撰文:王一石
两年前我写过一篇文章,分享了一些保护个人隐私的技巧。
时过境迁,新的攻击手段层出不穷,尤其在Crypto行业,稍有不慎、倾家荡产。
事实上,没有什么银弹能抵御所有攻击,问题关键在于构建自己的「防御系统」,也就是说,你应当思考自己
可能被哪些人攻击
他们想要从中获取什么
他们会用什么样的方式
并且,假设攻击已经发生,自己是不是能承担损失;如果承担不了,应当如何分散风险。
大部分攻击都是「无差别」的,黑客广撒网,愿者上钩,这种只要正常防范就好。
也有针对性非常强的攻击,通过各种攻击手段,黑客很容易获得你的家庭和公司地址,从而进一步实施犯罪,要防范这种攻击,必须祭上更周密的策略。
只有「防御系统」构建好,你才能遇事不乱,把核心风险降到最低。
以下是我常用的一些防御手段:
1)使用能保护隐私的搜索引擎
不再使用Google搜索,转而使用DuckDuckGo或Startpage,好处显而易见,因为它们能:
Near安全提醒:Mailchimp漏洞或将影响Near网页钱包:1月17日消息,Near向用户发送安全提醒邮件,称Mailchimp上一安全事故或将影响Near生态安全。此前报道,1月12日,Near的外部邮件管理工具之一Mailchimp出现系统漏洞,或将对Near网页钱包安全造成影响。[2023/1/17 11:15:40]
在通信中移除你的IP地址
在浏览网页内容时持续保持匿名状态
阻止第三方广告系统追踪你的个人信息
阻止基于你的个人网络活动构建用户画像
我只有在找不到想要内容的时候才会用回Google。
2)加密你的数据
如果你已经离不开诸如iCloud、GoogleDrive、DropBox这样的网盘,那你就要做好自己的数据有一天被Hack的觉悟。虽然大型企业会在加密、数据安全上投入大量预算,但你依然不能否认:
只要数据还在对方服务器上,那么它实际上已经脱离了你的控制。
大多数网盘提供商仅在传输过程中加密数据,或者他们自己保留用于解密的密钥。这些密钥有可能被盗、复制或滥用。因此,给自己留个心眼,用Cryptomator这样开源、免费的工具来加密数据。
市场消息:俄罗斯央行可能出于安全考虑禁止加密货币:1月20日,市场消息:俄罗斯央行可能出于安全考虑禁止加密货币,可能影响俄罗斯持有的高达920亿美元的加密资产。(金十)[2022/1/20 9:01:56]
这样即便网盘服务商被Hack,你的数据大概率还是安全的。
3)输入法
我之前说过,最好不要用任何第三方输入法,而只使用系统自带的。
现在我要增加一个选项,那就是「鼠鬚管」,它有许多优点:
性能优秀、占用资源少
极少出现敲第一个字的时候页面卡钝的情况
全开源、无后门、不会上传内容
繁体字强大
极高的定制自由度
我现在使用的是placeless的双拼配置,觉得还不错,如果你是双拼用户,可以试试他的配置。
4)只访问HTTPS网站
安装HTTPS-EVERYWHERE这个插件。
它可以自动为访问网站的所有已知受支持部分,激活HTTPS加密保护,防止你跟网站的交互的信息被窃听或篡改。
火币韩国成首家荣获韩国信息安全管理系统(ISMS)认证海外品牌交易所:据韩国媒体报道,1月18日,火币韩国成为首家获得韩国互联网安全局(KISA)颁发信息安全管理系统(ISMS)认证的海外品牌交易所。
此前韩国国会全体会议通过的《特别金融信息法》规定,数字资产交易所必须获得KISA的信息安全管理系统(ISMS)认证才能继续提供其服务。火币韩国获得该认证,对于其本地合规化运营具有里程碑意义。
火币韩国是火币集团的独立法人单位,于2018年3月30日正式上线。自上线以来,火币韩国一直以专业、安全为基础坚持本地化运营探索。截至目前,火币韩国累计交易额达519亿美金,用户量突破50万人。火币韩国早前已按照《特金法》要求实施了完善的AML(反)体系,成为符合韩国本土合规要求的数字资产交易所。[2021/1/18 16:26:17]
