浏览器运行环境异常,请检查是否开启本站的JavaScript权限或下载最新版浏览器
如何防盒

如何防盒

需注意,该文章由酷安版本添加确切内容修改而来。原文章因未知原因被屏蔽。原文章的原文章发布于我的博客:如何防盒(第二版)

现今的刷机圈,有可能你提个不规范的commit甚至提出更大的目标都会导致隐私泄漏。更恐怖的是,有时候根本无法追溯或者极难追溯。

就说个发生在我身上一个比较奇葩的例子吧。5月17日有个患精神分裂症的MtF找上了我,然后有了如下记录。 

后续我启动了应急措施,然后…… 

顺带通知了下那些人: 酷安网链接

然后我想到了之前见到的某个东西…… 

鉴于OPPO共创和OPPO都没回应,甚至还shadowban了我一篇夸它们的文章及这篇原本发布在酷安的文章,我确信蒙古。

关于OPPO共创名称的来源:

那该如何尽量避免这类状况,无法避免的话如何降低损失?

Section #1:能避开吗?

先给个结论,不能。安全最薄弱的环节在人。

首先,该行为是依托于社会工程学存在的,而社工本身存在的基础是人对外界的信任。人毕竟是社会性动物,不可能一辈子不会与外界交流,故你在任何地方(包括网络)干过的所有事情都会不可避免地留下痕迹,只是攻击者能不能找出这些痕迹罢了。

对于企业,企业本身也是由人组成的,故即使企业的安全措施做的再好,也总会有人能发现漏洞,或者内部有人托出漏洞。(需注意,我个人并不建议攻击或协助攻击基础设施,且该类行为目前已列入中华人民共和国反间谍法并于7月1日实施,请自重。目前合法攻击最大存在于各CTF中)

其实上面这些说的也只是信息会不会被公开而已,具体开这些的人另说。

如上所述,人作为社会性动物,为安全最薄弱的环节。他们可能会主动违反安全规章,不论是出于什么目的。他们作为有意识的人,你实际无法准确预知他们要干什么及对自己的看法,所以被主动泄漏隐私信息的行为不可预知且无法避免。

Section #2:有啥消息?

1.他们可以通过手机查找功能远控手机。图中远控手机品牌为OnePlus,平台为OPPO Cloud。(需注意,此为描述事实,且该文章有另外的备份,请不要花心思采取没用的会落下口实的会给自身带来负面效应的手段,我自己还有个博客兜底)

然而实际上,经过我个人测试,小米也有类似的风险(OPPO也测过了,我拿OPPO Reno搞的)。也就是说,在各大手机厂商中,几乎没有任何一个厂商会在云服务上下二次验证,尤其是找回手机服务,拥有密码等于拥有了手机的最高操作权限。

2.他们可能会勾结其他人,会通过同机型圈子人士进行内部流动,如文章开头的两张图。
目前据我所知,这类人稀少但破坏力较大,跟早期的癌细胞似的,难以发现。

Section #3:如何降低风险?

1.低调
如上所述,人是社会性动物,减少自己的痕迹,成为所谓沉默的大多数便是。

2.真诚
毕竟大多数危险人士的会自建关系,其中不乏有很多错误的,这时候公开别人隐私的会自动站上道德高地,其余人的声音会被忽略,例如SakuraiLH那边,ReallySnow方的指控从我得到的消息来看,有一半不正确但也能被大肆传播,但别人的说法中有一点更为严重的事情反而被忽略了(是的,未成年性行为)。

3.减少对自己不擅长项目的曝光量
例如,既然commit不规范会导致手机号被开,那为啥不直接选择闭源呢?不公开就永远不会被发现,不是吗?什么?GPL?GPL不是规定只需要公开源码吗?直接把源码打成压缩包不就得了?直接host在一个网站上,爱下不下。网站挂了?那是网站的事,反正开过源。哦对了,如果使用Git,记得把Git留下的痕迹删掉(.git文件夹)。注释?你都开始自保了还留着干啥?

我自己是这么干的:开独立邮箱并尽量设计多层级,减少能被切入的入口;maintainer现起独立名字并在该名字中说明为何选用脱敏信息;commit觉得很傻直接把.git扬了重新git init;多版本打包备份,避免出现不良commit后只能整个仓库重来(仅对于新手,老手建议遵照Git说明)。实操放在了AUR

4.审视接触的人
尽量识别危险人士,避免反目导致自己被开加信息三次转手到自己手里,或者被另一个危险人士连坐。(是的,我在说我自己。5月17日才知道K给了M信息,M给了L信息,L拿到了信息再用来威胁我,这种关系链我也是醉了。这个我也在我博客上提到过,不过只有一半。

5.谨慎交友
你对他掏心掏肺,对方有可能会把你做成夫妻肺片。以及,你怎么知道对方有啥事情呢,对吧,有些黑暗历史连某厂公关都没法查出来甚至还在去年邀请他举办了个活动,你又能如何通过推测推出来他有问题?

Section #4:如何增加难度?

