翻墙

网络安全宝盒连载:4. 如何保护您计算机上的敏感文件

来源: 网络安全宝盒 假如”入侵者”能够通过互联网读取或修改您的数据,那么他就可以实现对您计算机或便携存储设备上的资料在远程上进行未经授权访问了。或者假如他设法 获得您的硬件,则可以在实体上实现未授权访问了。您可以通过提高数据的物理与网络安全来进行自我保护以应对这两种威胁。对此,我们在 第一章:如何保护您的计算机免受恶意软件和黑客侵害 和 第二章:如何保护您的信息资料免受物理性威胁 里面已经有所讨论。建立多层外围防护总是好的,然而,您也应该保护文件本身。这样,即使您对外围安全所作的努力不够充分,您的敏感文件也有可能仍然安全。 有两种一般的途径可以应对这种数据安全的挑战。您可以 加密 您的文件,使其他任何人无法读取;或者您可以把它们隐藏起来,希望入侵者找不到您的敏感资料。这两种途径都有工具能提供帮助,包括一个叫 TrueCrypt 的 自由开源软件 ,它既能 加密 也能隐藏您的文件。 设定背景 Claudia和Pablo在一个南美洲国家的人权NGO工作。他们花了数月时间收集军方在该地区犯下的侵害人权事件的目击者证词。如果提供证词的 目击者的详细资料泄露出去,将会危及这些勇敢的人们以及这个组织在该地区的成员。这些资料目前储存在一份电子表格里,放在这个NGO的一台连接上互联网的 Windows XP计算机上。出于安全意识,Claudia觉得必须要储存备份到一张CD上,并保存在办公室以外的地方。 您将从本章节学到的内容 如何 加密 您计算机上的信息 保存 加密 数据可能给您带来什么风险 如何保护U盘上的数据以防遗失或被盗 可以采取哪些步骤对实体上或远程的入侵者隐藏信息 加密您的数据 隐藏您的敏感数据 延伸阅读 加密您的数据 Pablo: 我的电脑已经有Windows 登录密码的保护了,这还不够吗? Claudia: 其实,Windows登录密码通常很容易被破解。而且,只要有足够的时间,任何能接触您的电脑的人都可以用一张Live CD来重启您的电脑,并复制数据而无需担心密码。如果他们设法把电脑带走一段时间,您的麻烦可能会更大。不仅Windows 密码需要您操心,微软的Word或Adobe Acrobat的密码也不值得您信任。 加密 您的数据有点像把它们锁在保险箱里。只有持有钥匙或知道锁的暗码(这里指密钥或者密码)的人才能访问这些数据。这个比喻尤其适用于 TrueCrypt 及类似工具。这些工具不是每次仅能保护一个文件,它们能创建名为”加密卷”的安全容器,您可以把很多文件同时放进 加密卷 里,但这些工具不能保护储存在您计算机或U盘以外其他地方的文件。 上手指南:查看 TrueCrypt 指南 并开始使用。 虽然其他工具也能提供同样强度的 加密 ,但 TrueCrypt 是为尽可能简化这种安全文件储存而特别设计的,而且它还支持把 加密卷 放在便携存储设备上。它是 自由开源软件 ,在下一部分”如何隐藏您的敏感数据”里将讲述到的它的 “隐藏的TrueCrypt加密卷”特色功能,使 TrueCrypt 大大优越于许多内置的 专有 加密 工具,例如Windows XP 的”bitlocker”。 Pablo: 好吧,现在您让我担心了。那么电脑上的其他用户又如何呢?他们可以访问”我的文档”里的文件吗? Claudia: 我很欣赏您的思路!如果您的Windows密码不能抵御入侵者,它又怎么能抵御在同一台电脑上有帐户的其他人呢?实际上,您的”我的文档”通常是对任何人 可见的。所以其他用户根本不需要耍小聪明就能读取您未加密的文件。您刚才说得对,就算文件夹被标记为”私密”,这仍然不够安全,除非您采取了某些保护措 施。 安全地使用文件加密的小窍门 保存机密文件对您和您的同事来说可能都是个风险。 加密 能降低风险,但不能彻底消除风险。保护敏感资料的第一步就是要减少所保存的数量。除非您有充分的理由去保存某个文件,或一个文件里的某类信息,否则您就应该删除它(参看 第六章:如何销毁敏感资料 以了解更多关于安全删除的内容)。第二步就是使用一个优秀的文件 加密 工具,如 TrueCrypt 。 