撰文:王一石
两年前我写过一篇文章,分享了一些保护个人隐私的技巧。
时过境迁,新的攻击手段层出不穷,尤其在 Crypto 行业,稍有不慎、倾家荡产。
事实上,没有什么银弹能抵御所有攻击,问题关键在于构建自己的「防御系统」,也就是说,你应当思考自己
可能被哪些人攻击
他们想要从中获取什么
他们会用什么样的方式
并且,假设攻击已经发生,自己是不是能承担损失;如果承担不了,应当如何分散风险。
大部分攻击都是「无差别」的,黑客广撒网,愿者上钩,这种只要正常防范就好。
也有针对性非常强的攻击,通过各种攻击手段(暗网交易 KYC 信息和电商记录),黑客很容易获得你的家庭和公司地址,从而进一步实施犯罪,要防范这种攻击,必须祭上更周密的策略。
只有「防御系统」构建好,你才能遇事不乱,把核心风险降到最低。
以下是我常用的一些防御手段:
不再使用 Google 搜索,转而使用 DuckDuckGo 或 Startpage,好处显而易见,因为它们能:
安全公司:RariCapital被攻击是由于经典的重入漏洞:4月30日消息,BlockSec经过分析发现RariCapital被攻击是由于经典的重入漏洞。其函数exitMaket没有重入保护。攻击者通过攻击获利超过8000万美金。
据悉,Rari Capital在Fuse上的资金池遭遇黑客攻击,被盗资金约28,380 ETH,约合8034万美元。算法Stablecoin协议Fei Protocol表示,若攻击者归还被盗资金,则愿意为其提供1000万美元赏金。[2022/4/30 2:42:30]
在通信中移除你的 IP 地址
在浏览网页内容时持续保持匿名状态
阻止第三方广告系统追踪你的个人信息
阻止基于你的个人网络活动构建用户画像
我只有在找不到想要内容的时候才会用回 Google。
如果你已经离不开诸如 iCloud、Google Drive、DropBox 这样的网盘,那你就要做好自己的数据有一天被 Hack 的觉悟。虽然大型企业会在加密、数据安全上投入大量预算,但你依然不能否认:
新加坡副总理:区块链技术将使跨境交易更快速更安全:金色财经报道,新加坡副总理兼经济政策统筹部长王瑞杰在新加坡《联合早报》发表题为《砥砺前行走出疫情——迈向蓬勃、互联和可持续的未来》的文章,王瑞杰表示,“新中两国的数字合作将让我们的企业受益,并推动东盟向数字经济一体化迈进。深圳智慧城市等双边合作项目皆可成为采用新科技和政策创新的先锋,为企业和消费者建立可信赖的数字环境。例如,采用区块链解决方案的数字贸易计划将使跨境交易更快速更安全,并降低在两国都有业务的企业的成本,以及在数字经济领域创造新的服务。”[2022/1/7 8:31:31]
只要数据还在对方服务器上,那么它实际上已经脱离了你的控制。
大多数网盘提供商仅在传输过程中加密数据,或者他们自己保留用于解密的密钥。这些密钥有可能被盗、复制或滥用。因此,给自己留个心眼,用 Cryptomator 这样开源、免费的工具来加密数据。
这样即便网盘服务商被 Hack,你的数据大概率还是安全的。
我之前说过,最好不要用任何第三方输入法,而只使用系统自带的。
现在我要增加一个选项,那就是「鼠鬚管」,它有许多优点:
