翻墙问答

翻墙问答


来源：https://www.bannedbook.org/bnews/fanqiang/

问：不少人都有用Web of Trust的浏览器插件，去防止浏览一些内有保安问题的网站，只不过，德国电视台踢爆Web of Trust插件本身其实都有问题。Mozilla基金会更加将Web of Trust插件，由插件商店中移除。Web of Trust的插件出现什么问题？又会否鼓励听众日后安装更新版的Web of Trust插件？

李建军：Web of Trust插件，被德国电视台发现，不单会追踪个别网民行踪，而且会将搜集得来的资料，售予商业机构，甚至政府部门，Web of Trust一日未交代清楚所搜集的资料最终行踪前，这插件不单不会保障用家的网络安全，相反，更可能令用家的安全受到影响，大家想像一下Web of Trust将资料售予中国政府，都足以构成重大麻烦。

因此，纵使Web of Trust稍后推出新版的插件，都不建议重新安装。事实上，只要你用Chrome或Mozilla等开放源码的浏览器，本身都有足够保护，防止你浏览一些有严重保安问题的网站，并不需要Web of Trust之类的软件。而相信，日后使用者会对商业机构推出的插件提高警觉，毕竟天下间并没有免费午餐，除了出售使用者私隐，或出售软件订阅费用，商业软件公司很难长期向用户提供软件，并维持开发成本。开放源码插件，反而会对用户私隐比较有保障。

问：除了GMX，透过Gmail都可以利用PGP来进行电邮加密，但应该怎样做，因为Gmail好像没有支援相关做法。

李建军：如果你有在Firefox或Chrome安装了Mailvelope插件，其实你可以用同一插件，在Gmail上用自行产生的PGP金钥，以及对邮件进行加密，只不过你撰写电邮时，程序略有不同，包括需要在相关Gmail网页上先激活Mailvelope插件，以及撰写电邮时，需要多按一两个按键，在另一视窗上撰写电邮，确保你的电邮，经过了PGP加密。

如果你曾经照翻墙问答的教导，使用GMX的加密网上电邮，就已经在浏览器安装了Mailvelope插件，而不需要再安装浏览器插件。而Mailvelope插件暂时只支援Firefox和Chrome，因此，Safari、IE和Edge用家，是没有办法透过浏览器版的Gmail来拆阅和加密Gmail，而Android和IOS用家，需要将金钥移到支援PGP的软件，才可以替自己的Gmail加密，以及拆阅已加密电邮。

问：物联网的兴起，令越来越多连接互联网的电器设备，有可能变成黑客发动DDoS的工具。最近有保安专家发现，可以接驳互联网的飞利浦LED灯胆，有可能有保安漏洞，成为黑客发动DDoS攻击，甚至破坏电网运作攻击的工具，请问能否介绍一下？

李建军：在今年较早时间，加拿大一队保安专家，发现飞利浦Hue系列，可供电脑等设备遥控的LED灯胆系统有保安漏洞，黑客可以藉漏洞控制成千上万同样连接互联网的灯胆，因而损害电网运作。保安专家发现漏洞后，立即通知飞利浦公司，而飞利浦公司亦暗中发出保安修补工具，只要用户更新软件到最新版，应不受这个保安漏洞的影响。

但由于物联网的设备结构相对简单，黑客要成功找出其保安漏洞亦相对容易，因此，现时防止黑客入侵，已不单只在电脑或智能手机等设备，只包括LED灯、闭路电视等相对简单，但同样可以由网络控制的设备。而且由物联网带来的保安挑战，随时比电脑或智能手机更大，因为物联网设备的技术限制实际上比电脑以至智能手机都来得多。而用户要防止自己屋企的电器，变成了黑客攻击别人或自己的踏脚石，家中各类连接互联网电器的软件，都要及时更新，以策安全。

问：刚才谈及物联网保安问题，最近有人发现惠普公司LaserJet 1320镭射打印机，有可能成为黑客窃取智能手机保安资料的工具，那又是怎样一回事？对于一般用户，又可以如何提防自己公司或家居的镭射打印机，变成了黑客入侵自己或他人系统工具？

李建军：近年，有一种使用ARM中央处理器晶片的廉价Linux电脑草莓Pi，以价廉物美，体积小，而且耗电低闻名，在深圳很容易买得到，深受不少电脑用家的喜爱，用作自建打印机伺服器，或档案伺服器。

