PAR Wang Yishi

J'ai déjà écrit un article et partagé quelques conseils sur la protection de la vie privée.

Les temps ont changé et de nouvelles méthodes d'attaque apparaissent les unes après les autres, notamment dans le secteur de la cryptographie. Un peu d'imprudence peut conduire à la faillite.

En fait, il n’existe pas de solution miracle qui puisse résister à toutes les attaques. La clé est de construire votre propre « système de défense ». En d’autres termes, vous devez penser à vous-même.

  • Qui pourrait être attaqué ?

  • que veulent-ils en retirer

  • Quelle méthode vont-ils utiliser

Et, en supposant que l'attaque ait eu lieu, pouvez-vous supporter la perte ? Si vous ne pouvez pas la supporter, comment diversifier les risques ?

  • La plupart des attaques sont « aveugles ». Les pirates informatiques ratissent large et ceux qui le souhaitent mordront à l'hameçon. Tant que vous prendrez les précautions normales, tout ira bien.

  • Il existe également des attaques très ciblées. Par divers moyens artificiels (informations KYC sur les transactions sur le dark web et enregistrements de commerce électronique), les pirates peuvent facilement obtenir les adresses de votre domicile et de votre entreprise pour commettre davantage de crimes. Pour prévenir de telles attaques, vous devez sacrifier une stratégie plus réfléchie. .

Ce n'est que lorsque le « système de défense » est bien construit que l'on peut rester calme en période de troubles et minimiser les principaux risques.

Voici quelques-unes de mes défenses communes :

1) Utilisez un moteur de recherche protégeant la confidentialité

Les avantages du passage de la recherche Google à DuckDuckGo ou Startpage sont clairs car ils peuvent :

  • Supprimez votre adresse IP des communications

  • Restez anonyme lorsque vous parcourez le contenu Web

  • Empêcher les systèmes publicitaires tiers de suivre vos informations personnelles

  • Empêcher le profilage basé sur votre activité personnelle en ligne

Je ne retourne sur Google que lorsque je ne trouve pas ce que je cherche.

2) Chiffrez vos données

Si vous êtes indissociable des disques réseau tels que iCloud, Google Drive et DropBox, vous devez alors vous préparer à la possibilité que vos données soient un jour piratées. Même si les grandes entreprises investissent beaucoup d’argent dans le chiffrement et la sécurité des données, on ne peut toujours pas le nier :

Tant que les données se trouvent toujours sur le serveur de l’autre partie, elles sont hors de votre contrôle.

La plupart des fournisseurs de stockage cloud chiffrent uniquement les données pendant la transmission ou conservent eux-mêmes les clés de décryptage. Ces clés peuvent être volées, copiées ou utilisées à mauvais escient. Soyez donc prudent et utilisez des outils open source et gratuits comme Cryptomator pour crypter vos données.

De cette façon, même si le fournisseur de services de disque réseau est piraté, vos données seront probablement toujours en sécurité.

3) Méthode de saisie

J'ai déjà dit qu'il est préférable de n'utiliser aucune méthode de saisie tierce, mais uniquement celle fournie avec le système.

Maintenant, je souhaite ajouter une option, à savoir "rat pipe", qui présente de nombreux avantages :

  • Excellentes performances et faible utilisation des ressources

  • Il est rare que la page se fige lors de la saisie du premier mot.

  • Entièrement open source, pas de portes dérobées, pas de contenu téléchargé

  • Les caractères chinois traditionnels sont puissants

  • Degré extrêmement élevé de liberté de personnalisation

J'utilise actuellement la configuration Shuangpin de placeless, ce que je pense plutôt bien. Si vous êtes un utilisateur de Shuangpin, vous pouvez essayer sa configuration.

4) Accédez uniquement aux sites Web HTTPS

  • Installez le plugin HTTPS-EVERYWHERE.

  • Il active automatiquement la protection par cryptage HTTPS pour l'accès à toutes les parties connues du site Web prises en charge, empêchant ainsi les informations avec lesquelles vous interagissez avec le site Web d'être écoutées ou falsifiées.

