论翻墙安全

大陆网络管制愈加严峻的如今,翻墙技术已成为大陆网民首要基础技能。但能翻墙不代表就有信息安全保障,使用代理也不一定就能确保匿名,Java、Office、iTunes、Quicktime、Flash都能侦测到真实的IP,也就是说,这些浏览器插件是需要谨慎使用的。此外,虽然大多数墙外平台不至于与中国当局合作而泄露用户资料,但用户自己泄露个人信息而导致被人肉搜索到的情况却并不罕见。




来源:https://pao-pao.net/article/286
相关:VPN翻墙,不安全的加密,不要相信墙内公司

不推荐使用国产VPN
市场研究公司Globalwebindex在2014年Q3的GWI Social报告中,特别观察了利用VPN和代理服务器访问受限社交网络的趋势。报告指,中国有9300万VPN网民,占据整体网民的20%。这个数字有可能被高估了,但也能透露在中国的VPN用户的确不少。

VPN(Vitral Private Network)是诸多翻墙手段中比较常用的一种,门槛低操作简单,适合小白用户,相比下付费的VPN更为稳定。它的原理是客户端使用相应的协议与VPN服务器进行通信,成功连接后在操作系统内建立一个虚拟网卡,一般来说默认PC上所有网络通信都从这虚拟网卡上进出,经过VPN服务器中转后再到达目的地。通常VPN协议都会对数据流进行强加密处理,从而使得第三方(如GFW)无法得知数据内容。但VPN服务器本身会知道用户所操作的内容。

VPN协议主要有:PPTP,L2TP,IPSEC,OPENVPN,SSL VPN,Ikev2 VPN,Cisco VPN,其中的PPTP和L2TP是明文传输协议。PPTP的协议规范本身并没有描述加密或身份验证的部份,它依靠点对点协议(PPP)来实现这些安全性功能。当用户使用PPTP VPN翻墙时,实际上是同时启用了128位MPPE(微软点对点加密),但目前GFW已经做到了暴力破解MPPE加密的能力。(暴力破解又叫穷举法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。)

PPTP协议的加密实现-MPPE是基于RC4的,目前也很容易被破解,MS-CHAP2的实现是用用户密码的MD4作为密钥加密,都可以轻而易举破解。曾经有网友表示,用VPN上推特会在联通查到记录。 PPP没有对完整性的保护,链路上的分组可以被篡改和重放。没有完整性保护的加密是没有意义的,比如攻击者可以窃听,然后修改IP payload上的 destination 后重放,曾经有针对 WEP 的攻击用此方法。 另,PPP 的控制消息也没有任何保护,对于配置不当或者实现不当的 PPTP, 可以通过伪造 ECP 包,把 ms-chap, mppe 降级成 pap, 无加密。

Windows 下 L2TP/IPSec 实现也不很安全,它没有将 IPSec 指定为 required 的选项,如通过干扰 IKE, 可以把 L2TP/IPSec 降级成没有 IPSec 保护的 L2TP。

曾经有用户表示,当Shadowsocks的加密连接算法设置为默认的RC4或略有改进的RC4-MD5时,用上一段时间就会被GFW封锁,需要改密码或IP才能继续使用。网友Ghost Assassin推测认为,如果GFW成功识别了Shadowsocks与远程服务器建立连接时的特征,那么不管使用什么加密方式都会很快被GFW干扰,而不会只有RC4-MD5和RC4连接被干扰,那么最大的可能就是GFW已经可以破解RC4-MD5,而它同时也是MPPE使用的加密算法,那么PPTP VPN就不再安全了。

L2TP不含任何认证和加密功能,全由 IPSec 负责,IKE是 IPSec 的一部分,L2TP 本身只完成数据传输之类的工作,不负责认证和加密,需要配合其它安全协议使用。L2TP/IPSec并没有被GFW严重封锁,目前尚不清楚原因,Ghost Assassin的分析认为或可能是当局有意释放,借以钓鱼。

相比下,OPEN VPN的身份验证机制很完善,隧道加密程度也比较强,使用的是OPEN SSL加密算法,提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。在用户空间运行中,无须对内核及网络协议栈作修改,初始完毕后以chroot方式运行,放弃root权限,使用mlockall以防止敏感数据交换到磁盘。或正因此,OPEN VPN也是被封锁得比较严重的一个。

GFW的危害在于它不只有封锁一个目的,更有监控的功能,中国当局的法律上没有明确指出使用VPN违法,又有不少内地供应商在出售和提供免费VPN,同时又有一部分VPN被封杀,这就不由得让人起疑。曾经有用户反映,不少墙内VPN都没有办法作为TOR的前置代理,“打开Tor浏览器显示洋葱头是打x的,没有变成绿色的洋葱头,只有连接国外vpn时Tor的洋葱头才是绿色的”,分析认为,有可能是国内 VPN 对 IP 或域名进行了过滤所致, 推测大陆的VPN有可能留有后门。建议使用VPN+TOR(Tor Browser Bundle),它可以提供匿名的网络访问,保护隐私,目前认为当局无法破解TOR流量,可以确保翻墙安全。另外,不推荐使用免翻推特端发布敏感讯息,普通浏览还是可以的。