Claudia: 那么也许我们不应该保存那些能鉴别出证人身份的证词?您说呢? Pablo: 我同意。我们也应该尽可能记录得少一些。还有,我们应该想出一个简单的密码来保护那些必须记录下来的姓名和地址。 回到保险箱的比喻上来。在使用 TrueCrypt 及此类工具时,您应该谨记若干事项。不论您的保险柜多么稳固,柜门大开总不会给您带来多少好处。当您的 TrueCrypt 卷完成加载(您能访问里面的内容),您的数据就很容易受到损害,所以除非您真的需要阅读或修改里面的文件,您应该关闭它。 在以下几种情况下,请切记不要把 加密 卷遗忘在加载状态: 当您离开计算机,不论时间有多长,都要卸载加载。就算您经常让计算机彻夜运行,您也要确保在您离开期间,实体或远程的入侵者无法访问您的敏感文件。 在使计算机进入睡眠模式前卸载加载。这同时适用于常见于笔记本电脑,并且也可能在台式计算机上出现的”睡眠”和”休眠”功能。 在让别人使用您的计算机前断开加载。在携带笔记本电脑通过安检或越过边境的时候,断开所有 加密 卷并且彻底关闭您的计算机,这点很重要。 在插入陌生的U盘或外部存储设备前断开加载,包括那些来自于朋友或同事的存储设备。 如果您把一个 加密 卷保存在U盘里,请记住,移除设备可能并不会立即卸载加载。即使您需要在匆忙中收藏起您的文件,您也需要正确地卸载加载,然后把外置驱动器或U盘移除。您需要多加练习直到找到完成此举的最快途径。 如果您决定把您的 TrueCrypt 加密卷保存在U盘上,您也可以把一份 TrueCrypt 程序的副本放在一起。这能使您可以在别人的计算机上访问您的数据。然而,还是老规矩:如果您不确定该计算机上有没有 恶意软件 ,您就不应该在该计算机上输入您的密码或访问敏感数据。 隐藏您的敏感数据 抛开便携性不谈,把保险柜放在家里或办公室里有一个问题,就是它太显眼了。很多人担心使用 加密 会使自己受到牵连而入罪。虽然 加密 数据的正当理由比不正当的要多,但这并不代表这种威胁就不存在。从根本上说,有两个理由使您可能不愿意使用像 TrueCrypt 这样的工具:自证其罪的风险和清楚表明您最敏感的资料所在何处的风险。 担心自证其罪的风险 加密 在 一些国家是不合法的,这意味着下载、安装或使用此类软件本身就可能是一种罪行。另外,如果警察、军方或情报部门是您要防备的对象之一,那您违反了这些法律 的行为就为他们提供了借口来调查您的行动或者迫害您的组织机构。然而,其实您所受到的这种威胁可能跟有关工具的合法性毫不相关。只要跟 加密 软件沾上一点边(无论您的 加密 卷里有什么内容),都可以让您因从事犯罪活动或间谍行为被起诉,所以您必须谨慎考虑此类工具对于您的处境是否适当。 如果不幸言中,您还有若干选择: 您可以避免全面使用数据安全软件,这要求您仅储存非机密信息,或创建一套代码词语系统来保护敏感文件里的关键信息。 您可以利用 信息伪装 技巧来隐藏敏感信息,而不用进行加密。有工具能提供这方面的帮助,但正确地使用它们会要求您进行非常谨慎的准备。而且如果被人知道您使用了哪个工具,您仍然会面临被归罪的风险。 您可以尝试把所有的敏感信息储存在一个安全电邮账户里。但这要求有可靠的互联网连接和精通计算机与互联网服务知识。此技巧的前提是网络 加密 比起文件 加密 来,没那么被归罪,这样做可以避免您不慎把敏感数据复制到自己的硬盘上并置之不理。 您可以把敏感资料储存在U盘或移动硬盘里,而不用存在您的电脑里。然而,这种设备一般更容易受损害,它们比计算机更容易丢失或被没收。所以,把敏感的、未加密的资料放在U盘或移动硬盘里通常很不明智。 如有必要,您应该适当采用这些策略。然而,即使在您担心会自证其罪的情况下,使用 TrueCrypt 仍然可能是最安全的方法,只要您把 加密 卷尽可能伪装隐藏起来。 如果想使您的加密卷没那么显眼,您可以对它重命名,让它看起来像是另一类文件。使用 ‘.iso’ 扩展名来伪装成CD光盘镜像,对于700MB左右的大尺寸加密卷是个效果很好的方法。其他扩展名对于小一点的加密卷来说则更为现实。这有点像把保险箱隐藏 在办公室墙壁上的一副油画背后。这在慎密的调查下可能站不住脚,但也能起到一点保护作用。