡,但不是歸因于您。

與Tor一起,隱藏通信源需要MAC地址欺騙。 MAC地址是設(shè)備網(wǎng)絡(luò)接口控制器(NIC)的唯一硬件序列號。

您的設(shè)備NIC將其MAC地址打包到它發(fā)送的每個(gè)數(shù)據(jù)包的元數(shù)據(jù)中。 通過MAC欺騙,您的軟件取代了一個(gè)任意MAC作為您的硬件MAC在數(shù)據(jù)包中。 沒有這一步,一個(gè)知道你MAC地址的民族國家不會被Tor愚弄。

針對高口徑的對手,你也必須把你的加密交易給PGP。 盡管他們的學(xué)習(xí)曲線,PGP密鑰提供了一些最強(qiáng)大和通用的加密周圍。

簡而言之,PGP密鑰成對工作:一個(gè)可以解密任何其他加密的東西。 如果你把這兩個(gè)組合中的一個(gè)交給任何想要與你交流并為自己保留另一個(gè)的人,任何人都可以加密只有你才能解密的消息。

PGP密鑰的優(yōu)點(diǎn)是可以在任何地方加密任何東西。 無論是電子郵件內(nèi)容、文本文件、視頻和音頻,甚至是發(fā)布在Web上的文本,PGP都可以對其進(jìn)行加密。 另一個(gè)巧妙的技巧是,它可以簽署數(shù)據(jù),將其肯定地歸因于密鑰的創(chuàng)建者。 適當(dāng)?shù)乩肞GP將證明是非??煽康?。 雖然它從90年代就一直存在,但直到今天它仍然沒有被打破。

任何想避開APTS的希望也意味著切換到開源操作系統(tǒng)(OS)。 在實(shí)踐中,這意味著在桌面設(shè)備上安裝Linux或Free BSD(即。 臺式機(jī)或筆記本電腦)。 安卓不夠好(我稍后再解釋).. 開源的OSes不一定比專有的更安全,但是因?yàn)樗鼈兊脑创a是可供公眾使用的,所以它可以被審計(jì)以發(fā)現(xiàn)篡改。

開源操作系統(tǒng)是在這么多的管轄區(qū)開發(fā)的,所以你保證在對手的掌握之外找到一個(gè)。 與域外通信提供商一樣,OS外國開發(fā)者將他們與法律命令隔離開來。

無論您選擇什么操作系統(tǒng),也可以啟用全盤加密。 我說過很多關(guān)于加密通信(傳輸中的數(shù)據(jù))的事情,但你也可以在休息時(shí)加密數(shù)據(jù)。 沒有加密,硬盤上的數(shù)據(jù)以可讀的形式存儲,這意味著任何抓取硬盤的人都可以看到你所有的文件。 加密硬盤不僅可以保護(hù)文檔、視頻等用戶文件。 但你的操作系統(tǒng)的核心文件也是如此。

不幸的是,這仍然是不夠的,這不是那么簡單。 想一想:如果你的計(jì)算機(jī)在磁盤上的整個(gè)操作系統(tǒng)都被打亂了,你的計(jì)算機(jī)將如何知道如何引導(dǎo)? 答案是不會的。 這就是為什么,在現(xiàn)實(shí)中,即使在全盤加密的情況下,你的操作系統(tǒng)的啟動數(shù)據(jù)也有一小部分是不加密的。

如果,比如說,你的對手部署了一個(gè)團(tuán)隊(duì)來闖入你的家,彈出你的硬盤,用自己的代碼替換你的引導(dǎo)代碼,然后彈出它,你就會被攻擊。 每一次啟動,你的電腦似乎會正常運(yùn)行,但你的對手想要什么,就會以無形的方式執(zhí)行。 不太好。

輸入安全引導(dǎo)。 基本上,安全引導(dǎo)是主板固件過程,只有在未加密的引導(dǎo)扇區(qū)上的簽名檢查出來時(shí),才允許引導(dǎo)。 大多數(shù)現(xiàn)代電腦默認(rèn)是這樣做的,但使用制造商的鑰匙,這意味著你相信它。 雖然這很棘手,但您可以創(chuàng)建自己的加密密鑰,在操作系統(tǒng)的引導(dǎo)扇區(qū)簽名,然后將密鑰閃存到安全的引導(dǎo)寄存器。

這里也有一個(gè)障礙。 如果你的對手破壞了你的硬件本身,你迄今所做的任何事情都不能幫助你。 為此,有開放的硬件。 這目前不如開源成熟,但它體現(xiàn)了同樣的概念:透明規(guī)范允許檢測篡改..

