VICE 新时代信息安全完全指南

点击 “下载”,你便和互联 完成了一次交互;所有人被顺势处理为数据,置于二进制空间。这是前所未有的挑战:个人被大数据淹没,隐私传输于服务器之间。我们被人工智能打败,似乎只是时间问题。

科技代替我们工作、选择,甚至行使权利,也夺走了我们的存在价值与安全感。数字信息化的世界是人类历史上从未遇到过的问题,而遥遥无期的不确定感只会让人更加不安 —— 可我们不愿也无法抗拒时代的进步,但又该如何面对飞速改变的未来?没人知道答案。

于是在未来到来之前,我们只能选择主动去了解不安;进而使用下载这个动作,来拥抱这些必将永远存在的不安。

信息化了的我们终将与对信息生活的不安一起生活在这个现代 会,不管你愿不愿意。我们面临的是一个危机四伏的未来:黑客能在一瞬间盗走数以百万计的用户密码,他们有时还会攻击电 ,造成大规模的停电;他们还可以通过 络入侵引发灾难事故,智能家用机器人被入侵之后可能要了你的命,而且就连你的基因数据都有可能被黑客窃取。与此同时,在全球范围内,从国家到地方,各级警察正在配备越来越多的监控设备,以前所未有的深度挖掘你的 络存在。

但这并不意味着我们成了板上鱼肉。你有很多方法可以设置障碍,让黑客或者监控者难以入侵你的设备和账 ,这篇信息安全指南就是要给你简单明晰的防范建议。总体而言, 络入侵可以分为两种:一种是用户阻挡不了的,一种是可以阻挡的。我们的目的是帮助你把前者的破坏降至最低,并阻止后者的发生。

这篇文章虽然 称“完全指南”,也确实已经介绍了非常多的软件,链接了详实的补充信息,尽量给出了很多干货。但并不算全面,也不具备个体针对性,更无法为在中国特殊的 络和 会环境中的人们指出专门的道路—— 毕竟这个世界上没有所谓的“完美安全措施”,也没有适用所有情况的防范手法。但如果你想要未雨绸缪,希望这篇文章能成为你的起跳板。

中文版对部分信息做了删改,,如有需求可以取用。

保证信息安全的基本手段有哪些?

·胁威建模(threat modeling)

在一开始我们必须要谈一谈“威胁建模”这个词。“威胁建模”是一个黑客术语,意思是对你可能被入侵或者被监控的风险进行评价。要在 络通讯中保持安全,你首先应该想好:要保护的对象是什么?你在防范的对象是谁?

如果你问出这样的问题:Signal 是否是最好的通讯应用?Tor 是不是最安全的浏览器?你一定会得到信息安全专家这样的回复:“具体要看你的威胁建模”。因为,但凡涉及到“最安全”的问题,答案基本都是“看情况”。

没有任何一个安全计划是完全相同的。你要采取什么防范措施,全都取决于想要入侵你账户、查阅你信息的人是谁。坏消息是这世界上没有一劳永逸的方法,好消息是只要做好威胁建模,你不用成天紧张兮兮,也可以相对安全地享受 络生活。

所以在你行动之前,先考虑你的威胁建模。也就是说,想清楚你要保护的是什么,你要防范的是什么。

电子前线基金会建议大家在做威胁建模时考虑以下五个问题:

? 你想要保护什么?

? 你想要防范的是谁?

? 你有多需要保护它?

? 如果失败的话,后果有多严重?

? 为了保护它你愿意下多大功夫?

如果你是担心前任登陆你的 交媒体账 ,或者害怕你周围的人看到你聊骚时发送的下体照片,那你的首要工作是不能让他们知道你的密码。因此千万不要和别人分享你的重要密码,不管对方是谁—— 这一点或许很难,但非常有必要。如果你是 Netflix 用户,或者说,在中国,如果你是腾讯视频或者 B 站等的用户,那千万不要在其他地方使用同样的登录密码。

夸大威胁同样也会产生问题:如果你小题大做,用起了个人定制的操作系统、虚拟机等等根本没有必要(或者你根本不会用)的技术,那你可能只是在浪费时间,甚至给自己招来风险。往好了说,用这些复杂的防范措施,即便是执行最简单的任务,也会花费你更多的时间;往坏了想,使用这些鸡肋的设备和服务会让你产生错误的安全感,忽视真正需要保护的对象和真正需要防范的威胁。

