author:: null source:: r/notonlygodknows - 【备份】防晶哥开盒不完全指北 clipped:: 2023-03-07 published::
0x00 前言
-
浪人里很多已经润出去了,晶哥开了也无济于事,还有必要吗?别忘了连坐是桂枝人流传2000多年的传统手段,找两个本地黑皮狗给你父母打电话,给父母工作单位施加压力,你如何解决?
-
本文现版本完成于2022年3月,所有标准皆以现时点为准,未来不可知。好日子还在后头呢。
-
本文阅读起来并不轻松愉快,提前有个心理准备。
0x01 成本,习惯与技术
小故事①: 记得几年前一个新闻吗?
FBI paid more than $1.3 million to break into San Bernardino iPhone https://www.reuters.com/article/us-apple-encryption-fbi-idUSKCN0XI2IB
技术的攻防世界,从来没有绝对的安全,而一直是谁高一尺,谁又能高一丈。隐私的安全也不全是技术问题,还伴随着成本的问题,换句话说,你值不值这个价。
因此,简单地将所有浪友定个价:
-
Level1 普通浪友。无论你是小留还是翻墙鼠鼠,无论你天天高强度操习明泽还是“我来冲浪只是看黄图的”,都属于此级别。
-
Level2 已经引起东厂注意的。比如大翻译运动帐号的持有人。
-
Level3 已经/曾经上猎杀名单的。比如胡编亲自科普,亲自宣传的恨国党陈光诚,比如编程随想。
由上,将下文将提到的对策划分重要程度(三颗星星按顺序对应Lv1~3级别),
-
重要度★★★:所有人都应该注意,这是最基本的安全防备。此级别对策应对的是无差别监控信息,扫号等操作,影响所有人。
-
重要度☆★★:在现时点,普通浪友,可以有一些小小疏忽,因为开盒成本略高。但L2,L3浪友仍需注意。
-
重要度☆☆★:一般人不配,L3顶级浪友专属。此级别对策的对手你可以想象成柯南,福尔摩斯。
但要注意的一点是,共匪从不和你讲道理,如乌克兰那个老哥一样,可能自己万万没想到,一条反战视频让他从Lv1(甚至之前还偏粉),瞬间就被全网封号,被晋升为Lv2了。因此,尽可能在可接受的麻烦程度下提高警惕性是必要的。
小故事②: 忘记具体是哪个安全界大神了,当时想进入阿里内网很久都没得手,后来是怎么成的?在阿里楼下星巴克架了个假wifi,截包了阿里员工笔记本的全部数据,顺利拿到进入内网的权限。没错,就是这么没有技术含量,入门级安全从业人员就能掌握的技术。
因此,应该明白,人永远是整个安全链条中最薄弱的一环,社科上的安全远比技术安全更更重要。
总结,当你想审视自己是否足够安全时,技术上的安全,良好的冲浪习惯,晶哥攻破的安全壁垒的成本,这三个因素缺一不可。
0x02 对策
总的来说,根本方法就是:精分。如果在国外最好,如果在国内,就想象一个虚拟的Fake人物(简称F)。不要想象成非洲一个说机理哇啦语的28cm非洲大屌,选择你能装的像的一些,比如你在国内,但会说一些法语,那你就可以伪装一个在法国的留学生/移民二代,设计一个全新的身份信息,包括名字,生日,性别,学校/公司,倒背如流前写在纸上。
具体措施就是切割,要想你和F是两个完全不同的人,你们不应该有的交集都不要出现。
-
★★★为的你假身份注册一个全新的邮箱,这个邮箱的任何信息都不应该与你的真实信息有关。包括不限于,姓名生日,惯用密码,恢复手机,恢复邮箱等等。敏感的服务均使用此邮箱注册。
-
☆★★在社交媒体上F身份帐号不要和有真实身份信息的帐号互相关注,最好完全0联系。
-