访问网站时,如果是明文传输,会有明确提醒。
5)使用GoogleDrive打开可疑的附件
你经常会收到各种带有附件的邮件,虽然邮件服务商会预先扫描并阻拦可疑内容,但很多附件伪装精妙,下载到本地是有风险的。
成都市副市长:将以安全技术为基础,努力夯实区块链应用底层架构:10月29日,以“链上安全·可信发展”为主题的区块链安全产业峰会在成都举办。成都市人民政府副市长曹俊杰表示,近年来,成都市高度重视以区块链安全为代表的网络信息安全产业发展。下一步,将以安全技术为基础,努力夯实区块链应用底层架构,为构建区块链安全底座打造坚实基础;以安全特色为基因,探索“区块链+行业”应用范式,助推数字经济、共享经济安全可控发展;以安全服务为抓手,加快营造区块链安全运营生态,提升成都在全国区块链安全产业版图中的显示度。(消费日报网)[2020/11/4 11:36:39]
这种情况下,我建议直接在网页中预览,或者存储到临时的GoogleDrive文件夹中预览,这能有效隔离病。
6)小众平台能显著提高对抗病木马的可能性
思考这样一个问题:如果你是黑客,准备开发一个病来获利,你会选择针对那个哪个平台?
显然是用户基数更大的平台。
相比Windows,以下平台的用户基数更少。
虽然它们并不显著比Windows安全,但面临的风险要小得多。
360安全团队发现某种以太坊ERC-20智能合约存在漏洞,随时可能受到黑客攻击:昨晚360安全团队发现某种以太坊ERC-20智能合约存在漏洞,随时可能受到黑客攻击。在发现漏洞不久,360安全团队通过自研的监控平台发现有人欲通过智能合约的批量转账方式无限生成代币,经过与相关方的及时沟通现漏洞已修复,也提醒投资人投资有风险,应对投资标的保持清醒认知。360作为全球最大互联网安全企业,致力于提供区块链相关安全解决方案,为区块链行业客户及互联网用户提供安全保障。[2018/5/19]
macOS
ChromeOS
Ubuntu
Fedora
Debian
其他Linux发行版本
7)慎写安全问题
「你的大学名字是什么?」
「你的女朋友是谁?」
「你最喜欢哪个乐队?」
…
不要再老实地把真实信息填上去,因为你的信息在大量社交平台上都有存档,很容易被社工,这会给黑客可乘之机。
取而代之,用密码管理软件生成的随机密码作为这些安全问题的答案,这样就安全多了。
8)不要在临时设备上登录你的核心账户
核心账户指的是你的Google、Apple等等主力账户,它们绑定了一堆设备、信用卡、密码等等。
互联网公司为了方便,通常会在你的浏览器本地存储SessionCookie,一旦这个Cookie被窃取,黑客甚至可以绕过平台的2FA等校验,这种情况下,什么2FA都没用。
9)永远二次确认
记忆不可靠
核对钱包地址要完整,不能只核对前/后几位数
我去年登录一个不常用的交易所,准备清理一些碎币。
提币时看到地址薄有几个眼熟的,但一时想不起来是什么时候创建。
因为只有零点几个比特币,就直接转了,事后却怎么也找不到那个地址对应的私匙。
有点后悔,如果当时多确认一次,就不会犯这种低级错误。
10)卖二手设备前清空所有磁盘资料
推荐两个工具:
Darik’sBootandNuke
PermanentEraser
前者可以彻底清空硬盘。
后者可以替代”安全清倒废纸篓“的操作,每次操作能覆盖文件存储空间35次,基本很难恢复。
11)只在官网下载钱包
最近遇到非常多用户下载了被黑客「二次打包」的钱包,安卓是重灾区,因为很多钱包都提供APK的安装方式,真假难辨。