穆长春:金融分布式账本技术安全规范适用于区块链公司:3月16日消息,针对此前出炉的《金融分布式账本技术安全规范》,央行数字货币研究所所长穆长春接受专访时表示,《安全规范》梳理了在金融行业应用分布式账本技术应满足的普适性的安全要求,适用于在金融领域从事分布式账本系统建设或服务运营的机构,并不局限于传统金融机构,区块链以及其他技术公司只要在金融领域从事分布式账本系统建设或服务运营,也就适用。同时央行数字货币DC/EP在技术选型上采用成熟稳健技术并兼顾创新,综合了传统集中式架构与区块链技术优势,借鉴区块链技术核心内涵与优势,回避其短板。由于安全技术是相通的,因此DC/EP在进行安全设计时,参考了《安全规范》中的有关要求。同时针对分布式记账的去中心化特性与中央银行的集中管理要求可能存在冲突的情况,穆长春表示,实际上,区块链的去中心化优势更多体现在技术上的去中心化优势,教条式的鼓吹全面去中心化的往往是自己暗中想演变为新的中心。为避免冲突并满足集中管理的要求,同时不剥夺金融行业主体享受区块链带来的技术创新红利,区块链作为金融服务工具的底层系统和技术架构,须做相应的改造和升级,使其既能发挥去中心化的技术优势,也要满足中心化管理的要求。因此,在缺省情况下区块链平台从底层设计时就应考虑监管和隐私保护方面的要求,例如《安全规范》中相关内容要求。(澎湃新闻)[2020/3/16]
性能优秀、占用资源少
动态 | Grin已完成第二次安全审计:据Grin官方消息,Grin已经完成了第二次安全审计,此次审计由Coinspect完成,从2018年10月开始直至2019年10月结束。在此期间,除了解决发现的问题外,还实施了新的RFC(征求意见),以进一步改善Grin的安全性流程,改善响应流程和及时性。审计中发现了一个关键漏洞,并立即用CVE-2019-9195予以修复并进行了披露。另外还报告了5例高危、7例中危和1例低危问题,所有问题现已修复并经过Coinspect验证。[2019/10/18]
极少出现敲第一个字的时候页面卡钝的情况
全开源、无后门、不会上传内容
繁体字强大
极高的定制自由度
我现在使用的是 placeless 的双拼配置,觉得还不错,如果你是双拼用户,可以试试他的配置。
安装 HTTPS-EVERYWHERE 这个插件。
它可以自动为访问网站的所有已知受支持部分,激活 HTTPS 加密保护,防止你跟网站的交互的信息被窃听或篡改。
访问网站时,如果是明文传输,会有明确提醒。
声音 | BM:区块链技术在用户隐私和数据安全方面具有巨大潜力:9月23日,为期2天的EOS全球黑客马拉松伦敦站落下帷幕。BM(Dan Larimer)表示,“每年黑客攻击和数据泄露给组织和个人造成数十亿美元的损失。幸运的是,区块链技术能保护我们所连接的世界,并且在用户隐私和数据安全方面具有巨大的潜力。看到行业中的创新后,(我认为)现在是时候探索可行的解决方案了,以使得区块链的大规模应用变得更加简单。从本次的黑客马拉松来看,全球EOS社区都非常关注这个目标。”据悉,本次大赛在伦敦科学博物馆举行,大赛题目是:在EOSIO平台上创建一个应用程序,以改善技术与用户隐私或安全之间的关系。[2018/9/24]
你经常会收到各种带有附件的邮件,虽然邮件服务商会预先扫描并阻拦可疑内容,但很多附件伪装精妙,下载到本地是有风险的。
这种情况下,我建议直接在网页中预览,或者存储到临时的 Google Drive 文件夹中预览,这能有效隔离病。
思考这样一个问题:如果你是黑客,准备开发一个病(木马)来获利,你会选择针对那个哪个平台?
