FTX:安全上网指南 一览 14 项安全防御手段_ENDCEX

撰文:王一石

两年前我写过一篇文章,分享了一些保护个人隐私的技巧。

时过境迁,新的攻击手段层出不穷,尤其在 Crypto 行业,稍有不慎、倾家荡产。

事实上,没有什么银弹能抵御所有攻击,问题关键在于构建自己的「防御系统」,也就是说,你应当思考自己

可能被哪些人攻击

他们想要从中获取什么

他们会用什么样的方式

并且,假设攻击已经发生,自己是不是能承担损失;如果承担不了,应当如何分散风险。

大部分攻击都是「无差别」的,黑客广撒网,愿者上钩,这种只要正常防范就好。

也有针对性非常强的攻击,通过各种攻击手段(暗网交易 KYC 信息和电商记录),黑客很容易获得你的家庭和公司地址,从而进一步实施犯罪,要防范这种攻击,必须祭上更周密的策略。

只有「防御系统」构建好,你才能遇事不乱,把核心风险降到最低。

以下是我常用的一些防御手段:

不再使用 Google 搜索,转而使用 DuckDuckGo 或 Startpage,好处显而易见,因为它们能:

Fedi CEO:到年底,比特币作为最有效、最安全解决方案的潜力将愈发凸显:5月21日消息,Fedi首席执行官兼联合创始人Obi Nwosu在迈阿密比特币大会上接受采访时表示,比特币拥有“最快、最便宜、最简单、最去中心化和最安全”的生态系统,这一点“越来越难以否认”。他预计,到年底,这一点将变得更加明显。Nwosu表示,无论目标是开发功能、建立去中心化的社交媒体网络,还是赋予当地社区权力,比特币是最有效、最安全的解决方案,这一点正变得“越来越明显”。然而,他认为除了比特币之外,还有其他加密货币的发展空间。他设想了一个“多币未来”,并将其与音乐的进化相比较。[2023/5/21 15:16:47]

在通信中移除你的 IP 地址

在浏览网页内容时持续保持匿名状态

阻止第三方广告系统追踪你的个人信息

阻止基于你的个人网络活动构建用户画像

我只有在找不到想要内容的时候才会用回 Google。

如果你已经离不开诸如 iCloud、Google Drive、DropBox 这样的网盘,那你就要做好自己的数据有一天被 Hack 的觉悟。虽然大型企业会在加密、数据安全上投入大量预算,但你依然不能否认:

安全公司警告用户警惕新的MetaMask相关网络钓鱼活动:8月1日消息,网络安全公司Halborn对针对加密钱包MetaMask用户的新网络钓鱼活动发出警告,称其在今年7月下旬收到MetaMask相关钓鱼邮件,该邮件看起来很真实,带有MetaMask标题和徽标,以及告诉用户遵守KYC规定以及如何验证他们的钱包的消息。但如果仔细观察一些拼写错误和发件人的电子邮件地址,就会发现他们的电子邮件地址使用Metamaks而非Metamask。点击邮件内的“行动呼吁”按钮,会链接到现一个指向虚假网站,该链接会提示用户输入助记词,然后再重定向到MetaMask以清空他们的加密钱包。(Cointelegraph)[2022/8/1 2:51:25]

只要数据还在对方服务器上,那么它实际上已经脱离了你的控制。

大多数网盘提供商仅在传输过程中加密数据,或者他们自己保留用于解密的密钥。这些密钥有可能被盗、复制或滥用。因此,给自己留个心眼,用 Cryptomator 这样开源、免费的工具来加密数据。

这样即便网盘服务商被 Hack,你的数据大概率还是安全的。

我之前说过,最好不要用任何第三方输入法,而只使用系统自带的。

慢雾:2021年上半年共发生78起区块链安全事件,总损失金额超17亿美元:据慢雾区块链被黑事件档案库统计,2021年上半年,整个区块链生态共发生78起较为著名的安全事件,涉及DeFi安全50起、钱包安全2起,公链安全3起,交易所安全6起,其他安全相关17起,其中以太坊上27起,币安智能链(BSC)上22起,Polygon上2起,火币生态链(HECO)、波卡生态、EOS上各1起,总损失金额超17亿美元(按事件发生时币价计算)。