我建议下载任何钱包前,先核对一下产品的官网,如果没有,推特上的信任链也能帮助你确认官网的真实性。
不要点来路不明的链接,更不要直接去下载这些链接中的安装包。
其次,对于开源项目,从官方开源Github仓库的Release中下载,检查Commit,并校对签名是更保险的方式,基本可以保证你下载的安装包,就是当前仓库对应的代码,非常安全。
12)辨析假合约
从至少2个信源上确认币种合约的真实性,Rainbow和OneKey都有从多个Tokenlist多重校验的机制
Twitter粉丝数不可信,关注和信任链更实用,要警惕挂羊头卖狗肉的假推号,从CGK和CMC找到的合约地址通常更可靠
13)使用完全开源的硬件钱包
硬件钱包做的最好的就是Ledger、OneKey和Trezor
其中彻底开源的是OneKey和Trezor
如果想要配合手机使用且开源,那么就是OneKey
这家团队拿了Coinbase等机构2000万美元的投资
并将全部代码开源在Github,不用担心后门
支持链的非常快,基本每个月都会新增2-3条新的公链,最多最全
几百块,性价比很高,购买链接。
14)使用更安全的操作系统和设备
Purism由ToddWeaver创建于2014年,他创建Purism最大的起因就是想从笔记本中删除英特尔的管理引擎,电子前沿基金会(EFF)、Libreboot开发人员和安全专家DamienZammit就批评者指责过:「ME存在后门和隐私问题」。
因为ME可以访问内存,并且可以完全访问TCP/IP堆栈,独立发送和接收网络数据包,绕过防火墙。
Purism的好处显而易见:
摄像头、WiFi、蓝牙、蜂窝网络这些都有独立的硬件开关,可在需要时彻底关闭
PureOS简单好用
禁用了英特尔ME
总之,如果你想试试Linux系统,希望有一个开箱即用的电脑,可以试试Purism。
一个成本更低的方式是在你当前电脑中运行Whonix。
Whonix同样是一个以注重隐私和安全的Linux系统,它完全免费且开源,有几个优点:
已经稳定运行10年
隐藏IP地址
隐藏使用者身份
不记录任何信息
防病
感兴趣可试试。
还有其他防御手段不再赘述,希望大家可以保护好自己的隐私和安全。
编译:Web3大航海 去中心化金融的主要优势之一是它是开放的,任何人都可以在任何地方、任何时间参与。因此,作为DeFi的参与者,总有机会获得收益,而在传统金融领域很难或不可能获得收益.
1900/1/1 0:00:00金色财经报道,加密货币交易所币安在接受英国立法者质询时否认对其故意击垮FTX的指控。币安向英国议会财政部委员会发送一份长达五页的文件,概述导致FTX崩盘的一系列事件.
1900/1/1 0:00:00原文标题:《新兴Web3游戏是否会成为GameFi的庞氏破局者?》原文作者:0xMoonda GameFi市场现状 进入2022年,链游作为加密市场的细分领域,受宏观经济环境以及DeFi黑天鹅事件影响,截止至目前项目市值下跌超80%.
1900/1/1 0:00:00StarkNet代币发布在即。11月16日StarkNet开发公司StarkWare在推特上表示,StarkNet的ERC-20代币合约已部署至以太坊,但StarkNet基金会仍需要时间来确定代币分配机制.
1900/1/1 0:00:00文/degentrading,译/金色财经xiaozou如果DCG确实欠了Genesis10亿美元,那我们就麻烦大了。如果DCG欠Genesis10亿美元的传言是真的,而且只有当此传言为真,那么我以下要说的就说得通了.
1900/1/1 0:00:00图片来源:由无界版图AI工具生成对稳定币和其他链上衍生品的看法在FTX的困境所带来的突然冲击之后,加密货币市场参与者继续进行重新调整.
1900/1/1 0:00:00