·保持应用更新

要想保护自己,最重要、最基本的一件事就是保持软件更新至最新版本。也就是说,不管你用的是什么操作系统,都要保持使用最新版本,同时更新所有的应用和软件。而且你还要更新你的路由器、连接设备等等任何你用来联 的设备的固件。

如果是涉及到电脑,你并不一定要使用某个操作系统的最新版本。有些情况下,即便是稍微旧一点的操作系统版本也会有安全更新(但是 Windows XP 已经不支持更新,所以不要再用了!)最重要的是你的操作系统要有安全更新服务,而且你一定要不断更新。

所以这篇指南要给你的一个最基本的建议,就是更新更新再更新,或者不停地打补丁。许多 络攻击对会利用旧版本软件的漏洞,比如旧版的浏览器、PDF 阅读器、工作表或者文字处理工具,都容易成为黑客的攻击对象。保持更新能够降低受恶意软件攻击的风险,因为一旦出现新的黑客入侵事件,负责任的生产商和软件开发商都会在第一时间放出补丁。

黑客入侵通常都遵循最小阻力原则,也就是先找容易的下手。比如,之前闹得沸沸扬扬的勒索病毒软件 WannaCry,其背后的黑客就是专门找数周没有进行安全更新的用户下手。换句话说,一不小心出个漏洞,用户的大门钥匙就人人都有了,这时候你再迟迟不肯去更换门锁,黑客便有了可乘之机。

·密码

人人都嫌密码太多太难记,所以有些人习惯在所有的 页都设定同一个密码。重复使用密码很危险,举个例子,如果一个黑客获取了你的 交媒体或是一些奇奇怪怪的视频 站的密码,他们就可以用这个密码进入你的共享打车账 或者银行账 ,透支你的信用卡。

不过,虽然在记密码方面,我们的大脑其实没你想的那么弱,但要记住数十个各不相同的高强度密码,确实也是个不可能的任务。

但是不用担心,关于这个问题早就有解决方案了,那就是密码管理器。这些应用或者浏览器插件能够帮你记录密码,或是自动帮助你设置安全密码,让你的在线生活更加便捷。如果你用的是密码管理器,那你只需要记住一个主密码,就可以解锁你其他的所有密码。

当然,这个唯一的密码强度一定要高。不要再用什么大小写、符 、数字之类的了。要设置一个安全的主密码,最简单的方法就是编一个密码口令,用一些随机但顺口(这样才好记)的单词组在一起。比如 floodlit siesta kirk barrel amputee dice(这个我们写出来了你就不要再用了)。

如此一来,只要你使用密码管理器,便可以生成各种随机密码,永远不会重复使用。你只要设定一个简单好记的主密码就行,至于其他的各种密码,密码管理器会帮你记住。

肯定会有人想,把所有的密码都存在电脑或者第三方密码管理器里面也有风险,万一被黑客盯上怎么办?最安全的办法还是靠脑子记住!但事实并非如此。不法分子使用盗取的密码反复尝试其他账 的可能性,比高手黑客专门盯住密码数据库的可能性要大得多。

举个例子,如果你在不同的 站都使用同一个密码,而这个密码刚刚在之前的雅虎数据泄露事件(三十亿用户因此受影响)中被盗,那这个密码就会被用来登录你的 Gmail、Uber、Facebook 等等 站。但有些密码管理器会把你的密码加密保存在云端,这要一来,即便公司被黑客入侵,你的密码也会安然无恙。比如,密码管理器 LastPass 至少被黑过两次,但是用户的密码并未被盗取,就是因为这家公司安全措施做得好。所以虽然出过事故,我们依然推荐使用 LastPass。不过还是那句话,具体还是看你的威胁建模。

所以拜托大家使用密码管理器。现在的密码管理器有很多选择,像 1Password、LastPass、KeePass 都可以。你没有理由不用密码管理器,它能保护你以及我们所有人的安全,还可以让你的生活更加便捷。

如果你的老板以安全为理由要求你定期更改密码,你可以告诉他们这个要求实在很离谱。如果你在使用密码管理器、双重认证(下文有详述)、而且每个账 都有一个独特的高强度密码,那你真的没必要浪费时间更改密码,除非后台被入侵,或者你的密码已经被人给偷了。

·双重认证

设定一个特别的、高强度的密码,你就算迈出了第一步。但再完善的密码也有被盗的风险,所以你一定要为最重要的账 多加一层保护,这就是双重认证。现在很多的公司都提供双重认证,只要是有双重认证服务的,千万不要图省心,一定要开启。要想知道哪些平台提供双重认证服务,可以点击 twofactorauth.org 了解(主要是国外 站)。

