撰文:王一石
兩年前我寫過一篇文章,分享了一些保護個人隱私的技巧。
時過境遷,新的攻擊手段層出不窮,尤其在 Crypto 行業,稍有不慎、傾家蕩產。
事實上,沒有什么銀彈能抵御所有攻擊,問題關鍵在于構建自己的「防御系統」,也就是說,你應當思考自己
可能被哪些人攻擊
他們想要從中獲取什么
他們會用什么樣的方式
并且,假設攻擊已經發生,自己是不是能承擔損失;如果承擔不了,應當如何分散風險。
大部分攻擊都是「無差別」的,黑客廣撒網,愿者上鉤,這種只要正常防范就好。
也有針對性非常強的攻擊,通過各種攻擊手段(暗網交易 KYC 信息和電商記錄),黑客很容易獲得你的家庭和公司地址,從而進一步實施犯罪,要防范這種攻擊,必須祭上更周密的策略。
只有「防御系統」構建好,你才能遇事不亂,把核心風險降到最低。
以下是我常用的一些防御手段:
不再使用 Google 搜索,轉而使用 DuckDuckGo 或 Startpage,好處顯而易見,因為它們能:
SEC專員公布加密代幣安全港提案的更新版本:金色財經報道,美國證券交易委員會(SEC)加密友好的專員Hester Peirce正式公布了她提議的代幣銷售監管安全港的更新版本。Peirce在公開聲明中說,該提案“尋求為網絡開發商提供三年的寬限期,在一定條件下,他們可以促進參與和開發功能性或去中心化網絡,而不受聯邦證券法的注冊規定的約束。”提出的變更包括:1. 代幣購買者保護要求,即對開發披露計劃和區塊瀏覽器進行半年度更新; 2. 退出報告要求,將包括外部律師的分析以解釋該網絡為何要去中心化,或一份有關代幣將根據1934年《證券交易法》進行注冊的聲明;3. 退出報告要求“為了解釋為什么網絡是去中心化的問題,為外部律師的分析應涉及的內容提供指導”。[2021/4/14 20:16:29]
在通信中移除你的 IP 地址
在瀏覽網頁內容時持續保持匿名狀態
阻止第三方廣告系統追蹤你的個人信息
阻止基于你的個人網絡活動構建用戶畫像
我只有在找不到想要內容的時候才會用回 Google。
如果你已經離不開諸如 iCloud、Google Drive、DropBox 這樣的網盤,那你就要做好自己的數據有一天被 Hack 的覺悟。雖然大型企業會在加密、數據安全上投入大量預算,但你依然不能否認:
庫幣安全事件更新:AERGO將更換合約追回約245萬美元資金:Aergo于推特上表示,針對此次庫幣熱錢包異常轉賬事件涉及到的6680萬枚AERGO代幣,Aergo將配合庫幣開展代幣1:1 替換,約245萬美元資金將被追回。[2020/10/2]
只要數據還在對方服務器上,那么它實際上已經脫離了你的控制。
大多數網盤提供商僅在傳輸過程中加密數據,或者他們自己保留用于解密的密鑰。這些密鑰有可能被盜、復制或濫用。因此,給自己留個心眼,用 Cryptomator 這樣開源、免費的工具來加密數據。
這樣即便網盤服務商被 Hack,你的數據大概率還是安全的。
我之前說過,最好不要用任何第三方輸入法,而只使用系統自帶的。
現在我要增加一個選項,那就是「鼠鬚管」,它有許多優點:
性能優秀、占用資源少
極少出現敲第一個字的時候頁面卡鈍的情況
全開源、無后門、不會上傳內容
繁體字強大
極高的定制自由度
我現在使用的是 placeless 的雙拼配置,覺得還不錯,如果你是雙拼用戶,可以試試他的配置。
現場 | 王森:區塊鏈溯源技術可保證油品安全可靠:金色財經現場報道,中華能源科技技術總監王森在今日舉行的主題為“區塊鏈助力工業升級與提效”的工業區塊鏈論壇上發表了題為“原油跨境貿易的區塊鏈產業應用”的演講,他在演講中分享了原油跨境貿易的應用實例和場景,并表示,利用區塊鏈多方參與的去中心化、去信任化、信息化共享賬本來提效降本。區塊鏈的不可篡改性可以保證公司機密不被泄露,溯源技術可保證油品安全可靠保證材料取自源頭,也可降低監管難度。[2018/10/10]
安裝 HTTPS-EVERYWHERE 這個插件。
它可以自動為訪問網站的所有已知受支持部分,激活 HTTPS 加密保護,防止你跟網站的交互的信息被竊聽或篡改。
訪問網站時,如果是明文傳輸,會有明確提醒。
你經常會收到各種帶有附件的郵件,雖然郵件服務商會預先掃描并阻攔可疑內容,但很多附件偽裝精妙,下載到本地是有風險的。
這種情況下,我建議直接在網頁中預覽,或者存儲到臨時的 Google Drive 文件夾中預覽,這能有效隔離病。
思考這樣一個問題:如果你是黑客,準備開發一個病(木馬)來獲利,你會選擇針對那個哪個平臺?