您可以把 TrueCrypt 程序重命名,假装您把它作为一个不是程序文件的常规文件储存在硬盘或U 盘上。在 TrueCrypt 指南 里介绍了具体做法。 担心被鉴别出敏感资料的风险 通常,您可能不太关心由于计算机上或U盘里有 加密 软 件而”被抓现形”的后果,而更担心您的加密卷会明确指出您最想保护的资料的存放位置。也许确实其他人都无法读取资料,但入侵者会知道这些信息在哪里,知道 您采取了措施去保护这些信息。入侵者则可以采取一些非技术手段来对付您,试图获取访问权限,例如恐吓、勒索、审问和严刑逼供。在这种情况下,前面提及的 TrueCrypt 的”隐藏的TrueCrypt加密卷”功能就可以发挥作用了。 TrueCrypt 的”隐藏的TrueCrypt加密卷”功能正是使它超越其他文件 加密 工具的特色之一。这个功能可以被看作 信息伪装 的一种特殊形式,把您最为敏感的资料伪装成其他不太敏感的隐藏数据。这有点像给办公室里那个不太精密的保险箱安装一个精巧的暗格。如果入侵者偷到了钥匙,或者威逼您交出锁的密码,他就会找到一些有说服力的”诱饵”资料,但那些并非您真正关心和想要保护的资料。 只有您才知道您的保险箱背后还有一个暗格。这能让您向入侵者交出部分资料,还保留了一些秘密,不完全交待,也能在您因为某种原因不得不透露密码的时 候起到保护作用。这些原因可能包括对您本人或您的同事、伙伴、朋友和家人的安全遭受的司法威胁或人身威胁。”隐藏的TrueCrypt加密卷”的目的在于 即使您选择继续保护您的资料,您也还有机会逃离潜在的危险处境。然而,正如 担心自证其罪的风险 里讨论过的那样,如果仅仅因为办公室里有保险箱就足以给您带来严重的后果,这个功能也就没有太大作用了。 TrueCrypt 的”隐藏的TrueCrypt加密卷”功能的原理是在您的常规 加密 卷里再储存一个”隐藏卷”。您要另外提供一个与您平常使用不一样的密码来打开这个隐藏卷。即使一个技术经验丰富的入侵者取得了常规卷的访问权,他也无法证明还有一个隐藏卷。当然,他很可能知道 TrueCrypt 有着这种隐藏信息的功能,所以这并不意味着在您透露密码后,他们会马上停止威胁。很多人使用 TrueCrypt 但没有启用”隐藏的TrueCrypt加密卷”功能,然而,人们普遍认为无法通过分析鉴定来证实一个 加密 卷中是否还含有这种”暗格”,也就是说,您的责任就是保证不通过非技术手段泄露隐藏卷,例如忘记关闭隐藏卷或者允许别的应用程序给它里面所包含的文件创建快捷方式。在下面的 延伸阅读 部分会给您提供更多有关信息。 Claudia: 好的,那么让我们往常规卷里扔些垃圾,然后把我们所有的证词放进隐藏卷里去。您有没有什么过时的PDF文件给我们使用呢? Pablo: 我也在想这个。我是说,当我们没有别的选择,我们就应该供出那个诱骗密码,对吧?但为了使这更有说服力,我们要把文件弄得看上去很重要,您说不是吗?否 则,我们为什么还要加密它们呢?也许我们应该使用一些不相关的财务文件或者一个网站密码的列表或者别的什么东西。 延伸阅读 更多关于如何保护您的资料的信息,请参看《 人权捍卫者的数字安全与隐私 》一书中的” 密码术 “、 ” 信息伪装 “章节以及” 案例研究 3 “。 TrueCrypt FAQ 提供了关于TrueCrypt的一些常见问题的回答。 ――――――――――――――――――――――――――――――――――――――――― 需要翻墙利器赛风? 请 阅读和关注中国数字时代 。 推特用户请点击 这里 免翻墙上推特 请点击 这里 下载翻墙软件 更多翻墙方法请发电邮(最好用Gmail)到: fanqiang70ma@gmail.com 请阅读和关注 中国数字时代 、翻墙技术博客 GFW BLOG (免翻墙) 请使用 Google Reader 订阅中国数字时代中文版 ( http://chinadigitaltimes.net/chinese/feed ),阅读最有价值的中文信息;以及 GFW BLOG(功夫网与翻墙) http://feeds2.feedburner.com/chinagfwblog ,获取最新翻墙工具和翻墙技巧信息。