开启双重认证之后,要登录这些账 ,光靠一个密码就不够了。通常来说,你还需要通过手机短信接收一个验证码,或者是用一个专用 app 生成验证码(如果登录时你的手机收不到信 ,这个 app 就派上用场了),或者是插入一个实体的优盾(不同品牌产品的叫法各不相同)。

不过,用短信验证码作为第二重认证是否安全?这个问题在去年就引发了热议。维权人士迪雷·麦吉森(Deray McKesson)的手机 码 被劫持,意味着黑客有办法让这些验证码直接发送到他们的设备上。另外,专门负责建立计量基准与标准、提供安全指南的美国国家标准与技术研究院(NIST)最近也不鼓励使用 SMS(短信服务)型双重认证。

迪雷遭受攻击是拜“”所赐。一名客户服务代表受犯罪分子欺骗,为他办理了一张新的 SIM 卡,让黑客控制了迪雷的电话 码。也就是说他们使用一重认证(登录密码)登录他的账 ,然后直接用手机接收了二重认证(短信验证码)。这种黑客入侵已经越来越普遍。

要防范这种攻击非常困难,而且很可惜,目前还没有完美的安全措施。但是你还是可以采取一些方法给这种攻击设置障碍,我们会在下文中的移动安全部分详细描述。

SMS 型双重认证可能会被钻空子,提供通讯服务的电信基础设施也可能被入侵,甚至还有一种 IMSI 捕捉器(也叫 Stingray)能够监控你的手机通讯,包括你的验证短信。和你说这些不是要吓唬你,只是你有必要知道虽然进行双重认证是有用的,但条件允许的话,尽可能选择使用认证 app。当然最好还是使用实体优盾。

如果 站允许的话,你应该使用短信认证以外的双重认证,包括在手机上安装认证 app(比如 Google Authenticator, DUO Mobile,或者 Authy),或者使用优盾。如果 站支持优盾,最好使用优盾。

·不要使用 Flash

Flash 历来都被认为是电脑上最不安全的软件。黑客都喜欢 Flash,因为这东西上的漏洞比瑞士奶酪还多。好消息是很多 站已经淘汰 Flash 了,你不需要 Flash 也能享受完整的浏览体验。所以你可以考虑把它从电脑上彻底卸载掉了,或者你也可以更改浏览器设置,要求每次 站在打开 Flash 之前都征询你的许可。

·使用杀毒软件

没错,这已经是老生常谈,但依旧是经验之谈。其实杀毒软件这东西也 浑身都是安全漏洞,但只要你没有被政府黑客或者高智商罪犯盯上,装个杀毒软件依然是个不错的选择。不过,你也别指望装了杀毒软件就能高枕无忧,现在都2017年了,要想保证安全,你还得多方防范。

另外还要提醒一句,杀毒软件的侵略性很强。为了扫描和查杀恶意软件,杀毒软件会深入你的电脑核心。这种授权可能会遭到滥用。

例如,美国政府就指控全球知名杀毒软件卡巴斯基将用户的敏感文件交给俄国政府腾讯电脑管家使用超常规手段推广自家的产品,尤其是中国的杀毒软件全面免费化之后,它们已经不再是纯粹的杀毒软件了,其安全性也更加值得怀疑。

·使用一些简单的安全插件

有时候要入侵你的系统很简单,黑客要做的只是让你浏览一个带恶意软件的 站。所以我们很有必要使用一些简单的插件,比如 广告拦截类插件。它们能够防止你在浏览不正规 站时被带有恶意软件的广告入侵,有时就连一些正规 站都会有这种广告。(当然我们还是希望你给 VICE 的 站开个白名单,嗯)

另一个值得推荐的插件是 HTTPS Everywhere,它能在你上 时进行自动加密(前提是 站支持)。如果你浏览的 站有恶意软件,这个插件帮不上忙,但在有些情况下,它能够阻止黑客把你重定向至冒牌 站,防止黑客篡改链接。

·使用 VPN

虚拟专用 络(VPN)为你的电脑上 提供了一条安全通道。如果你使用了 VPN,那么你的电脑就会先连接到 VPN,再连接到互联 ,这样便多了一层安全和隐私。如果你是在公共场所上 ,比如星巴克、机场,或者是民宿,你就是在和一群陌生人共享 络。如果共享 络中有一名黑客,他们就可以干扰你的连接,甚至入侵你的电脑。