此外,360浏览器、百度浏览器等国内浏览器官方内置的翻墙功能都不支持使用,这些代理很可能会被用于中间人攻击。如果该“中间人”与浏览器官方同一阵线,那么浏览器验证机制就会放行这种攻击。国内产浏览器也不推荐使用,有用户透露,360浏览器在安装的过程中就引发了win7系统报警,证明该程序有规避认证的行为。全球三大桌面浏览器在隐私保护方面的比较一般认为,Firefox最优,其次是Chrome/Chromium,再其次是IE。

保护个人隐私信息细节   尽可能远离大陆网络平台和服务

发照片自爆是很多网友的喜好,但经常发表敏感政治言论的网友这方面就要小心些了,很容易因此被人肉搜索到。另,建议登陆海外网站的时候尽可能不使用和在大陆平台上同样的昵称和同样的本人照片头像,即便墙内身份暴露,只要否认墙外身份,“有关部门”就基本无法获取证据。

很多社交平台都有分享地理位置的功能,比如墙内的微信、微博和墙外的推特等,但不推荐使用,如果您用的是苹果产品,可以直接选择在设置中关闭定位服务的方法来保护行踪隐私。

有些网站希望用户输入求学就业经历,以便联系到同学同事互相添加。如果该应用是大陆开发的产品就不推荐使用这项功能。您肯定有其他方式联系到您觉得值得联系的同学和同事。

尽可能不使用公共场合免费的wifi,如果遭遇恶意搭建的wifi,很容易被盗取个人信息,其他安全性不明的wifi网络也要谨慎选择。

曾经有网友曝,小米手机和小米平板都会在用户使用加密数据或使用VPN翻墙時,窃取数据并发送到北京某服務器;360系列软件则会监控用戶的qq、skype等通讯窃取数据。对于后者已能基本确信,对于前者建议谨慎选择以防患于未然。

大陆产的杀毒软件也不推荐使用,本网曾有报道,奇虎 360 投资的一家微型公司“麦芽地”,其前身是个人网站“麦克孤独”,被曝是“WireLurker(MacHook)”木马制作者和传播者。

11月3号出台的《反恐法草案》中第十五条提到:“电信业务经营者、互联网服务提供者应当在电信和互联网的设计、建设和运行中预设技术接口,将密码方案报密码主管部门审查。未预设技术接口,或者未报审密码方案的,相关产品或者技术不得投入使用。已经投入使用的,主管部门应当责令其立即停止使用。在中华人民共和国境内提供电信业务、互联网服务的,应当将相关设备、境内用户数据留存在中华人民共和国境内。拒不留存的,不得在中华人民共和国境内提供服务”。该草案很可能全盘通过,也就是说,极大程度上增强了使用国内平台和服务的危险性。

有些网友喜欢使用密码管理软件,每个网站都用随机密码,以便于减少被破解机率。但据11月20号Solidot的报道,BM Trusteer称,计算机罪犯正以保存用户最敏感登录凭证的密码管理器为目标,利用按键记录工具去窃取主密码。Citade木马的一个配置文件设计在用户打开两种开源密码管理工具Password Safe或KeePass时启动按键记录器。安全研究人员认为,以密码管理器作为重点攻击目标将会在未来日益流行。能自动生成随机密码的密码管理器有助于增强在线账号的安全性,但如果密码管理器的主密码失窃,其保存的所有密码将会同时失窃,影响要比单一账户被攻陷严重得多。

此外,对大陆用户来说,尽可能选用谷歌邮箱传递紧要讯息,设置两步验证,经常更换密码。Gmail可以让Web用户在登录和使用GMail的整个连接过程全部为HTTPS协议加密传输。用客户端软件POP3或者IMAP协议访问GMAIL,如Outlook Express、Foxmail、Entourage、Eudora、Netscape Mail、Mozilla等也可设置为SSL安全连接。相比之下,大多数免费邮件服务器不提供,或者只在用户身份认证时才提供SSL连接。前期有根据谷歌和加州大学圣迭戈分校的一份研究报告指,黑客入侵电子邮件只需三分钟,之后使用关键字搜索方式判断该邮箱是否有价值,只要符合黑客需要,一般在有价值的邮箱中花15到20分钟便搞定如何利用你的邮件。如做更安全考虑,可将紧要内容发过后及时删除(如需可另作保存),并在“已删除邮件中”选择“永久删除”。

大陆用户无疑会面临越来越恶劣的网络环境,一方面是GFW的升级使翻墙变得愈加困难,另一方面,用户的信息安全也越来越缺乏保障。用户有必要了解上网(翻墙)的环境,更有必要了解在中国发布言论的风险。“事实是,任何网络安全措施都有可能避免不了极权的打击,但是不能因此放弃或者忽视网络安全策略。即便如此,很多勇敢的表达者依然通过互联网在传播着他们的观点。无论极权怎样去控制、禁止用户的表达和传播,互联网都会告诉它:对极权的反对永远不会疲倦,不会恐惧,不会停息”,时评人苏星河表示。
发表评论