只不过，近年有不法分子，将这种小型电脑改装，暗藏在惠普LaserJet 1320或类近机体较大的镭射打印机内，再加上小型无线电发射仪器，就可以藉发出木马短信，窃取打印机附近手机的个人资料。而要查出自己的打印机是否被人加了料，只能靠定期拆开打印机内部，或当发现有人收到不明来历短信时，立即检查打印机才能发现。而不法之徒，往往在修理他人打印机时，暗暗将窃取资讯设备装入打印机中，因为对正常用户而言，他们不会想到打印机会暗藏小电脑，而小电脑可以功能强大至发出钓鱼短信或信息，藉此窃取个人资料。因此，若然打印机出问题，应找原厂维修，坊间不知名的维修公司，要看看他们东主的背景，以及收机时，必须作出适当检查，以防不法之徒加料。

问：最近不少人浏览美国或新加坡网站，或翻墙时，都出现速度缓慢，甚至无法进入网站的现象。而出现这个现象，又与杭州雄迈公司所生产同代工一系列旧款视像监察镜头有关。到底发生了什么事？

李建军：近日有成千上万的僵尸装置，主要都是杭州雄迈公司的产品，大规模攻击美国主要DNS供应商Dyn，以及新加坡当地其中一间主要互联网供应商星和。当成千上万的视像镜头，被黑客利用预设密码的漏洞，进行DDoS攻击时，就会引发大规模交通瘫痪，因此，杭州雄迈科技主动收回怀疑变成DDoS工具的产品，并且呼吁用户更新在2015年前购买产品的内部软件，堵塞黑客发动DDoS攻击的漏洞。由于出问题的雄迈公司产品，数量相当多，相信短期内，都不会有希望彻底解决问题，直至相关的雄迈公司产品逐步被汰换为止。

问：对于中国听众而言，如果他们发现家中的保安镜头等设备是雄迈公司的设施，那应该怎办？

李建军：如果你的设备，可以不连接互联网的话，请先尽量切断与互联网的连接，当视像镜头不连接互联网时，根本无法参与DDoS攻击，那就不会对其他人的设备造成麻烦。对保安视像镜头，设于内联网下，比设于互联网上来得好。

如果你的设备在2016年生产，那你可以暂时不用采取任何行动，因为受影响的设备，都是2015年前生产的旧款设备。如果你的设备于2015年3月前生产，可以前往雄迈网站更新软件，并更改密码，那就问题不大。

如果你的旧设备是2015年前生产，无法更新运作软件，或无法让用户自定密码的话，你的设备实际上对其他电脑使用者构成困扰，那只能不再让相关设备连接互联网，甚至要整个设备更换，以免相关设备影响办公室或家居其他同网络系统。

问：现时最好的点对点加密程式，除了 Signal软件本身外，Whatsapp同Facebook Messenger都是Facebook公司的产品，但有部分中国听众，可能对Facebook公司在中国问题取态有疑虑，那除了Signal以及Facebook公司的产品，还有什么选择？

李建军：最近谷歌推出了Allo实时信息软件，所使用的点对点加密协议，与Signal以及Whatsapp所用的协议相同，而且可以连系你的Gmail户口，对谷歌用户相对而言比较便利，亦提供了限时模式，在点对点模式下的对话，可以设定于指定时段内毁灭信息。在Allo，点对点加密模式，是被称为无痕模式，而这集翻墙问答，我们准备了视频，示范如何使用Allo，欢迎大家浏览本台网站收看。

问：在Allo上，当使用无痕模式时，如果我所用的表情，收件人并无安装，会否影响在无痕模式下的通讯表现？

李建军：因为当无痕模式的收件人，并无安装特定表情包时，会自动连接谷歌主机，虽然下载表情包时，软件与谷歌之间的连系，仍然是会加密的，但由于中国当局以DNS污染手段阻止民众连接谷歌主机，因此，如果不想影响在无痕模式的运作表现的话，Allo用家最好先作翻墙，以免DNS污染之下，影响Allo无痕模式下的正常运作。

虽然下载表情包会与谷歌主机通讯，但暂时为止未收到报告，指有关安排破坏了点对点通讯的机密性和可靠性。相信，这会是其他即时信息软件的发展方向。

由于下载表情包是一次性动作，因此，在大部分情况下，都不会影响无痕模式下的点对点通讯表现以及效能。