在选择 VPN 之前最好还是做些功课,因为不同的 VPN 效果差距会很大,大部分免费的 VPN 都不能很好的保护你的隐私。我们推荐 Freedome 或者 Private Internet Access,如果你是个技术宅,还可以选择 Algo —— 不过这都是海外情况,在中国这个事情就复杂得多,不展开聊了。

·备份文件

如果你担心黑客会破坏你的文件或者给你的文件上锁(比如勒索软件),那你就要好好做备份。理想的做法是在断 状态下把文件备份至外接硬盘,这样一来,即便你被勒索软件攻击,备份资源也不会受感染。

·不要过度暴露私人信息

现代人巴不得把自己每天的生活都发到 交媒体上分享,但是拜托各位长点脑子,信用卡或者登机牌这种东西就不要拿出来晒了 —— 你要知道在 交媒体上发出来的东西通常都是所有人可见的,只要一些人有心去搜索,他们甚至能通过你从健身软件里晒出来的路线图猜出你的家庭住址。

像你的家庭住址或者就读过的高中之类的都是敏感信息(包括学校吉祥物也别乱发,因为随便一搜就知道你上的是哪所学校),黑客都可以通过 会工程学套取你更多的信息。黑客获取的私人信息越多,你的账 被盗的风险就越大。所以你最好修改一下账 的隐私设置。如果你实在是非常想发这些东西,至少要做好好友分组。

·不要随便点开附件

几十年来, 络犯罪分子一直都习惯把恶意软件隐藏在 word 或者 PDF 一类的附件当中,杀毒软件有时能够清除这些威胁,但你最好还是自己提高警惕。碰到不认识的人发来的附件或者链接,千万不要随便打开。

如果你真的很想打开,那也要做好防范措施,比如用 Chrome 在不下载文档的前提下打开附件。最好的方法就是把文档保存到 Google 云端硬盘,然后在云端打开文档。这么做安全性更高,因为负责打开文档的是 Google 而不是你的电脑。

如何保障移动设备的信息安全?

在当前的世界,智能手机已经成了我们的主要数字设备。我们使用手机的频率多过电脑,而且我们的手机几乎无时无刻不在身边。不用说,手机早就成了黑客的日常攻击目标。

·移动安全的威胁建模

很多人都会用密码、手势或者指纹来给自己的手机“上锁”。如果你还没这么做,现在请立刻开始!(根据最近的一项研究,手势解锁的方式更容易被人猜到或者被人通过动作推测出来。)

移动安全最大的威胁之一就是那些能拿到你的手机的人。在他们面前,你的移动安全就只能靠你的密码了。所以尽可能不要泄露自己的密码,也不要用你的生日或者你家电话这种随便就能猜到的密码,哪怕是最简单的密码也能阻止扒手或者捡到你手机的人获取你的信息 —— 但如果你有一个控制狂伴侣,可能科学就帮不到你了。

·换部 iPhone

几乎每个在 络安全领域工作的人(当然一些安卓工程师除外)都认为iPhone 是目前最安全的手机,这其中的原因有很多,比如苹果会对所有要上线 App Store 的应用进行严格的检查,只有苹果进行了数字签名的才可以上线(iOS 的代码签名机制);iOS 的每个应用都有自己对应的访问范围,每个应用程序之间的相互访问被严格限制(沙盒化)等等。相对来说,苹果的移动端操作系统 iOS 可以说是密不透风。

而且苹果公司从根本上掌控着 iOS 的一切,iPhone 能够得到来自苹果定期、快速的更新和补丁。相比之下,很多安卓设备需要数周或者数月的时间才会有一次重大安全更新。要知道就连2013年推出的 iPhone 5s 至今仍在更新支持。

所以如果你的担心手机被黑客入侵,iPhone 就是你的不二之选。但除非你有特别的原因,否则不要给手机越狱。虽然说正是越狱运动和背后的黑客让 iPhone 越来越安全,但现在给 iPhone 越狱真的没有多少好处,黑客能对越狱的 iPhone 展开大规模攻击。

当然,这世上没有密不透风的墙。我们知道有些政府已经有了用来入侵 iPhone 的价值数百万美元的工具,没准一些高级罪犯也有这些工具。不过还是那句话,换个 iPhone,安装更新,不要越狱,基本上就没什么问题。

·就是喜欢安卓?