★★★不要使用国内手机号码注册国外已经被墙的服务。如果人在国内,请尽量使用 textnow/GoogleVoice/5sim 等等虚拟号码服务。原因①晶哥经常会定期扫号,比如按顺序遍历所有大陆有效手机号码,在telegram上添加你为好友,以此来确定你是否注册过telegram。原因②,防止国外服务商被拖库而泄漏你的信息。原因③,虽然目前来看并没有针对注册短信,但要知道短信的监控系统可是早于GFW的。你注册Gmail之类的短信可能早已经被注意到了,现在无非是暂时懒得理。
-
★★★不要使用国内邮箱(包括不限于QQ,126等等)注册国外服务。推荐Gmail或protonmail(此两邮箱的安全性不在此论证,事实上你也找不到更好的)。
-
★★★不要在国外服务使用你真实的身份信息(包括不限于姓名,生日)。事实上国外服务也不会强制你填写真实信息(包括很多支付系统)。如果涉及到找回帐号等等需要记忆功能,那就填写F身份信息。
-
★★★不要在国外敏感服务公开你的生物信息,如长相,声音。如果不得不公开,比如linkedin,那此帐号一定要与F身份切割。
-
★★★不要用F身份帐号,以资料,留言,回复等等任何方式透露真实信息,更进一步,还可以误导。
-
★★★检查所有敏感的被墙服务网站,删除可能透露你真实身份的帐号(包括不限于3-6条提及的内容)。如果实在舍不得删除一个老帐号,那就关闭所有信息可见性,用F身份的邮箱重新注册新号。(比如我这个reddit帐号就是)
-
★★★不要国内服务和国外服务共用邮箱。尤其像浏览冲浪tv这种行为,请使用F的独立的邮箱注册。
-
☆★★不要国内服务和国外服务共用有辨识度的昵称/头像。想想编程随想。。。
-
☆★★不要在淘宝等国内平台购买GV帐号,如果实在没有选择,尽量挑选小的店家。
-
★★★不要使用国内银行卡/微信/支付宝等支付被墙的服务。之前整治虚拟币时,有很多人银行卡在交易后很快被冻结,说明对于银行卡的监视能做,而且在做。最好选择国外的银行卡。退而求其次,谨慎直接支付,最好通过App store/Google Play等赚差价的中间商。通过Paypal支付时,是否可以一定程度隐藏支付信息,这点有没有银行系统的浪友确认下。
-
★★★有条件的,准备少量虚拟币,ETH即可。在国内可以找信得过的朋友兑换一些。
-
★★★不要使用国产输入法。Apple系默认的就很好用,Android可以用Gboard,唯独Windows平台,确实很难找到好的替代品。小狼毫真的不好用,而且对于一般用户配置起来也有些难度,自己取舍吧。
-
★★★不要在微信上给好友发被墙的网址,翻墙服务器的URL,如果一定要发,请去掉敏感部分,如“reddit.com”域名,“vmess://”协议头等等。
-
★★★不要在国内App和被墙App间,使用App内置的分享功能互相分享内容。
-
★★★不要使用国产手机,不要使用国行系统。至少要保证二者其一。
-
★★★不要使用国产浏览器(包括国产手机自带浏览器)。
-
☆★★尽量使用Web服务,少使用App服务。因为Web技术特点,有一部分内容永远是对用户可见的(即使被混淆/加密)。之前党媒弄个什么签名活动,自动涨签名数,以前小米的抢购,都沦为笑柄,就是因为伪造部分代码都是在前端完成的。而App就是完全不可见的黑盒,同类型国内App的体积是国外的3倍差不多,谁也不知道他们都做了什么。
-
★★★尽量使用网络世界通用的功能/手机的功能(非国产国行机),少使用App功能。
- 比如新浪微博的生成长图功能。他们可以轻而易举将用户的UID信息隐藏于图片之中,而且绝不是豆瓣那种靠调色来隐藏的瓦房店水平。请使用安全的手机截图。