  • Lors de l'accès au site Internet, s'il est transmis en texte clair, il y aura un rappel clair.

5) Utilisez Google Drive pour ouvrir les pièces jointes suspectes

Vous recevez souvent divers e-mails contenant des pièces jointes. Bien que les fournisseurs de services de messagerie pré-analysent et bloquent le contenu suspect, de nombreuses pièces jointes sont bien déguisées et leur téléchargement local est risqué.

Dans ce cas, je recommande de le prévisualiser directement sur la page Web ou de l'enregistrer dans un dossier temporaire Google Drive, ce qui peut isoler efficacement le virus.

6) Les plateformes de niche peuvent augmenter considérablement les possibilités de lutte contre les virus et les chevaux de Troie

Réfléchissez à cette question : si vous étiez un hacker et que vous deviez développer un virus (cheval de Troie) pour gagner de l'argent, quelle plateforme choisiriez-vous de cibler ?

Il s’agit évidemment d’une plateforme avec une base d’utilisateurs plus large.

Les plates-formes suivantes ont des bases d'utilisateurs plus petites que Windows.

Bien qu’ils ne soient pas significativement plus sécurisés que Windows, ils présentent beaucoup moins de risques.

  • macOS

  • Chrome OS

  • Ubuntu

  • Feutre

  • Debian

  • Autres distributions Linux

7) Rédigez soigneusement les problèmes de sécurité

  • "Quel est le nom de ton université ?"

  • "Qui est ta petite amie ?"

  • "Quel est ton groupe préféré ?"

Ne renseignez pas honnêtement les informations réelles, car vos informations sont archivées sur un grand nombre de plateformes sociales et peuvent facilement faire l’objet d’une ingénierie sociale, ce qui donnera une opportunité aux pirates.

Au lieu de cela, il est beaucoup plus sûr d'utiliser des mots de passe aléatoires générés par votre logiciel de gestion de mots de passe comme réponse à ces questions de sécurité.

8) Ne vous connectez pas à votre compte principal sur un appareil temporaire

Les comptes principaux font référence à vos comptes principaux tels que Google, Apple, etc., qui sont liés à un ensemble d'appareils, de cartes de crédit, de mots de passe, etc.

Pour plus de commodité, les sociétés Internet stockent généralement les cookies de session localement dans votre navigateur. Une fois ce cookie volé, les pirates peuvent même contourner le 2FA de la plateforme et d'autres vérifications. Dans ce cas, tout 2FA est inutile.

9) Confirmez toujours deux fois

  • La mémoire n'est pas fiable

  • Vérifiez que l'adresse du portefeuille est complète, pas seulement les premiers/derniers chiffres

L’année dernière, je me suis connecté à un échange que je n’utilisais pas fréquemment pour éliminer certaines pièces cassées.

Lorsque je retirais des pièces, j’en ai vu quelques-unes familières dans le carnet d’adresses, mais je ne me souvenais pas de la date à laquelle elles avaient été créées.

Comme je ne disposais que de quelques dixièmes de bitcoin, je l’ai transféré directement, mais je n’ai pas retrouvé par la suite la clé privée correspondant à cette adresse.

Je le regrette un peu. Si je l'avais confirmé une fois de plus, je n'aurais pas commis une erreur aussi stupide.

10) Effacez toutes les données du disque avant de vendre du matériel d'occasion

Deux outils sont recommandés :

  • La botte et l'arme nucléaire de Darik

  • Effaceur permanent

Le premier peut effacer complètement le disque dur.

Cette dernière peut remplacer l'opération « Vider la corbeille en toute sécurité ». Chaque opération peut écraser l'espace de stockage du fichier 35 fois, ce qui rend sa récupération fondamentalement difficile.