因为其去中心化和开源特性,加上许多安卓设备的价格比 iPhone 便宜得多,安卓已经成了世界上最流行的操作系统。但从某些角度讲,安卓的开源特性恰恰是它的原罪:Google 为了占据市场份额放弃了对安卓系统的控制权,如此一来,重大安全更新的重任就交到了运营商和设备生产商的肩膀上,但这帮人向来对安全更新这种事情很不上心。

好消息是在过去的两年中,这一现状得到了极大改善。Google 已经开始要求合作方给用户提供每月定期更新,Google 自己的旗舰设备基本也和 iPhone 一样享受定期更新支持,安全特性上也有相似之处。

所以如果你非用安卓不可的话,最好还是选择 Pixel 或者 Nexus 手机,这两款手机的安全性是由 Google 全权负责。但如果你就是不喜欢用 Google 的手机,这里还有一些在安全更新上口碑不错的手机,都是 Google 自己评选出来的。

但不管你使用的是哪一款安卓手机,都要谨慎安装 app。黑客向来擅长在 Google 的 Play Store 散播恶意 app,所以在安装陌生、冷门 app 之前,一定要三思,或者想清楚这款 app 你是不是非装不可。就在去年初秋,超过一百万名安卓用户安装了一个山寨版的 WhatsApp。另外,不要去 Play Store 以外的第三方商店下载和安装 app —— 但在中国,这事怎么说呢……

另外,大部分安卓手机都默认拒绝安装第三方应用,你就不要去更改这个默认设定了。

此外,要想保护安卓手机上的数据,一定要开启全盘加密。打开你的设置,进入“安全”,找到“手机加密”,如果没有开启,把它点开即可。如果你的设备上找不到这些选项,请上 搜索开启方法。

最后一点,不妨在你的设备上安装一款移动端杀毒软件,这些杀毒软件能够有效查杀不法分子发布的恶意软件,有点用,但还是要看你的对手是谁了。

如何安全聊骚?

从某一天起,我们的电脑都安上了摄像头。接下来,完全不出人所料,大家开始在互联 上彼此发送裸照。美国的情况是,在的970名参与者当中,88%的人都表示他们都会在 上聊骚(Sexting)。然而有证据表明,能看到我们那玩意儿的可不止我们的对象。根据2016年的一项调查了近6000名单身成年人的 ,近25%的聊骚信息接收者都和他人分享过那些内容。

事情还不只是傻逼对象把收到的裸照在朋友中间传阅这么简单。糟糕的 络安全同样可以导致聊骚信息落入他人之手。比如在2014年,,受害者大部分都是女明星。根据 道,黑客们是利用了 iCloud 的一个漏洞,给女明星发送钓鱼邮件,之后便发生了这起臭名昭著的事件。

而类似的黑客袭击还在继续发生。当人们发现自己最私密的照片和消息被公之于众,或者被他们从未考虑过的人看到时,他们通常会感到极为痛苦。有种行为叫做“色情复仇”,讲的就是心怀不轨之人到处传播他们前任的裸照和私密视频,这会对受害人的情绪产生严重的影响。

值得庆幸的是,你可以采取一些步骤来保证你发送聊骚信息时的安全性。但在我们详细解释之前,得声明一点:聊骚这事儿不可能百分之百安全。只要你通过 络发送以及接收含有裸露内容的信息,你就多少会有风险。

有人会说,你就不该在 上跟人家聊骚;那些遭殃的人经常会遭到谴责,被指摘说他们一开始就不该参与这种事情 —— 显然,这些意见既不现实,也不具建设性。只要你积极主动地采取措施降低风险,你发送聊骚信息给你信任的对象这件事,本身就应该是完全正当的,这是你的权利。

话说回来,一个对所有人都管用的完美解决方案是不存在的。几乎所有跟我们聊过的专家都强调说,没有任何一个软件或者 站能够保证在 上聊骚的人信息滴水不漏。你该怎么办,取决于你最担心的是什么。

为了设计出一套 络聊骚方案,你必须得做个威胁模型,或者说好好想想你希望保护哪些信息、不被哪些人看到。比如,你最担心的是你的裸照被黑客泄漏,还是被某个前任四处传播?根据你个人给出的答案,你将有针对性的使用软件,构造解决方案。

·取得对方同意并确定计划

纵观互联 历史,当意外收到鸡鸡照片这种事发生时,没有一个接收人是愉快的。所以在你发送聊骚信息之前,你得先征求你对象的同意 —— 不光是同意你们相互交换裸照这件事本身,还有其他各种相关条件。

你需要记住很重要的一点是,在你开始分享裸照之前,你先要和对方确认隐私和安全条约,包括照片可以保留多久,可以保存在哪里,聊天记录可以保留多久,以及谁有权接触到你的设备。