開放硬件解決的漏洞不是理論上的。 這是孩子的游戲,以重新刷新計(jì)算機(jī)的BIOS(主板固件)與后門外觀相似。 國家演員也可能以某種方式破壞英特爾的管理引擎,這是一個(gè)運(yùn)行在你電腦操作系統(tǒng)下面的小而完全不透明的操作系統(tǒng)。 如果這不起作用,你的政府可以攔截你的新電腦,或者把它的手放在你現(xiàn)有的電腦上,并在里面插入一個(gè)錯(cuò)誤。

雖然我?guī)缀鯖]有觸及第三類攻擊載體的表面,但所有這些緩解措施都是必要和相稱的,這一事實(shí)應(yīng)該清楚地表明,這些對手不是笑話。

OPSEC是民族國家威脅模式的另一半。 沒有無懈可擊的OPSEC,你所有的工具都是毫無價(jià)值的。

首先,放棄你的手機(jī)。 蜂窩基帶設(shè)備(統(tǒng)稱為“移動設(shè)備”)完全優(yōu)化以跟蹤您。 首先,您的移動設(shè)備表示不可旋轉(zhuǎn)的硬件序列號,因?yàn)樗鼘?shí)時(shí)向您的運(yùn)營商報(bào)告您的位置。

這讓你有一個(gè)法律秩序的方式,讓你的每一個(gè)行動暴露出來。 如果你的移動設(shè)備在附近,你的桌面設(shè)備有多安全并不重要。 你的對手總能打開麥克風(fēng)。

那么,為什么不重復(fù)你為桌面做的事情呢? 你不能。

一,不能在上面安裝完全開源軟件.. 在沒有專有驅(qū)動程序的移動設(shè)備上安裝純開源Android實(shí)際上是不可能的,而且根據(jù)法律,蜂窩基帶必須包含用于射頻遵從性的專有固件。

第二,移動設(shè)備不允許您使用自定義鍵運(yùn)行安全引導(dǎo)。

三,移動開放硬件還沒有準(zhǔn)備好黃金時(shí)間,所以你必須相信硬件。

最后,在架構(gòu)上,SIM是您的移動設(shè)備的主人,讓它完全覆蓋您所做的任何事情。 移動設(shè)備充斥著致命的、不可避免的漏洞,在這個(gè)奇怪的游戲中,唯一獲勝的舉動就是不玩。

此外,仔細(xì)選擇你的網(wǎng)絡(luò)。 顯然,你不應(yīng)該從你的家庭網(wǎng)絡(luò)連接,但也不要把你所有的希望都寄托在Tor上。 總是假設(shè)你的IP暴露了。 不要兩次登錄同一網(wǎng)絡(luò)。 相反,通過公共網(wǎng)絡(luò)輪換而不留下模式。

既然你要去使用網(wǎng)絡(luò),你也要練習(xí)基本的反情報(bào)技術(shù)。 能夠判斷你是否在物理空間中被跟蹤。

不過,反情報(bào)并不會就此停止。 你還必須知道如何找出你的聯(lián)系人是否受到了損害。 最容易接觸到某人的方法是通過他們的同事。 在數(shù)字環(huán)境中,這通常不會變成一部洛杉磯間諜驚悚片,而是讓一個(gè)設(shè)備被破壞來監(jiān)視與你的交互。

這里的補(bǔ)救辦法是確保你的聯(lián)系人忘記你,或者他們和你一起練習(xí)本指南中的所有內(nèi)容。 溝通是一條雙向的街道。 如果你的同事在這些步驟中的任何一步都失敗了,結(jié)果就像你失敗了一樣。

只要你希望保持“正?!钡纳?,你就必須嚴(yán)格地將你的“安全”和“正常”生活分開。 不要在設(shè)備、帳戶或平臺之間跨越這一鴻溝傳輸任何文件、消息或其他數(shù)字工件。

此外,不要在每個(gè)“生活”中以類似的方式行事。 模式,如并發(fā)打開選項(xiàng)卡的內(nèi)容或訪問站點(diǎn)的順序,足以識別您的獨(dú)特行為。

總結(jié)OPSEC,不要采取行動,除非你已經(jīng)完全考慮過。

在這一點(diǎn)上,我已經(jīng)說了我所能做的一切。 一個(gè)人可能面臨第三類威脅的原因是如此眾多和個(gè)人的,只有你才能確定如何最好地應(yīng)用這里的工具和技術(shù)。

雖然第三類目標(biāo)還有很多要做,但每個(gè)閱讀這篇文章的人都應(yīng)該有能力重新評估你的威脅模型,并擴(kuò)展你的工具集,無論你面臨的威脅。

安全是一段旅程,但只有一些小徑被照亮。 祝你好運(yùn),祝你有鋒利的砍刀。

喬納森·泰爾拉西自2017年以來一直是ECT新聞網(wǎng)絡(luò)專欄作家。 他的主要興趣是計(jì)算機(jī)安全(特別是Linux桌面)、加密以及政治和時(shí)事分析。 他是一名全職自由作家和音樂家。 他的背景包括在芝加哥捍衛(wèi)權(quán)利法案委員會發(fā)表的文章中提供技術(shù)評論和分析。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。