11) Téléchargez le portefeuille uniquement depuis le site officiel

Récemment, j'ai rencontré de nombreux utilisateurs qui ont téléchargé des portefeuilles « reconditionnés » par des pirates. Android est le plus durement touché car de nombreux portefeuilles proposent des méthodes d'installation d'APK et il est difficile de distinguer l'authenticité des faux.

Je vous recommande de vérifier le site officiel du produit avant de télécharger un portefeuille. Sinon, la chaîne de confiance sur Twitter peut également vous aider à confirmer l'authenticité du site officiel.

Ne cliquez pas sur des liens provenant de sources inconnues et ne téléchargez pas directement les packages d'installation à partir de ces liens.

Deuxièmement, pour les projets open source, il est plus sûr de télécharger à partir de la version du référentiel open source officiel Github, de vérifier le commit et de relire la signature. Cela peut essentiellement garantir que le package d'installation que vous téléchargez est le code correspondant au référentiel actuel. , ce qui est très sûr.

12) Distinguer les faux contrats

  • Confirmez l'authenticité des contrats de devises provenant d'au moins 2 sources. Rainbow et OneKey disposent tous deux de plusieurs mécanismes de vérification à partir de plusieurs listes de jetons.

  • Le nombre de fans sur Twitter n'est pas fiable. Les chaînes de suivi et de confiance sont plus pratiques. Méfiez-vous des faux tweets qui tentent de vendre des chiens au détriment des autres. Les adresses contractuelles trouvées sur CGK et CMC sont généralement plus fiables.

13) Utilisez un portefeuille matériel entièrement open source

  • Les meilleurs portefeuilles matériels sont Ledger, OneKey et Trezor

  • Parmi eux, OneKey et Trezor sont entièrement open source.

  • Si vous souhaitez travailler avec votre téléphone et être open source, alors OneKey

  • Cette équipe a reçu 20 millions de dollars d'investissement de Coinbase et d'autres institutions

  • Et tout le code est open source sur Github, vous n'avez donc pas à vous soucier des portes dérobées.

  • Le support des chaînes est très rapide, en gros, 2 à 3 nouvelles chaînes publiques seront ajoutées chaque mois, ce qui est le plus complet.

  • Quelques centaines de yuans, très rentables, lien d'achat.

14) Utilisez des systèmes d’exploitation et des appareils plus sécurisés

Purism a été fondé par Todd Weaver en 2014. La principale raison pour laquelle il a créé Purism était de supprimer le moteur de gestion d'Intel des ordinateurs portables. L'Electronic Frontier Foundation (EFF), le développeur de Libreboot et expert en sécurité, Damien Zammit, a critiqué les critiques : "ME Il y a des portes dérobées et des problèmes de confidentialité. "

Étant donné que ME a accès à la mémoire et à un accès complet à la pile TCP/IP, il peut envoyer et recevoir des paquets réseau de manière indépendante, en contournant les pare-feu.

Les avantages du purisme sont évidents :

  • Les caméras, le WiFi, le Bluetooth et les réseaux cellulaires disposent tous de commutateurs matériels indépendants qui peuvent être complètement désactivés en cas de besoin.

  • PureOS est simple et facile à utiliser (c'est une distribution Linux gratuite basée sur Debian)

  • Intel ME désactivé

Dans l’ensemble, si vous souhaitez essayer Linux et disposer d’un ordinateur qui fonctionne immédiatement, essayez Purism.

Un moyen moins coûteux consiste à exécuter Whonix (avec VituralBox) sur votre ordinateur actuel.

Whonix est également un système Linux axé sur la confidentialité et la sécurité. Il est entièrement gratuit et open source et présente plusieurs avantages :

  • Fonctionne de manière stable depuis 10 ans

  • Masquer l'adresse IP

  • Masquer l'identité de l'utilisateur

  • Ne consigner aucune information

  • Antivirus

Si vous êtes intéressé, vous pouvez l'essayer.

Il existe d’autres méthodes de défense sur lesquelles je n’entrerai pas dans les détails. J’espère que vous pourrez protéger votre vie privée et votre sécurité.