1.随机非标准化密码管理加二次验证
说起来其实挺简单的,不同平台不同密码便是,只是每个网站都不能用同一种密码这个有点难受。其实用KeePass等密码管理工具就行。

2.二次验证
主要是保证你的密码被破解开后仍有空间保护你自己,但针对某些没有道德不听谏言甚至要求平台删帖且不提示的厂商和某些厂商共创,我个人认为不如刷机,尽早润了为好。

3.双社交平台并行,轻重分离
实际就是生活和学习/工作分离,使得对方即使能干涉你的生活,都不会干涉你的学习/工作,毕竟工作/学习机会难找,生活可以随意打碎重来。

4.放出一些需经过简单途径可获得的假信息
情报战也是该过程的一部分。这个我想应该很好理解吧。有一点需要记住,就是贬低自己永远比吹捧自己要好一些。

5.使用CTF中各方向解题步骤武装自己
我随便说一个得了。MISC方向的隐写比较适合用来武装,一些你需要链接的公开信息可以用隐写伪装,例如用GHex在图片末尾写上你的信息,或是用诸如PixelKnox的工具隐写东西。当然这些很容易被默认压图的平台破坏,所以你也可以在头像P上二维码去除四角或阿兹特克码去除中间的dock(实际上不去除也行)。
当然不排除其它方向也有工具可以拿来保护自己。

6.一平台功能分散至多平台或者干脆关闭
避免一个被破,绑在那个平台的隐私全被看光光,尤其是手机厂商的平台。如上所述,这类平台拥有对你手机的最高控制权限。(仅适用于中国大陆地区)在法律足够健全,很难见到偷盗事件的今天,有些时候关掉查找手机服务也不是不可以。例如我自己实际使用Google的查找手机服务,但实际上这种连接极度脆弱(到需每天重启网络服务)。

Section #5:需要注意什么?

1.昵称相似度
原因很简单,越相似越容易被关联。隔壁某个不知道怎么脱离性来描述的人那边还把 pio_wonster 和 piowonster1 跟 piowonster 混淆了呢。说起来,在错认这方面,某厂共创的跨友们算是重灾区,通知的话干脆放弃得了,反正说了也不会听。

2.灵堂号
这个我想我不需要多说,懂得都懂。
以我身边为例,xiaozhan.sb 就是我那反目的朋友做的,相应的同名GitHub号也是他的。

3.你自己的项目

4.你的朋友关系
你永远无法确定是谁背刺,我和岛主和笨蛋ovo甚至LSPosed某开发者都遇见过。唯一方法就是理逻辑链织成网向上追溯。

5.现存泄漏信息中的错误部分
它们可能是溯源突破口,结合社会工程学和各安全媒体追起来更快。

Section #6:如何降低盒影响?

首先,保持冷静:在手机实名化加贷款+86化的今天,拿泄漏信息撸贷的风险对其本身风险极大;器官捐献申请需要手机号验证(感谢2019年某些南佬把一些恶俗圈内用烂的事情摆在台面上倒逼平台封堵漏洞);短信轰炸相关API(本质上是各平台的注册/找回密码API集合)也不会放任被DDoS后DoS同一手机号……总之,泄漏的信息到现在作用已经极其有限。

第二,寻找错误同时报警。报警这个不用说,寻找错误这个拿岛主那边我的信息为例,对方搞错某信息了,但其它信息正确,这说明他们可能是从那个正确信息反推出来的错误信息。对外你可以当做是全部正确或是拿错误信息当梗玩。

第三,审视关系,看看自己惹过哪些人。当然,如果可以,直接用小号去对方群视奸摘取证据。

第四,整理成逻辑网,将猜想转换为固定证据。你拿到的截图证据也可以转换成文字填进图里。题图包含该元素,生成该网的软件是Maltego。

需注意,以上任何步骤均不可以使用非法数据辅助,原因是一旦你自己也用,任何的优势都不会在你身上了,你自己也会陷入到理亏当中。

Section #7:如何避免下一次?

很简单,哪里薄弱补哪里,顺便放点假消息。关系链开盒最好办法是筛选人士,使用Anti-Doxxing名义提前封禁前科人士。我个人倾向于Anti-Doxxing和Misc联盟分离管理,私人封禁直接用ban而非fban避免伤及其它群。

这个话题我将会以岛主和FlyOS为例,毕竟岛主是一步步作到完全失去圈内信用导致任何形式的澄清全部无效使得某些人可以随意炒作的人;FlyOS作者是我目前见到的因违反GPL v3和夸大宣传的被炒作的最为严重的人。

首先最不能干的事情,就是附和任何信息。它们的目的就是炒作让被攻击人失去现存声量使其最终成为dummy,而附和会让那些人确认自己方向正确。

第二,关注舆论,谨慎发声。SakuraiLH的崩塌源于被炒作所谓的“家里有权”;FlyOS的崩塌来源于被炒作其对于操作系统等概念本身的一知半解;岛主的崩塌来源于其对于舆论掌控程度的高估。记住,面对他们最不该干的就是恐吓,因为那些人平均学历根本不允许它们理解这种恐吓。

第三,完全打碎,重建体系。这时候圈内应该已经知道了你干过的事情和你没干过但被别人炒成了你干过的事情,但他们对目前所有的思想局限于你脑袋上挂着的昵称。你应该做的是尽量避开圈子,最极端的做法是只混外文非科技圈,等安全了再逐渐向中文机圈靠拢。圈内对你的热度会逐步降低,直到仅剩余几个与你相关的用于炒作的项目,如对应FlyOS的FuckOS。

第四,适时回去。这样的话基本没人会发现你了,除了某些情况你闹的事情实在太大,导致有人发现了你是承袭自另一个出名的人。

基本上到这里,你已经完成了对原先泄漏信息的脱离,虽然它们还在。

Section #8:其他想说的

1.对用户
希望你们永远也不会用到这个图文。

2.对社区声量较大的人,甚至社区环境维护者
放弃畸形的纠正手段。你们的行为最终会让整个社区的新人逃离,某个芋头就是个例子(模糊化描述是为了不让他跟我一样,并增加推断难度)。如果你试图靠润解决问题,我想那边的现状会狠狠地教育你。

我之前做过一个关于GPL遵守现状的问卷,截至图文完成,共收集了30份,如下为结果。

关于许可协议

遵循CC BY。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得UP主同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理: DMCA投诉/Report
赞 5
踩 1
评论
收藏
评论区
晓雾觉得你应该发点骚的
因为评论区空空如也