经慢雾AML对涉事资金追踪分析发现,约60%的资金被攻击者转入混币平台,约30%的资金被转入交易所。慢雾安全团队在此建议,用户应增强安全意识,提高警惕,选择经过安全审计的可靠项目参与;项目方应不断提升自身的安全系数,通过专业安全审计机构的审计后才上线,避免损失;各交易所应加大反监管力度,进一步打击利用加密资产交易的等违规行为。[2021/7/1 0:20:42]

现在我要增加一个选项,那就是「鼠鬚管」,它有许多优点:

性能优秀、占用资源少

极少出现敲第一个字的时候页面卡钝的情况

全开源、无后门、不会上传内容

CertiK商务总监昊昂:安全不应该是一种选择,而应该是一种必需品:10月28日,CertiK商务总监昊昂在“了不起的社区2.0 黎明先行者” 上海站活动中表示:安全对于区块链领域来说是重中之重。CertiK针对DeFi市场,发布了一系列链上安全服务:包括链上交易实时防护的安全预言机以及灵活的去中心化保险机制CertiKShield等等。

CertiK主网现已上线,给予区块链系统多方面安全解决方案。

据悉,了不起的社区是区块链行业中以社区为垂直领域的线下资源对接会,上海站是由BKEX冠名、哼哈互动、金色财经、蜂巢财经共同主办。之前已在深圳、杭州、郑州、厦门等城市举办。[2020/10/29]

繁体字强大

极高的定制自由度

我现在使用的是 placeless 的双拼配置,觉得还不错,如果你是双拼用户,可以试试他的配置。

安装 HTTPS-EVERYWHERE 这个插件。

它可以自动为访问网站的所有已知受支持部分,激活 HTTPS 加密保护,防止你跟网站的交互的信息被窃听或篡改。

访问网站时,如果是明文传输,会有明确提醒。

动态 | 工信部定性非法“挖矿”:严重威胁互联网网络安全:根据证券日报报道,工信部官网发布《2018年第二季度网络安全威胁态势分析与工作综述》,指出非法“挖矿”严重威胁互联网网络安全,工信部将组织各相关单位开展木马僵尸、病、移动恶意程序等相关恶意程序的专项治理工作。此外,多家互联网企业和网络安全企业分析认为,非法“挖矿”已成为严重的网络安全问题。[2018/9/5]

你经常会收到各种带有附件的邮件,虽然邮件服务商会预先扫描并阻拦可疑内容,但很多附件伪装精妙,下载到本地是有风险的。

这种情况下,我建议直接在网页中预览,或者存储到临时的 Google Drive 文件夹中预览,这能有效隔离病。

思考这样一个问题:如果你是黑客,准备开发一个病(木马)来获利,你会选择针对那个哪个平台?

显然是用户基数更大的平台。

相比 Windows,以下平台的用户基数更少。

虽然它们并不显著比 Windows 安全,但面临的风险要小得多。

macOS

ChromeOS

Ubuntu

Fedora

Debian

其他 Linux 发行版本

「你的大学名字是什么?」

「你的女朋友是谁?」

「你最喜欢哪个乐队?」

不要再老实地把真实信息填上去,因为你的信息在大量社交平台上都有存档,很容易被社工,这会给黑客可乘之机。

取而代之,用密码管理软件生成的随机密码作为这些安全问题的答案,这样就安全多了。

核心账户指的是你的 Google、Apple 等等主力账户,它们绑定了一堆设备、信用卡、密码等等。

互联网公司为了方便,通常会在你的浏览器本地存储 Session Cookie ,一旦这个 Cookie 被窃取,黑客甚至可以绕过平台的 2FA 等校验,这种情况下,什么 2FA 都没用。