- 比如分享链接。[https://www.bilibili.com/video/BVABCD1234?p=1&share\_medium=android&share\_plat=android&share\_session\_id=ABCDEFGHIJKLMNOPQRSTUVWXYZ&share\_source=WEIXIN&share\_tag=s\_i×tamp=1647123456&unique\_k=ABCDEF](https://www.bilibili.com/video/BVABCD1234?p=1&share_medium=android&share_plat=android&share_session_id=ABCDEFGHIJKLMNOPQRSTUVWXYZ&share_source=WEIXIN&share_tag=s_i×tamp=1647123456&unique_k=ABCDEF)
这是经过处理的,从批里批里app分享到微信的一个链接,然后在浏览器中打开(其中的ABCD部分是我更改的)。记住一条规则,网址中,「?」前面的部分标识的是资源地址,而后面部分是参数,即使删除,也不影响你定位到该资源。那么?后面是什么呢?从share\_session\_id这一项,就足够定位到分享的人是谁了。因此你想分享给别人时,请直接发网址的?前的部分,即[https://www.bilibili.com/video/BVABCD1234](https://www.bilibili.com/video/BVABCD1234)
21. ☆★★综合前两条,当你想分享一条微博截图时,不考虑麻烦程度,仅做安全性排名:使用别人的截图>模拟器+翻墙+游客帐号截图>网页截图>app中手机截图>app生成图片。使用哪种方法,自己权衡。其他App同理。
-
☆☆★尽量不要本地真实IP和翻墙服务器混合使用,访问墙内网。
-
☆☆★不要通过翻墙服务器访问墙内政府网站。
-
☆☆★发布照片前去除exif信息。很多手机相机在设置中就可以直接设置。
-
★★★鉴于之前看到的北京地铁已经开始抽查手机,那么请准备一个根正苗红备用手机,尤其在不了解的城市出差的时候。
此外,下述几个通用的准则,非具体细节。
-
不要认为使用了VPN/代理等等你就是绝对安全的。有很多途径可以获得你的真实IP。
-
翻墙工具的安全性重要在于使用什么协议,而不是什么客户端。先进的客户端使用落后的协议那就是落后的。之前看有浪人讨论过什么方式翻墙安全,其实都没说到点子上。
-
主流的代理协议的信息加密性上都是没问题的(除非是晶哥的钓鱼服务器),区别在于伪装。在晶哥那边看来就是,你使用大量流量以加密方式稳定访问一个服务器,虽然他不知道你收发了什么,但傻子也清楚你在翻墙。伪装可以伪装成访问百度的流量,微信视频的流量,等等,但其实也是猫鼠游戏,并不是绝对安全。
-
永远不要相信墙内服务会保护你的隐私。
-
即使你相信部分国外的服务会保护你的隐私,但记住那句话,最薄弱的环节是人,你仍无法防备他们买通了哪些人。你真的相信chonglangtv仅仅是因为开盒了徐好就被直接删版,并且追杀了许多转生版面吗?
0x03 如何自己思考补全
对于有一定网络知识基础的浪人,可以在本片文章基础上,根据自己的情况审查安全漏洞。
互联网公司曾有有一道经典的面试题:当你在浏览器网址栏输入网址,按下回车时,都发生了什么?那么,也可以有一个同样的问题:当你通过某终端(或手机或电脑)使用某服务时,都发生了什么?进一步说,会经过哪些节点,获得你哪些数据?
实际这段本来想写在「0x02 对策」章节前面的,这个思考问题的方式也几乎是所有对策的来源,只是怕大家看得云里雾里,故而置后。实际上了解了这个思路后才能更好的理解对策。
0x04 后注
文章版本:0.01
最后修改日期:21/03/2022
本文首发于reddit论坛,CLTV版块/quanlangtv版块,以及天国的chonglangTV,随想随写,日后若想到新的,不定期更新。
备份地址:后续补充。
本文欢迎以爱寄吧署名不署名,爱寄吧注明不注明来源的方式分享传播,希望这片文章早日没有任何价值。所有鼠鼠不必像挖地洞一样,以东躲西藏猫鼠游戏的方式访问自由开放的网络世界。