来自demo@virushuo：匿名网民的安全指南(1)

Technorati 标签: 匿名,安全   匿名网民的安全指南(1) 作者：virushuo 发表于 2009-07-24 11:07 最后更新于 2009-07-24 13:07版权声明：可以任意转载，转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。http://blog.devep.net/virushuo/2009/07/24/anonymous-security-guide-1.html Version: 1.0b virushuo (twitter@virushuo) 20090724 注意： 1 这不是一份完整的安全手册，只是一些知识参考。但他能帮助你了解那些最重要的细节。如果有发现相关部分好的文档和教程，请提供给我，我连接上。2 本文主要用于商业安全和个人隐私安全(包括你的私人照片，银行账号等的安全)，本文不鼓励将这种技巧用于其他用途，使用在其他用途造成的损失和后果与本文无关，正如用菜刀杀人与磨刀的老大爷无关。3 本人并非专业研究计算机和网络安全。只是觉得略有所知，所以分享一些常识。如有专业人士认为有错漏，请不吝赐教。virushuo( attt ) gmail.com4 感谢geekcook.org的支持和建议5 郭宝锋，你妈妈喊你回家吃饭 #amoiist6 本文会时常修补增加内容，要转载请务必注明出处和以上注意事项。 网络是怎样传递信息的 整个互联网，可以看作是一台台计算机组成。当然，他们承担了不同的任务。一些机器负责存储你的信息，一些机器负责寻找路线，另外一些则只负责传递。你的信息，或者叫做数据，总是穿过了一台台计算机，才到达最终的目的地。可以想像，在穿过这一台台计算机的时候，是一次多么惊心动魄的历险。每台计算机后面都有一双眼睛，有的还不止一双。这其中可能有你的朋友，可能有完全中立者，不幸的是，你的敌人也往往混迹其中，虎视眈眈。 如果你不采用任何安全措施，则你的信息对于这无数个环节都是透明的。这可能意味着：你的商业机密转天见报，你的情书转天成为办公室趣谈，你的账号上一大笔血汗钱不翼而飞。当然，当然，还有最糟糕的……你还没来得及反映过来，就发现被人塞进车里送到一个不知名的地方。为了不至于成为陈冠希或是被躲猫猫，那么你必须得把这个事情重视起来。 大部分情况下，危害安全的行为都是广泛的，并非针对你个人，比如说，用扫描器来大量寻找具有某些漏洞的机器，或是用爬虫来尝试用123456做邮箱密码的家伙。所以，只要稍微设置一些障碍，对方往往知难而退，去寻找更容易上手的菜鸟。而，特殊情况下，你被盯上了，这就要非常留心了。 一份数据(文档，照片，聊天的一句话，统称数据)，从你的计算机上完成编写，经过你的网络发出，进入公共网络。经过无数节点之后，到达某处，等待另外一方获得。这就是进行一次互联网应用的过程。我们来依次看看这个过程中哪里会产生安全问题。 1 你的计算机是否安全？你的操作系统是否有漏洞？你的计算机内是否有木马或病毒？是否有其他人可以使用你的计算机？2 你的网络是否安全？你的局域网内还有谁？3 经过的节点安全吗？你的数据是否进行了加密？4 为你提供服务的服务商安全吗？你所拥有的账号是否泄露？5 你的IP地址安全吗？你是否愿意被别人追踪到你的IP？6 除了目标方，还有别人能看到你的信息吗？尤其是email和IM的聊天。 先问问自己这些问题，如果答案不确定，那么就继续往下看吧。 计算机安全 计算机安全是一切的基础，但又往往被忽视。可以想像，如果在你使用计算机的时候，身后永远站着一个人，时刻盯着你的屏幕，那一切安全都无从谈起。所以，首先要保证你有一台足够安全的计算机。这个安全是一系列良好的习惯。绝对不是安装一个杀毒软件就可以高枕无忧的。 1 补丁，木马，病毒，以及其他 对于个人计算机的信息安全来说，最大的挑战是木马。木马真正实现了"你身后永远站着一个人"的效果。相比之下，病毒最多是破坏资料，侵占系统资源，尚无泄密之忧。在这个时代，我认为病毒的安全危害远远小于木马了。现代破坏者们也不再和当年的hacker们一样，乐于通过写一个"得不到任何利益"的病毒程序来炫耀自己的水平。他们更感兴趣是你的银行账号，邮箱密码，网游账号等等真正能变成钱的东西。就算这些都没有，控制你的计算机去帮一些网站刷Alexa排名也是能赚钱的。从几年前开始，新的木马程序和流氓软件产生的速度远远高于传统的病毒，其中"利益为上"是主要原因。 安装一个木马到你的计算机上有很多方法。最简单的方法，就是诱使你安装某个程序。 这个行为又可以分成很多具体操作。常见的有: a 绑定在正常的软件中。b 通过常见的聊天工具，利用你的好友给你发送消息，骗你下载(比如QQ尾巴)c 群发邮件，诱使你运行附件d 把图片，flash等等打包成exe文件，把木马捆绑上。 最简单的办法永远是骗。千万不要看到"骗"这个词，就觉得技术含量很低。实际上，这个办法学名叫做"社会工程学"。实在是一种专门的学问，不可小看。后面我们还要多次提到这个词，你可以看到，几乎在各个环节，只要有人参与，就有"社会工程学"发挥的机会。 [...]