一、防范IP地址泄露

  • 代理上网
  • 公共场所上网

注:即使在公共场所上网,最好也使用代理,以增强隐匿性。

二、传输内容的防范

规模较大的组织机构,都会在内部网络部署“网络行为审计系统”。作为网络监控设备,它会实时监视网络上传输的数据内容,并进行分析,然后把分析结果保存下来。

防范措施:

  • 浏览网站,尽量使用加密协议。多数网站支持HTTP&HTTPS,一定要选择HTTPS加密协议,能有效防止传输的内容被监视。
  • 能用加密代理,就别用明文代理。无论是“代理软件”还是“Web代理”,一定要确保代理是加密的。不加密的“明文代理”非常不安全,既容易被入侵,也容易被监控。

三、通讯工具的防范

1.是否依赖“手机号”

至少包括两种:其一,IM绑定手机号;其二,注册IM时需要用手机短信进行验证。

IM工具依赖手机号,也就意味着IM账号高度关联手机号。被“开盒”风险增大,只需通过“手机号”就可以定位到真实身份。如果某种原因,不得不用某款依赖手机号的IM工具,尽量确保该手机号与真实身份无关(比如不记名手机卡、物联卡,并且在支付环节用虚拟币、现金等)。

2.自动登录的隐患

两种解决方法:其一,不使用自动登录;其二,使用加密存储。

不使用自动登录的话,每次都要输入口令,操作过于繁琐。所以,“加密存储”属于即安全又方便的做法。

3.本地存储的隐患

很多IM(如Skype)的聊天记录是存储在本机上的。所以,对文件或整个磁盘加密很有必要。

四、使用加密存储

  • 知名加密软件极难破解,所以密钥丢失,后果很严重。
  • 首次用加密软件,加密前,务必做好备份工作,以防配置错误,导致数据丢失。
  • 加密系统盘or全盘加密,对性能会有一定影响。影响程度多大,取决于你选择哪种加密算法。
  • 使用磁盘加密的电脑,当不用电脑时一定要关机,不要使用“待机”,禁用“休眠”模式。
  • 大部分虚拟化软件,虚拟系统中的虚拟硬盘通常对应物理系统中的某个单独文件。为了安全起见,使用虚拟机必须搭配“磁盘加密软件”一起用,把虚拟机放到加密盘中。

五、“身份隔离”

在安全领域,“身份隔离”是重中之重。忽视了身份隔离,可能会导致不同身份之间存在某种微妙的联系(关联性)。一旦攻击者想要追溯你的真实身份,这种跨身份的关联性将会成为致命伤。

1.自然人身份(真实身份)

对于大多数人而言,只会有一个“自然人身份”;少数特殊的人(如间谍)可能会有不止一个“自然人身份”。

2.网络身份(虚拟身份)

上网冲浪时,我们都会给自己创造一个或多个“虚拟身份”。

3.网络帐号

需要用户认证的网络服务(比如微信),其帐号必定会包含很多属性:高信息量—身份证号/手机号/邮箱/住址等;低信息量—籍贯/性别/年龄/星座等。

六、身份追踪

1、网络帐号的关联性

账号之间的高信息量属性叠加

举例:要同时注册了两个邮箱,用于两个不同的虚拟身份。注册时因为需要手机短信验证,却只有一张手机卡,于是两个邮箱设置了相同的手机号。如此一来,攻击者收集情报时,自然就明白两个邮箱帐号隶属同一人。

2、操作系统导致的关联性

当你操作网络帐号,总是需要某种客户端软件(比如浏览器、手机APP等)。这些客户端软件会在操作系统中留下帐号相关的某些信息。

举例:浏览器会在cookie中记录帐号的信息,聊天工具也会在本地存储聊天帐号的用户名(user ID)。在同一个操作系统中使用不同的网络帐号,一旦系统遭到恶意软件攻击,攻击者就有可能发现这几个帐号信息,并由此判断这几个帐号同属一个自然人。

3、公网地址导致的关联性

如果几个帐号在公网IP地址上表现出某种相似性,并且次数足够多,那这些帐号就有可能存在关联性。

举例:假如在某论坛上注册了3个马甲(不妨称之为ABC)。为了避免暴露真实IP,使用代理工具访问该论坛(单重代理)。在该场景下,如果论坛管理员对每个帐号的“访问者IP”进行分析,就会发现ABC三个帐号每次页面访问都是来自同一个代理IP。于是,管理员必然怀疑这三个论坛用户隶属同一个自然人。

4、时间导致的关联性

如果两个帐号在时间上表现出某种规律,并且持续足够久,那这两个帐号就可能存在关联性。

举例:假设在系统上安装了两个IM客户端(对应两个不同帐号)。每次,这两个帐号都会在间隔很短的一个时间段内“同时上线”、“同时下线”。这种现象只要持续多天,基本上就可以判断这两个帐号处在同一个操作系统上,因此断定属于同一用户。

七、防范身份追踪的注意事项

1、“虚拟身份”的划分越细越好

最好是一种用途设置一个“虚拟身份”,如同船舶的“水密舱”。即使出现意外,每个身份提供攻击者分析的信息量很少。

注:公开的“虚拟身份”可以与平台绑定,淘宝联系人叫X云,京东叫X强东,网易叫X三石。只要接到诈骗、销售电话,马上就能得知哪个平台的账号信息泄露了。

2、对于匿名性高的身份,不要创建太多网络帐号

创建的网络帐号越多,防范和攻击面就越大。一旦账号曝光,就会威胁到身份的匿名性。

3、对于匿名性高的身份,其所属帐号不要绑定手机号。

创建账号时,如果需要手机验证码,可以使用虚拟号接码服务。

4、对于匿名性高的身份,不要在手机上操作相关帐号。

手机系统相比桌面系统,提供的安全功能远远不如。

5、一个“网络帐号”只隶属一个身份,禁止多个身份共用一个帐号。

不同身份使用同一“网络帐号”很容易就推测出:同属一个自然人。

6、需要匿名的“虚拟身份”,其所属的帐号必须与其它身份的帐号彻底隔离。

每个匿名身份都有一个专属的系统环境(虚拟机或物理机)。