阅读更多

nslookup – 解决ssh隧道无法访问twitter

来源: http://www.hawkwithwind.net/blog/2011/03/03/nslookup-%E8%A7%A3%E5%86%B3ssh%E9%9A%A7%E9%81%93%E6%97%A0%E6%B3%95%E8%AE%BF%E9%97%AEtwitter/ 我最近发现,即使使用ssh 隧道,有时也会无法访问twitter, facebook等知名网站,但查询自己的ip地址已经在美国,并且另外一些被墙的网站如blogger等,却又能访问。想到应该是最近GFW的新动作造 成的。网上查了查,在google的实时搜索中发现了很多关于最近GFW升级的传闻,很多人抱怨自己ssh或者VPN开始不好用了。 只要能够连上ssh或者vpn,GFW就无法真正对我们造成威胁。仍然无法访问这些网站,极 有可能是dns污染造成的。只要能获取到正确的ip地址,就可以访问到对应的网站。然而,网上搜索到的ip地址,往往比较旧,可能已经失效。想要得到最新 最正确的dns对应ip地址,最好的方法是通过墙外的主机ping得的ip地址。将其写入自己的hosts文件就好了。 为此,我自己写了一个小小的服务,用美国主机nslookup你想问的域名,给出对应的ip。 pp.hawkwithwind.net/nslookup.php 我还提供了他的api版本,只要使用如下格式的命令,就可得到 json 格式的返回包: pp.hawkwithwind.net/nslookup.php?server=google.com 返回形式如下 [‘74.125.224.176’, ‘74.125.224.177’, ‘74.125.224.178’, ‘74.125.224.179’, ‘74.125.224.180’] 相信还是蛮有用的。至于原理,非常简单,用php的exec函数执行nslookup命令就可以了。 ――――――――――――――――――――――――――――――――――――――――― 需要翻墙利器赛风? 请 阅读和关注中国数字时代 。 推特用户请点击 这里 免翻墙上推特 请点击 这里 下载翻墙软件 更多翻墙方法请发电邮(最好用Gmail)到: fanqiang70ma@gmail.com 请阅读和关注 中国数字时代 、 翻墙技术博客 GFW BLOG (免翻墙) 请使用 Google Reader 订阅中国数字时代中文版 ( http://chinadigitaltimes.net/chinese/feed ),阅读最有价值的中文信息;以及 GFW BLOG(功夫网与翻墙) http://feeds2.feedburner.com/chinagfwblog ,获取最新翻墙工具和翻墙技巧信息。

阅读更多

GFW升级,如何提高SSH翻墙的安全性

作者:PS   来源: https://psblog.name/2011/03/4889.html @ gfwrev :GFW封禁google ssl此举象征意义远超过当前影响。意味着在几百Gbps的骨干网上GFW已经从旁路分光的入侵检测系统升级到可以进行封禁的防火墙。 一旦技术成熟,显而易见的炮灰 就是ssh。 //方老师不封则已,一口气就要挂掉6个VPN,还不费劲儿! 好吧,世界末日就要来了。虽然我不知道改SSH端口是否能使SSH在GFW的打击之下存活,但是22作为SSH的默认端口,实在是太显眼太招风了,一定是GFW的重点监控对象。运用我所提供的技巧,应该能够降低你的SSH连接被GFW截断的可能。 没错,对于这个标题的我给出的答案就是改变SSH的端口。 # vi /etc/ssh/sshd_config 找到 #Port 22 ,它表示默认使用22端口,修改为如下: Port 50000 其中50000是你想要的端口,不能填22,不能与其他端口冲突。然后保存退出。执行 # /etc/init.d/sshd restart 完成上述改动之后,服务器将使用50000作为SSH的唯一服务端口。 由于潜在的、可能发生的不能以22或者50000端口登陆的错误,我更推荐同时打开50000和22端口,但只把50000作为你通常使用的端口。 Port 22 Port 50000 ————————————————————————————————————————— 需要翻墙利器赛风? 请 阅读和关注中国数字时代 。 推特用户请点击 这里 免翻墙上推特 请点击 这里 下载翻墙软件 更多翻墙方法请发电邮(最好用Gmail)到: fanqiang70ma@gmail.com 请阅读和关注 中国数字时代 、 翻墙技术博客 GFW BLOG (免翻墙) 请使用 Google Reader 订阅中国数字时代中文版 ( http://chinadigitaltimes.net/chinese/feed ),阅读最有价值的中文信息;以及 GFW BLOG(功夫网与翻墙) http://feeds2.feedburner.com/chinagfwblog ,获取最新翻墙工具和翻墙技巧信息。

