DI Wang Yishi

Ho già scritto un articolo e condiviso alcuni suggerimenti sulla protezione della privacy personale.

I tempi sono cambiati e, soprattutto nel settore delle criptovalute, emergono uno dopo l’altro nuovi metodi di attacco: un po’ di disattenzione può portare alla bancarotta.

In effetti, non esiste una soluzione miracolosa che possa resistere a tutti gli attacchi. La chiave è costruire il proprio "sistema di difesa": in altre parole, pensare a se stessi.

  • Chi potrebbe essere attaccato?

  • cosa vogliono ricavarne?

  • Che metodo useranno

E, partendo dal presupposto che l'attacco sia avvenuto, si può sopportare la perdita? Se non si riesce a sopportarla, come si può diversificare il rischio?

  • La maggior parte degli attacchi sono "indiscriminati". Gli hacker gettano un'ampia rete e coloro che sono disposti abboccheranno all'esca. Finché si prendono le normali precauzioni, tutto andrà bene.

  • Esistono anche attacchi molto mirati. Attraverso vari mezzi artificiali (informazioni KYC sulle transazioni sul web oscuro e record di e-commerce), gli hacker possono facilmente ottenere gli indirizzi di casa e dell'azienda per commettere ulteriori crimini. Per prevenire tali attacchi, è necessario sacrificare una strategia più ponderata .

Solo quando il “sistema di difesa” è ben costruito si può mantenere la calma nei momenti difficili e ridurre al minimo i rischi principali.

Ecco alcune delle mie difese comuni:

1) Utilizza un motore di ricerca che protegga la privacy

I vantaggi del passaggio dalla ricerca Google a DuckDuckGo o Startpage sono chiari perché possono:

  • Rimuovi il tuo indirizzo IP dalle comunicazioni

  • Rimani anonimo durante la navigazione nei contenuti web

  • Impedisci ai sistemi pubblicitari di terze parti di tracciare le tue informazioni personali

  • Impedisci la creazione di profili utente in base alla tua attività online personale

Torno su Google solo quando non riesco a trovare quello che cerco.

2) Crittografa i tuoi dati

Se sei inseparabile dai dischi di rete come iCloud, Google Drive e DropBox, allora devi essere preparato alla possibilità che un giorno i tuoi dati vengano hackerati. Sebbene le grandi aziende investiranno molto budget nella crittografia e nella sicurezza dei dati, non si può comunque negare:

Finché i dati sono ancora sul server dell'altra parte, sono effettivamente fuori dal tuo controllo.

La maggior parte dei fornitori di servizi di archiviazione cloud crittografa i dati solo durante la trasmissione oppure conserva personalmente le chiavi per la decrittografia. Queste chiavi possono essere rubate, copiate o utilizzate in modo improprio. Pertanto, fai attenzione e utilizza uno strumento gratuito e open source come Cryptomator per crittografare i tuoi dati.

In questo modo, anche se il fornitore del servizio disco di rete viene violato, molto probabilmente i tuoi dati saranno comunque al sicuro.

3) Metodo di immissione

Ho già detto in precedenza che è meglio non utilizzare alcun metodo di input di terze parti, ma solo quello fornito con il sistema.

Ora voglio aggiungere un'opzione, ovvero "rat pipe", che presenta numerosi vantaggi:

  • Prestazioni eccellenti e basso utilizzo delle risorse

  • È raro che la pagina si blocchi durante la digitazione della prima parola.

  • Completamente open source, nessuna backdoor, nessun contenuto caricato

  • I caratteri cinesi tradizionali sono potenti

  • Grado di libertà di personalizzazione estremamente elevato

Attualmente sto utilizzando la configurazione Shuangpin di placeless, che penso sia piuttosto buona. Se sei un utente Shuangpin, puoi provare la sua configurazione.

4) Accedi solo a siti Web HTTPS

  • Installa il plugin HTTPS-EVERYWHERE.

  • Attiva automaticamente la protezione della crittografia HTTPS per l'accesso a tutte le parti supportate conosciute del sito Web, impedendo che le informazioni con cui interagisci con il sito Web vengano intercettate o manomesse.

  • All'accesso al sito, se trasmesso in chiaro, sarà presente un chiaro promemoria.

5) Utilizza Google Drive per aprire allegati sospetti

Spesso ricevi diverse e-mail con allegati Sebbene i fornitori di servizi di posta elettronica effettuino una scansione preliminare e blocchino i contenuti sospetti, molti allegati sono ben mascherati e scaricarli localmente è rischioso.

In questo caso, ti consiglio di visualizzarlo in anteprima direttamente sulla pagina web o di salvarlo in una cartella temporanea di Google Drive, che può isolare efficacemente il virus.

6) Le piattaforme di nicchia possono aumentare notevolmente la possibilità di combattere virus e trojan

Pensa a questa domanda: se fossi un hacker e dovessi sviluppare un virus (Trojan) per fare soldi, quale piattaforma sceglieresti di prendere di mira?

È ovviamente una piattaforma con una base di utenti più ampia.

Le seguenti piattaforme hanno basi di utenti più piccole rispetto a Windows.

Anche se non sono significativamente più sicuri di Windows, comportano molti meno rischi.

  • Mac OS

  • ChromeOS

  • Ubuntu

  • Fedora

  • Debian

  • Altre distribuzioni Linux

7) Scrivere attentamente i problemi di sicurezza

  • "Come si chiama la tua università?"

  • "Chi è la tua ragazza?"

  • "Qual è il tuo gruppo preferito?"

Non inserire onestamente le informazioni reali, perché le tue informazioni sono archiviate su un gran numero di piattaforme social e possono essere facilmente progettate tramite ingegneria sociale, il che darà un'opportunità agli hacker.