另外你还要确保你对象跟你的期望是相同的,在你还没有问他们的时候,不要假设他们会采取你想要的操作。明确的沟通和对方的认可是非常关键的。如果你希望你的对象在看完你的照片之后把它们删了,你就得确保他们知道这点,并且过一阵要询问他们,督促他们真地把照片删了。

·对辨识度高的细节保持警惕

在你发送聊骚信息之前,考虑一下,你想要在照片上呈现哪些能让人辨认出你的细节 —— 你的脸,纹身,穿孔,胎记,屋内装饰(比如海 ),以及家具。比起拍完照片再把这些细节做模糊处理,还是你一开始就没把这些细节拍进照片更安全,因为现在的技术是有可能将照片的模糊部分进行复原的

这点很重要,因为如果这些东西被遮盖了或者没有入框,那么即便你的照片被公之于众了,人们也没法指认照片上的人就是你。

·关闭所有的自动备份功能

如果你使用 iCloud 或者 Google 的图片库,你的照片和视频就可以被自动同步到 上的备份里,也就是说它们不仅仅存在于你的设备里。在正常情况下,同步是挺方便的,比如说要是你的手机丢了,你的照片不会因此消失。但如果你发送聊骚信息,再让照片自动同步到 上就成安全隐患了(每一个曾经大意跟别人共享过 iCloud 账 的人,都会通过照片流功能学到信息安全的第一课)。在2014年 iCloud 被黑事件中,黑客之所以能盗取上百张明星裸照,就和自动同步功能脱不开关系。

还有值得注意的一点是,如果你给手机设了密码,那么手机上的内容就相当于被加密了,也就是说想要在没有密码的情况下获取这些内容会很困难。但是苹果公司是可以进到 iCloud 里的,因为该公司保有这项服务的破解密钥。因此,除非你有一个强大的、独特的密码,并且在但凡需要输入密码的地方都设置了双重认证,你就应该避免使用那种让你用一个用户名加一个密码就能在任何设备上登陆的云服务产品。

把同步功能关掉很简单:在你的 iPhone 上,去设置>照片与相机> iCloud 图片库,就在这里,把同步功能关闭即可。至于谷歌相册(Google Photos 在中国无法正常使用),去设置>账 >账 与同步,在这里把你想关闭同步的账 挨个取消选择就行了。在其他各种安卓设备上,你也可以进行类似的操作。

·清除你照片的 EXIF 数据

每当你用智能设备拍照的时候,就会有个叫做 EXIF 数据的玩意儿被植入照片文件里。其中有些信息非常人畜无害,比如说你拍照用的是哪款相机。但是 EXIF 数据也包含一张照片拍摄的精准地点,透露这点就很危险了,尤其在你和你不熟的人发聊骚信息的时候,或者在你把暴露照片上传到某个公开 站的时候。通过观察你的 EXIF 数据,你的聊骚信息发送对象可以知道你的具体位置在哪里。

对 EXIF 数据我们需要保持警惕,它全称的含义是可交换图像文件(Exchangeable Image File),这是一种通常会被储存在 JPEG,RAW,还有 TIFF 图片上的数据。如果你默认打开了图片定位,这种数据就会包括地点信息,照片拍摄的日期和具体时间,还有一系列技术方面的信息。所以,你也可以在拍照时就干脆关闭图片定位功能。

好消息是,在你把图片分享给别人之前,把这些信息删除是很容易的。在 iPhone 上,你需要一个第三方应用程序来完成这个过程,比如 ViewExif 就可以,这个应用程序是 iOS 的一个扩展,使用方便,你都不用关闭看图的应用。ViewExif 能帮你把图片的元数据都删除,随即把新的干净版本储存到你的图片库里。如此一来,你的聊骚信息发送对象就不会知道你在哪里了。

如果你在第三方图片 站上传裸照,有些 站会自动替你消除 EXIF 数据,但不是所有 站都这么做,你最好还是自己先下手。

·为你的威胁模型选择正确的应用程序

为了保障发送聊骚信息时的安全,非常重要的一个环节是决定哪个应用程序适合你。你所使用的应该是一个通常你不会在那上面跟朋友和家人交流的应用程序。为了避免意外暴露隐私,人们在自我保护方面所能做的最重要的事情,就是主动限制图片和私密视频在应用程序上的分享。

如果你担心政府里有人在窥探你,或者你的聊骚信息被黑客劫持,你就应该选择一个端对端加密的应用程序,也就是说,只有发送和接收消息的这两个人能够看到信息内容,而无论是应用程序的开发者,还是政府,都不能拦截或者破译信息。