分析 | 慢霧安全團隊提醒|EOS假賬號安全風險預警:根據IMEOS報道,EOS 假賬號安全風險預警,慢霧安全團隊提醒:
如果 EOS 錢包開發者沒對節點確認進行嚴格判斷,比如應該至少判斷 15 個確認節點才能告訴用戶賬號創建成功,那么就可能出現假賬號攻擊。
攻擊示意如下:
1. 用戶使用某款 EOS 錢包注冊賬號(比如 aaaabbbbcccc),錢包提示注冊成功,但由于判斷不嚴格,這個賬號本質是還沒注冊成功
2. 用戶立即拿這個賬號去某交易所做提現操作
3. 如果這個過程任意環節作惡,都可能再搶注 aaaabbbbcccc 這個賬號,導致用戶提現到一個已經不是自己賬號的賬號里
防御建議:輪詢節點,返回不可逆區塊信息再提示成功,具體技術過程如下:
1. push_transaction 后會得到 trx_id
2. 請求接口 POST /v1/history/get_transaction
3. 返回參數中 block_num 小于等于 last_irreversible_block 即為不可逆[2018/7/16]
顯然是用戶基數更大的平臺。
相比 Windows,以下平臺的用戶基數更少。
星河集團創始人徐茂棟:區塊鏈在解決數據安全問題上保密性比云計算好:星河集團創始人、董事局主席徐茂棟認為,區塊鏈技術將解決數據的確權問題,是數據共享非常有利的技術支撐,不用擔心數據會被泄露出去,因為區塊鏈在解決數據安全問題上是領先的,基于IPFS技術,區塊鏈可以把數據存在一萬個節點上,只有拼起來才能知道這個數據是什么,所以保密性比云計算、比普通的存儲要好得多。[2018/4/23]
雖然它們并不顯著比 Windows 安全,但面臨的風險要小得多。
macOS
ChromeOS
Ubuntu
Fedora
Debian
其他 Linux 發行版本
「你的大學名字是什么?」
「你的女朋友是誰?」
「你最喜歡哪個樂隊?」
…
不要再老實地把真實信息填上去,因為你的信息在大量社交平臺上都有存檔,很容易被社工,這會給黑客可乘之機。
取而代之,用密碼管理軟件生成的隨機密碼作為這些安全問題的答案,這樣就安全多了。
核心賬戶指的是你的 Google、Apple 等等主力賬戶,它們綁定了一堆設備、信用卡、密碼等等。
互聯網公司為了方便,通常會在你的瀏覽器本地存儲 Session Cookie ,一旦這個 Cookie 被竊取,黑客甚至可以繞過平臺的 2FA 等校驗,這種情況下,什么 2FA 都沒用。
記憶不可靠
核對錢包地址要完整,不能只核對前 / 后幾位數
我去年登錄一個不常用的交易所,準備清理一些碎幣。
提幣時看到地址薄有幾個眼熟的,但一時想不起來是什么時候創建。
因為只有零點幾個比特幣,就直接轉了,事后卻怎么也找不到那個地址對應的私匙。
有點后悔,如果當時多確認一次,就不會犯這種低級錯誤。
推薦兩個工具:
Darik’s Boot and Nuke
Permanent Eraser
前者可以徹底清空硬盤。
后者可以替代”安全清倒廢紙簍“的操作,每次操作能覆蓋文件存儲空間 35 次,基本很難恢復。
最近遇到非常多用戶下載了被黑客「二次打包」的錢包,安卓是重災區,因為很多錢包都提供 APK 的安裝方式,真假難辨。
我建議下載任何錢包前,先核對一下產品的官網,如果沒有,推特上的信任鏈也能幫助你確認官網的真實性。
不要點來路不明的鏈接,更不要直接去下載這些鏈接中的安裝包。
其次,對于開源項目,從官方開源 Github 倉庫的 Release 中下載,檢查 Commit,并校對簽名是更保險的方式,基本可以保證你下載的安裝包,就是當前倉庫對應的代碼,非常安全。