Invece, è molto più sicuro utilizzare password casuali generate dal software di gestione delle password come risposte a queste domande di sicurezza.

8) Non accedere al tuo account principale su un dispositivo temporaneo

Gli account core si riferiscono ai tuoi account principali come Google, Apple, ecc., che sono legati a una serie di dispositivi, carte di credito, password, ecc.

Per comodità, le società Internet di solito memorizzano i cookie di sessione localmente nel tuo browser. Una volta rubato questo cookie, gli hacker possono persino aggirare la 2FA della piattaforma e altre verifiche. In questo caso, qualsiasi 2FA è inutile.

9) Confermare sempre due volte

  • La memoria è inaffidabile

  • Controlla che l'indirizzo del portafoglio sia completo, non solo le prime/ultime cifre

L'anno scorso ho effettuato l'accesso a uno scambio che non utilizzavo spesso per recuperare alcune monete rotte.

Mentre ritiravo le monete, ne ho viste alcune familiari nella rubrica, ma non riuscivo a ricordare quando sono state create.

Dato che avevo solo pochi decimi di bitcoin, l’ho trasferito direttamente, ma in seguito non sono più riuscito a trovare la chiave privata corrispondente a quell’indirizzo.

Me ne pento un po'. Se lo avessi confermato ancora una volta, non avrei commesso un errore così stupido.

10) Cancella tutti i dati del disco prima di vendere apparecchiature di seconda mano

Si consigliano due strumenti:

  • Lo stivale e la bomba atomica di Darik

  • Gomma permanente

Il primo può cancellare completamente il disco rigido.

Quest'ultimo può sostituire l'operazione "Svuota in modo sicuro il cestino". Ogni operazione può sovrascrivere lo spazio di archiviazione dei file 35 volte, rendendone sostanzialmente difficile il ripristino.

11) Scarica il portafoglio solo dal sito ufficiale

Recentemente ho incontrato molti utenti che hanno scaricato portafogli "riconfezionati" dagli hacker. Android è il più colpito perché molti portafogli forniscono metodi di installazione APK ed è difficile distinguere l'autenticità da quelli falsi.

Ti consiglio di controllare il sito Web ufficiale del prodotto prima di scaricare qualsiasi portafoglio. In caso contrario, anche la catena di fiducia su Twitter può aiutarti a confermare l'autenticità del sito Web ufficiale.

Non fare clic su collegamenti provenienti da fonti sconosciute e non scaricare direttamente i pacchetti di installazione da questi collegamenti.

In secondo luogo, per i progetti open source, è più sicuro scaricare dalla versione del repository Github open source ufficiale, controllare il commit e correggere la firma. In pratica può garantire che il pacchetto di installazione scaricato sia il codice corrispondente al repository corrente , il che è molto sicuro.

12) Distinguere i contratti falsi

  • Conferma l'autenticità dei contratti valutari da almeno 2 fonti. Sia Rainbow che OneKey dispongono di più meccanismi di verifica da più elenchi di token.

  • Il numero di fan di Twitter non è affidabile. Seguire e fidarsi delle catene è più pratico. Diffidare dei tweet falsi che cercano di vendere cani rispetto ad altri. Gli indirizzi contrattuali trovati da CGK e CMC sono generalmente più affidabili.

13) Utilizza un portafoglio hardware completamente open source

  • I migliori portafogli hardware sono Ledger, OneKey e Trezor

  • Tra questi, OneKey e Trezor sono completamente open source.

  • Se vuoi lavorare con il tuo telefono ed essere open source, allora OneKey

  • Questo team ha ricevuto 20 milioni di dollari in investimenti da Coinbase e altre istituzioni

  • E tutto il codice è open source su Github, quindi non è necessario preoccuparsi delle backdoor

  • Il supporto della catena è molto veloce Fondamentalmente, ogni mese verranno aggiunte 2-3 nuove catene pubbliche, il che è il più completo.

  • Qualche centinaio di yuan, molto conveniente, collegamento per l'acquisto.

14) Utilizzare sistemi operativi e dispositivi più sicuri

Purism è stata fondata da Todd Weaver nel 2014. Il motivo principale per cui ha creato Purism è stato quello di rimuovere il motore di gestione di Intel dai notebook Electronic Frontier Foundation (EFF), lo sviluppatore di Libreboot ed esperto di sicurezza Damien Zammit ha criticato i critici: "ME Ci sono backdoor e problemi di privacy. "

Poiché ME ha accesso alla memoria e accesso completo allo stack TCP/IP, può inviare e ricevere pacchetti di rete in modo indipendente, aggirando i firewall.

I vantaggi del Purismo sono evidenti:

  • Fotocamere, WiFi, Bluetooth e reti cellulari dispongono tutti di interruttori hardware indipendenti che possono essere completamente disattivati ​​quando necessario.

  • PureOS è semplice e facile da usare (è una distribuzione Linux gratuita basata su Debian)

  • Intel ME disabilitato

Tutto sommato, se vuoi provare Linux e vuoi un computer che funzioni fuori dagli schemi, prova Purism.

Un modo più economico è eseguire Whonix (con VituralBox) sul tuo computer attuale.

Whonix è anche un sistema Linux che punta sulla privacy e sulla sicurezza. È completamente gratuito e open source e presenta diversi vantaggi:

  • Funziona stabilmente da 10 anni

  • Nascondi indirizzo IP

  • Nascondi l'identità dell'utente

  • Non registrare alcuna informazione

  • antivirus

Se sei interessato, puoi provarlo.

Esistono altri metodi di difesa di cui non entrerò nei dettagli. Spero che tu possa proteggere la tua privacy e sicurezza.