免费的短信应用程序 Signal 就是一个很好的选择,它被 络安全专家认为是最可靠的安全短信应用程序之一。如果你从来没有用过 Signal,那么你可以参考,还有由拦截组织(The Intercept)发表的关于如何以最安全的方式来操作这个应用程序的 。

Signal 要求你使用手机 码而不是昵称,但如果你不想把你的真实手机 给你的聊骚信息接收人看到,这个应用程序也提供一些变通的办法,让你显示一个假手机 。

Signal 还有让信息消失的功能,就是在你选择的时间段过后,让你发出的消息自我毁灭。使用这个功能很方便:打开一个对话,点击接收人的名字,然后开启“信息消失”功能即可。不过有个警告:虽然你在移动电话上删除了信息,但是该应用程序桌面版本上的信息并不会被自动抹去。

还有其他一些具备类似加密功能的应用程序,比如 Wire。

归 Facebook 所有的 WhatsApp 在默认情况下也是端对终加密的,不像 Facebook Messenger 存在危险性。不过我们还是不推荐用 WhatsApp 来发送聊骚信息,因为当你这么做的时候,你还需要采取更多步骤才能保护自己的信息安全。比如说,当你的对象在 WhatsApp 上给你发了一张照片的时候,无论你用的是 iOS 系统还是安卓,这张照片都会被自动存档进的你的相册。在 iOS 上把这个功能关闭还比较容易,但是在安卓上你还要额外花一番功夫才行,所以 WhatsApp 总的来说不是特别好的选择。

iMessage 也是端对端加密的,但是在默认情况下,它会把信息都备份上云端,这也就是为什么你可以在你的任何一部设备上用 iMessage 发信息。你可以把这个功能关闭,但是如果你和你的对象需要手动调整一个应用程序之后才敢用它安全地发送聊骚信息,那么这个应用程序也算不上什么好选择。再说,iMessage 也没有让信息自己消失的功能。

·防截屏、防录屏

无论你使用哪个应用程序,你都不可能百分之百阻止一个人对你发送的内容进行截屏,或者进行二次拍摄。对于很多针对发送聊骚信息的威胁模型来说,截屏和录影将是你最想防止的恶劣行径。

居心不良者会在他们的设备上进行截屏操作,哪怕冒着信息发送人收到消息提示的风险。而且,他们永远还可以选择用另一部手机或者照相机,把他们收到的聊骚信息内容拍摄下来。最后,没有人可以保证你的对象观看挑逗信息的时候是独自一人,总是可能有其他人在场的。

话虽这么说,还是有一些应用程序在设计的时候专门考虑了防截屏,以及防止聊骚信息内容被对方保存。然而它们普遍一个的问题在于,它们没有更新换代以适应 iOS11 的新功能:屏幕录制(估计有很多人还不知道)。作为2017年后期最新的软件更新之一,苹果实现了让 iPhone 和 iPad 录制屏幕上任何内容的功能 —— 而大部分开发时有反截屏功能的应用程序都还没能顾及到现在这个情况。

在所有我们测试过的“阅后即焚类”短信应用程序中,Snapchat 是唯一一个在信息接收者使用 iOS11 的内置屏幕录制功能时会通知信息发送者的。Instagram 的消失信息功能会在别人截屏或者录屏的时候通知你,但是它还不能把屏幕录制和截屏区分开来。

即便如此,我们也对使用 Snapchat 和 Instagram 发送聊骚信息持谨慎态度,因为它们本身已经是许多人为了和朋友们对话而使用的应用程序,这就增加了意外地把聊骚信息发送给错误接收人的风险。话说回来,如果你的主要顾虑在于担心对方截屏和使用屏幕录制,那么这两个应用程序还是非常不错的选择。

“Privates!”也是一个含有多种截屏检测和安全保障功能的应用程序,而且它让你自己选择你想要开启哪些功能。用户可以让短信消失,还可以让短信接收人在屏幕上划两个圈,或者保持手机端正时才能阅读短信,甚至可以撤回一条信息 —— 而且是在接受者看到内容之前。这个应用程序的诸多安全设置都可以由用户自行调整,哪怕你每发送一条信息修改一回都行。“Privates!”是免费的,不过只能在 iOS 系统上使用。