显然是用户基数更大的平台。
相比 Windows,以下平台的用户基数更少。
虽然它们并不显著比 Windows 安全,但面临的风险要小得多。
macOS
ChromeOS
Ubuntu
Fedora
Debian
其他 Linux 发行版本
「你的大学名字是什么?」
「你的女朋友是谁?」
「你最喜欢哪个乐队?」
…
不要再老实地把真实信息填上去,因为你的信息在大量社交平台上都有存档,很容易被社工,这会给黑客可乘之机。
取而代之,用密码管理软件生成的随机密码作为这些安全问题的答案,这样就安全多了。
核心账户指的是你的 Google、Apple 等等主力账户,它们绑定了一堆设备、信用卡、密码等等。
互联网公司为了方便,通常会在你的浏览器本地存储 Session Cookie ,一旦这个 Cookie 被窃取,黑客甚至可以绕过平台的 2FA 等校验,这种情况下,什么 2FA 都没用。
记忆不可靠
核对钱包地址要完整,不能只核对前 / 后几位数
我去年登录一个不常用的交易所,准备清理一些碎币。
提币时看到地址薄有几个眼熟的,但一时想不起来是什么时候创建。
因为只有零点几个比特币,就直接转了,事后却怎么也找不到那个地址对应的私匙。
有点后悔,如果当时多确认一次,就不会犯这种低级错误。
推荐两个工具:
Darik’s Boot and Nuke
Permanent Eraser
前者可以彻底清空硬盘。
后者可以替代”安全清倒废纸篓“的操作,每次操作能覆盖文件存储空间 35 次,基本很难恢复。
最近遇到非常多用户下载了被黑客「二次打包」的钱包,安卓是重灾区,因为很多钱包都提供 APK 的安装方式,真假难辨。
我建议下载任何钱包前,先核对一下产品的官网,如果没有,推特上的信任链也能帮助你确认官网的真实性。
不要点来路不明的链接,更不要直接去下载这些链接中的安装包。
其次,对于开源项目,从官方开源 Github 仓库的 Release 中下载,检查 Commit,并校对签名是更保险的方式,基本可以保证你下载的安装包,就是当前仓库对应的代码,非常安全。
从至少 2 个信源上确认币种合约的真实性,Rainbow 和 OneKey 都有从多个 Tokenlist 多重校验的机制
Twitter 粉丝数不可信,关注和信任链更实用,要警惕挂羊头卖狗肉的假推号,从 CGK 和 CMC 找到的合约地址通常更可靠
硬件钱包做的最好的就是 Ledger、OneKey 和 Trezor
其中彻底开源的是 OneKey 和 Trezor
如果想要配合手机使用且开源,那么就是 OneKey
这家团队拿了 Coinbase 等机构 2000 万美元的投资
并将全部代码开源在 Github,不用担心后门
支持链的非常快,基本每个月都会新增 2-3 条新的公链,最多最全
几百块,性价比很高,购买链接 。
Purism 由 Todd Weaver 创建于 2014 年,他创建 Purism 最大的起因就是想从笔记本中删除英特尔的管理引擎,电子前沿基金会 (EFF)、Libreboot 开发人员和安全专家 Damien Zammit 就批评者指责过:「 ME 存在后门和隐私问题」。
因为 ME 可以访问内存,并且可以完全访问 TCP/IP 堆栈,独立发送和接收网络数据包,绕过防火墙。
Purism 的好处显而易见:
摄像头、WiFi、蓝牙、蜂窝网络这些都有独立的硬件开关,可在需要时彻底关闭
PureOS 简单好用(它是基于 Debian 的免费 Linux 发行版)
禁用了英特尔 ME
总之,如果你想试试 Linux 系统,希望有一个开箱即用的电脑,可以试试 Purism。
一个成本更低的方式是在你当前电脑中运行 Whonix(搭配 VituralBox)。
Whonix 同样是一个以注重隐私和安全的 Linux 系统,它完全免费且开源,有几个优点:
已经稳定运行 10 年
隐藏 IP 地址
隐藏使用者身份
不记录任何信息
防病
感兴趣可试试。
还有其他防御手段不再赘述,希望大家可以保护好自己的隐私和安全。
王一石
个人专栏
阅读更多
金色财经
CertiK中文社区
虎嗅科技
区块律动BlockBeats
web3中文
深潮TechFlow
念青
DeFi之道
CT中文
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。