阅读更多

翻墙google doc

来源: http://www.cnblogs.com/wmj/archive/2011/02/27/1966093.html 方法一 :打开”我的电脑”,找到”C:WINDOWSsystem32driversetc” 文件夹,用记事本打开Hosts文件,将以下内容添加进去,位置在前在后均可。 209.85.147.109 pop.gmail.com 209.85.147.109 smtp.gmail.com 66.102.7.19 mail.google.com 209.85.225.101 docs.google.com 74.125.227.2 docs.google.com 74.125.227.2 docs0.google.com 74.125.227.2 docs1.google.com 74.125.227.2 docs2.google.com 74.125.227.2 docs3.google.com 74.125.227.2 spreadsheets.google.com 74.125.227.2 spreadsheets0.google.com 74.125.227.2 spreadsheets1.google.com 74.125.227.2 spreadsheets2.google.com 74.125.227.2 spreadsheets3.google.com 209.85.225.102 groups.google.com 74.125.127.139 spreadsheets.google.com 74.125.127.100 services.google.com 74.125.127.100 writely.google.com 74.125.127.100 sites.google.com 209.85.225.104 reader.google.com 74.125.127.101 calendar.google.com 74.125.39.99 chrome.google.com 74.125.39.99 clients2.google.com 方法二 : 如果打开Hosts文件修改后无法保存(Vista或Win7用户可能会遇到),可以先将Hosts文件复制一份到桌面,然后在桌面打开它(用记事本), 添加上面的内容进去。然后将原先的Hosts文件重命名,比如:Hosts1。此时,再将桌面上已添加了内容的Hosts文件拷贝回目标文件夹。 到目前为止,上面的办法是行得通的。文档、演示文稿、电子表格、画图都可以畅通无碍使用。 ――――――――――――――――――――――――――――――――――――――――― 需要翻墙利器赛风? 请 阅读和关注中国数字时代 。 推特用户请点击 这里 免翻墙上推特 请点击 这里 下载翻墙软件 更多翻墙方法请发电邮(最好用Gmail)到: fanqiang70ma@gmail.com 请阅读和关注 中国数字时代 、 翻墙技术博客 GFW BLOG (免翻墙) 请使用 Google Reader 订阅中国数字时代中文版 ( http://chinadigitaltimes.net/chinese/feed ),阅读最有价值的中文信息;以及 GFW BLOG(功夫网与翻墙) http://feeds2.feedburner.com/chinagfwblog ,获取最新翻墙工具和翻墙技巧信息。

阅读更多

用HTTPS Everywhere扩展加密Web

来源: http://qianjia.org/archives/4467 EFF和Tor Project宣布公开测试名为HTTPS Everywhere的Firefox扩展。 HTTPS Everywhere受到了Google推出加密版搜索的启发, 它的目的是让用户在访问多数网站时能一直保持加密通信状态。 绝大多数网站对HTTPS加密的支持相当有限,或者默认不使用加密, 或者加密网页中嵌入大量非加密链接。HTTPS Everywhere扩展就试图解决这一问题, 它支持的网站包括了Wikipedia、Twitter、Facebook、Google搜索等等。 下载地址: 官方下载 ――――――――――――――――――――――――――――――――――――――――― 需要翻墙利器赛风? 请 阅读和关注中国数字时代 。 推特用户请点击 这里 免翻墙上推特 请点击 这里 下载翻墙软件 更多翻墙方法请发电邮(最好用Gmail)到: fanqiang70ma@gmail.com 请阅读和关注 中国数字时代 、 翻墙技术博客 GFW BLOG (免翻墙) 请使用 Google Reader 订阅中国数字时代中文版 ( http://chinadigitaltimes.net/chinese/feed ),阅读最有价值的中文信息;以及 GFW BLOG(功夫网与翻墙) http://feeds2.feedburner.com/chinagfwblog ,获取最新翻墙工具和翻墙技巧信息。

阅读更多

CDT/CDS今日重点

十月之声(2024)

【404文库】“闭上眼睛,鬼怪并不会因此遁去”(外二篇)

【404媒体】“等帘子拉开,模特已经换上了新衣”(外二篇)


更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间