從至少 2 個信源上確認幣種合約的真實性,Rainbow 和 OneKey 都有從多個 Tokenlist 多重校驗的機制
Twitter 粉絲數不可信,關注和信任鏈更實用,要警惕掛羊頭賣狗肉的假推號,從 CGK 和 CMC 找到的合約地址通常更可靠
硬件錢包做的最好的就是 Ledger、OneKey 和 Trezor
其中徹底開源的是 OneKey 和 Trezor
如果想要配合手機使用且開源,那么就是 OneKey
這家團隊拿了 Coinbase 等機構 2000 萬美元的投資
并將全部代碼開源在 Github,不用擔心后門
支持鏈的非常快,基本每個月都會新增 2-3 條新的公鏈,最多最全
幾百塊,性價比很高,購買鏈接 。
Purism 由 Todd Weaver 創建于 2014 年,他創建 Purism 最大的起因就是想從筆記本中刪除英特爾的管理引擎,電子前沿基金會 (EFF)、Libreboot 開發人員和安全專家 Damien Zammit 就批評者指責過:「 ME 存在后門和隱私問題」。
因為 ME 可以訪問內存,并且可以完全訪問 TCP/IP 堆棧,獨立發送和接收網絡數據包,繞過防火墻。
Purism 的好處顯而易見:
攝像頭、WiFi、藍牙、蜂窩網絡這些都有獨立的硬件開關,可在需要時徹底關閉
PureOS 簡單好用(它是基于 Debian 的免費 Linux 發行版)
禁用了英特爾 ME
總之,如果你想試試 Linux 系統,希望有一個開箱即用的電腦,可以試試 Purism。
一個成本更低的方式是在你當前電腦中運行 Whonix(搭配 VituralBox)。
Whonix 同樣是一個以注重隱私和安全的 Linux 系統,它完全免費且開源,有幾個優點:
已經穩定運行 10 年
隱藏 IP 地址
隱藏使用者身份
不記錄任何信息
防病
感興趣可試試。
還有其他防御手段不再贅述,希望大家可以保護好自己的隱私和安全。
王一石
個人專欄
閱讀更多
金色財經
CertiK中文社區
虎嗅科技
區塊律動BlockBeats
web3中文
深潮TechFlow
念青
DeFi之道
CT中文
撰文:aididiaojp.eth,Foresight NewsBinance Labs 自 2018 年成立以來,不斷識別、投資并賦能優秀的區塊鏈企業家、初創公司和社區.
1900/1/1 0:00:00文/lookonchain;譯/金色財經xiaozou2022年10月20日,SONM代幣SNM價格從0.2035美元飆升至10.91美元,上漲50余倍.
1900/1/1 0:00:00金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是項目周刊,帶您一覽本周主流項目以及明星項目的進展.
1900/1/1 0:00:00原文標題:《Solana 還能走多遠,一文為你厘清 Solana 與 FTX 糾葛始末》 原文來源:R3PO FTX 崩盤至今,余波尚未平息.
1900/1/1 0:00:00比特幣底部在哪兒?這是市場目前非常關注的話題。有人認為,FTX引起的市場去杠桿化仍將繼續一段時間,比特幣的底部還需要進一步確認;也有投資者認為利空出盡,底部已至.
1900/1/1 0:00:00【2022年11月30日,香港】新火科技控股有限公司(“新火科技”或“公司”,股票代碼:1611.HK)今日宣布,因吳樹鵬先生有意尋求其他業務發展,決定辭任執行董事及首席執行官.
1900/1/1 0:00:00