但不得不再次说明的是,这个应用程序也无法对苹果最新的屏幕录制功能做出阻拦或提示。而且,在最严重的情况下,如果对方用另外一个设备对屏幕进行拍摄,那谁都没办法了。

·防止别人在手机上进行不当操作

如果你用 Disckreet 发送信息,那么为了看到信息内容,你和你的对象就必须同时输入一个密码。而且,当你的对象截屏时,这个应用程序会立刻通知你,还会在十分钟内禁止你的对象使用该应用程序(不过它暂时还无法检测出屏幕录制)。你还可以在任何时候删除你的账户以及你所有的文件,这些信息将不仅在你的设备上被抹去,在你对象的设备上也会消失。Disckreet 售价2.99美元,仅提供在 iOS 系统上使用的版本。

一个提示: Signal 和 WhatsApp 都受到过来自安全研究员的仔细且公开的审查,但 Privates!和 Disckreet 并没有。

无论你做什么,都别用 Telegram 发聊骚信息。在可以用于交换敏感信息的工具里面,Telegram 可不是个好东西,它是一个你以为安全但并不安全的软件,这个应用程序并没有默认将短信进行端对端加密,事实上它加密本身的质量都值得怀疑。

·如何将聊骚信息安全保存

如果你得到了你对象的允许,你就可以保存他她(们)发给你的挑逗信息,不过这些信息应当被保存在你电脑上加密了的、有密码保护的文件夹里。这样一来,即使你的笔记本电脑被盗,或者出于某些原因不再归你所有,他们也无法获得这些内容。在 和 里创建加密文件夹都是很简单的。而如果你想备份这个文件夹,你需要非常谨慎地选择备份服务,比如 Google Drive,Dropbox,或者 iCloud。

而在智能手机上,你需要一个独立的应用程序来将你的聊骚信息加密,并为它们设置密码。在 Google Play 商店和苹果应用程序商店里都有许多选择,要提醒你的是,你需要确保你使用的应用程序既能将你的文件加密,又不会把它们上传至第三方的云服务里。我建议你寻找一个使用 256AES 编码的应用程序,如果你用的是 iOS 系统,那么这个应用程序还得支持 TouchID。当你保存了挑逗内容后,你就该把它们从相机相册里删除。

如何应对无处不在的(国家)监控?

911恐怖袭击之后,美国就搭建了一套大型监控系统,不仅侵犯了公民受宪法保护的权利,也限制了法律系统对公民的帮助。

面对美国 —— 以及全球各国政府 —— 的超强监控能力,可能会让你惶惶不可终日。而且不只是国家安全局,包括 FBI、甚至地方警方都具备了前所未有的监控能力。而且他们的监控范围大得吓人:你的 交媒体账 会被当做证据收集,你的邮件和电话会被大规模纪录,你的手机元数据也会被 Stingray 和 IMSI 捕捉器抓取,用来作为控告其他人的罪证 —— 总之,被监控已经是这个时代的常态了。

因此记住,反监控不是解决办法,它只是保护你自己和其他人的一种途径。你也许不是被盯上的人,但这并不意味着你不需要采取更好的安全措施。监控是一个很复杂的问题,你可以采取全球最顶级的安全措施,但如果你把信息发给一个没有采取安全措施的人,那么监控人员还是可以通过他们的设备、或者他们和其他人的通讯交流(比如他们在和其他人讨论你告诉他的信息)对你进行监控。

这就是我们要普及安全措施的原因。别觉得自己没什么好防范的。因为如果你有朋友是无证移民、或者参与维权运动,而他们采取了一些反监控的安全措施,那么你也采取安全措施,便可以减轻他们被怀疑的风险。

你不需要变成安全专家,只要先想想你面临哪些风险,也不要被这些技术吓倒。安全防范是一个学习的过程,威胁和应对威胁的工具都在不断改变,这也是为什么隐私和安全建议好像很容易过时,甚至自相矛盾。但是以下的建议是一个很好的开始。

·加密聊天软件 SIGNAL

Signal 是一款智能手机和电脑平台的加密聊天软件,对于大部分人来说,这是一个避免监控的上好选择。因为政府能够在电子讯息进行传输的时候对其进行拦截,所以在通讯聊天的时候,最好尽量使用端到端加密。

Signal 使用很简单。你可以在应用商城里直接搜索并下载安装(它在 iOS App Store 和 Google Play Store 里的全名叫“Signal Private Messenger”,开发团队是 Open Whisper Systems。)如果你的联系人当中有其他人的电话 码,你就可以在 Signal 中看到他们,并且通过 Signal 和他们发信息或者打电话。只要对方也有 Signal,你们的信息就会自动加密,外人什么也看不到。

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2018年1月27日
下一篇 2018年1月27日

相关推荐