记忆不可靠

核对钱包地址要完整,不能只核对前 / 后几位数

我去年登录一个不常用的交易所,准备清理一些碎币。

提币时看到地址薄有几个眼熟的,但一时想不起来是什么时候创建。

因为只有零点几个比特币,就直接转了,事后却怎么也找不到那个地址对应的私匙。

有点后悔,如果当时多确认一次,就不会犯这种低级错误。

推荐两个工具:

Darik’s Boot and Nuke

Permanent Eraser

前者可以彻底清空硬盘。

后者可以替代”安全清倒废纸篓“的操作,每次操作能覆盖文件存储空间 35 次,基本很难恢复。

最近遇到非常多用户下载了被黑客「二次打包」的钱包,安卓是重灾区,因为很多钱包都提供 APK 的安装方式,真假难辨。

我建议下载任何钱包前,先核对一下产品的官网,如果没有,推特上的信任链也能帮助你确认官网的真实性。

不要点来路不明的链接,更不要直接去下载这些链接中的安装包。

其次,对于开源项目,从官方开源 Github 仓库的 Release 中下载,检查 Commit,并校对签名是更保险的方式,基本可以保证你下载的安装包,就是当前仓库对应的代码,非常安全。

从至少 2 个信源上确认币种合约的真实性,Rainbow 和 OneKey 都有从多个 Tokenlist 多重校验的机制

Twitter 粉丝数不可信,关注和信任链更实用,要警惕挂羊头卖狗肉的假推号,从 CGK 和 CMC 找到的合约地址通常更可靠

硬件钱包做的最好的就是 Ledger、OneKey 和 Trezor

其中彻底开源的是 OneKey 和 Trezor

如果想要配合手机使用且开源,那么就是 OneKey

这家团队拿了 Coinbase 等机构 2000 万美元的投资

并将全部代码开源在 Github,不用担心后门

支持链的非常快,基本每个月都会新增 2-3 条新的公链,最多最全

几百块,性价比很高,购买链接 。

Purism 由 Todd Weaver 创建于 2014 年,他创建 Purism 最大的起因就是想从笔记本中删除英特尔的管理引擎,电子前沿基金会 (EFF)、Libreboot 开发人员和安全专家 Damien Zammit 就批评者指责过:「 ME 存在后门和隐私问题」。

因为 ME 可以访问内存,并且可以完全访问 TCP/IP 堆栈,独立发送和接收网络数据包,绕过防火墙。

Purism 的好处显而易见:

摄像头、WiFi、蓝牙、蜂窝网络这些都有独立的硬件开关,可在需要时彻底关闭

PureOS 简单好用(它是基于 Debian 的免费 Linux 发行版)

禁用了英特尔 ME

总之,如果你想试试 Linux 系统,希望有一个开箱即用的电脑,可以试试 Purism。

一个成本更低的方式是在你当前电脑中运行 Whonix(搭配 VituralBox)。

Whonix 同样是一个以注重隐私和安全的 Linux 系统,它完全免费且开源,有几个优点:

已经稳定运行 10 年

隐藏 IP 地址

隐藏使用者身份

不记录任何信息

防病

感兴趣可试试。

还有其他防御手段不再赘述,希望大家可以保护好自己的隐私和安全。

王一石

个人专栏

阅读更多

金色财经

CertiK中文社区

虎嗅科技

区块律动BlockBeats

web3中文

深潮TechFlow

念青

DeFi之道

CT中文

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

芝麻开门交易所PTI:Layer2代币经济学:除了治理 还应该具备什么价值?_Space Misfits

作者:Michael Nadeau 来源:The DeFi Report 任何在2021年期间使用以太坊的人都知道,该区块链可能会变得非常拥堵。这是一个典型的问题——需求太多而供应不足。因此,gas费用(交易费)变得相当昂贵。在牛市高峰期,使用以太坊区块链发送一笔交易需要花费近200美元。这是不可扩展的。但它告诉我们一些事情。

[0:0ms0-5:228ms