互聯網這個地方會不會很可怕?有各種各樣的威脅,潛伏在每個角落裡。更糟糕的是,昨天人們還普遍認為的一些能安全上網的建議現在已經不管用了——不要上不良網站,不要買被盜的或者非法的商品,隻和您認識的人打交道。欺騙家庭成員的釣魚電子郵件、合法應用程序被嵌入了間諜軟件、知名網站被惡意代碼劫持——數字安全領域顯然需要新規則來應對當今不斷變化的各種威脅。
想一想我們有多少數字生活都是在網上進行的,舉幾個例子,通信、金融交易、娛樂、工作、教育,等等,因此,即使很少的一些安全浏覽習慣也會讓您受益匪淺。這包括我們怎樣處理電子郵件消息,而電子郵件是利用攻擊工具和惡意軟件進行網絡攻擊最流行的載體。
在這裡,我們提供了關于安全上網的策略指南,簡要介紹了您應該怎樣做才能保護您在網絡上的數據和隐私,同時還能保持高效的上網。
了解您所面對的威脅
現在有這麼多的威脅向我們逼近,最嚴格的方法是把所有的東西都鎖起來,而難點是怎樣做好預防措施,同時還能高效地上網。例如,為避免惡意JavaScript,您隻需關閉浏覽器首選項中的JavaScript,但幾乎有一半的互聯網内容将無法使用。如果不啟用JavaScript,Gmail還能用嗎?這不太好。
我們以各自的方式上網,我們面臨的風險也大不相同,這取決于我們在哪裡、我們正在做什麼、甚至是什麼時候上網。安全研究人員的上網安全與我們普通人的完全不同,我們上網一般是收發電子郵件,使用社交網絡,或觀看網絡視頻。開發人員也不一樣,他們會下載新工具和頻繁訪問論壇,獲取建議。
基本上,您應該定期更新所有應用程序,而不僅僅是操作系統,而是每一個應用程序,特别是您的Web浏覽器。您還應該将浏覽器首選項切換到“點擊播放Flash”——如果您的浏覽器沒有自動設置好。您還應該停用ActiveX,卸載機器上的Java客戶端。除非您使用非常需要Java的客戶端應用程序,例如遊戲或者某些教育類産品,否則沒必要啟用Java。即使是主流的視頻會議應用也轉向了純HTML5。
你也應該考慮把地點和活動結合起來。例如,在公共無線網絡上進行的敏感交易可能會給您帶來麻煩。您最喜歡的咖啡店的公共Wi-Fi也不适合訪問網上銀行。即使您使用的是SSL連接,中間人也可能通過SSL發起攻擊。
一旦了解了這些基本常識,您應考慮您最擔心的危險是什麼,您要保護哪些資産,您經常與誰交流,您的數據存儲在哪裡,等等。下面,我們将幫助您打破這些顧慮,使您能夠在一定程度的威脅下安全的地上網——您上網時可以容忍的威脅等級。
威脅等級1:确定沒有惡意軟件
大多數人,特别是企業,都會不惜一切代價避免惡意軟件。兩個最常見的攻擊手段是下載惡意軟件的鍊接以及網站挂馬攻擊,隻要加載網頁,惡意軟件就會自動下載。可以在網頁、電子郵件或者即時消息中找到危險的鍊接。詐騙者經常使用社交網絡和URL短地址來傳播僞裝好的惡意鍊接,希望有人會點擊這些鍊接。
首要措施:不要點擊鍊接。這需要社會性的培訓,但是很難堅持,特别是考慮到我們發送的所有鍊接既有專業的也有個人的。對于經常和您聯系的人,如果他們打算向您發送鍊接,要求他們給您發送提醒通知——并且隻有在得到肯定答複後才能向您發送鍊接。或者,要求聯系人确認他們實際上是通過不同的渠道發送了鍊接。例如,給您的哥哥發個短信,問問從他帳戶發送的鍊接真的是他發的嗎。這樣做好像有些過了,但最近的假谷歌文檔騙局之所以得手,就是因為人們誤認為惡意文件來自他們信任的人。一定要自己輸入鍊接,如果有人向您發送一個鍊接,看起來像很酷的白皮書,那麼直接去文本源頭,自己在網站上找白皮書。
專業提示:設置您的浏覽器,使其詢問把文檔保存在哪裡,這樣您始終知道某些内容被下載到哪裡。挂馬式攻擊依賴于隐身,用戶甚至不知道發生了什麼。配置您的安全軟件,在下載時掃描所有文件。
威脅等級2:我也不喜歡間諜軟件
攻擊者想方設法地破壞您的浏覽器,找到各種信息。在這方面,不一定非要使用浏覽器插件。謹慎地使用它們,因為它們可能成為惡意軟件的載體。定期檢查浏覽器的擴展列表(Chrome的是chrome://extensions,Firefox的是about:addons),以查看是否有任何不熟悉或莫名其妙的内容。禁用那些看起來很可疑的東西,您就很少會出錯。還要小心嘗試欺騙您安裝浏覽器擴展的網頁,例如“點擊‘添加’以加速本網站”或者其他欺騙性的提示。
首要措施:要特别小心由個人開發的浏覽器插件,因為這些插件可能會訪問沒有HTTPS的站點。專家也會遇到麻煩:LastPass是使用最廣泛的密碼管理器的創建者,最近也不得不修複其浏覽器擴展中一些嚴重的漏洞。想一想,使用插件讓自己更方便一些,還是風險更大一些,特别是如果您覺得短時間内不會給自己帶來太大的好處。
專業提示:一定要考慮來源。如果您需要下載Flash或者AdobeReader,請從Adobe網站上獲取。不要從非關聯網站上下載這些工具,因為間諜軟件、廣告軟件和其他惡意文件很容易混在下載中。不要搜索“免費PDF轉換器”,也不要下載首先出現的内容。(你真的需要一個嗎?現在,Chrome能自動将頁面轉換為PDF,Office也會很好的支持PDF。)像PortableApps和Ninite這樣的項目提供了方便的方法,從信任的來源自動獲取和更新常見的開源軟件和免費的應用程序。
威脅等級3:任何時候都不要被跟蹤
以下情況會發生在我們所有人身上:在HomeDepot上浏覽查找地磚後,家庭裝修廣告就會在網上到處亂閃。廣告商通過Cookie跟蹤您上網,并根據您的活動投放廣告。但不僅僅是廣告。網站使用Cookie記住您的帳戶、密碼和浏覽記錄,并跟蹤您在網站上的活動。當您禁用和清除Cookie後,網絡犯罪分子就很難獲取您的個人數據。
首要措施:上網時使用私人浏覽或者無痕模式。在此,當您的會話結束時,Cookie和浏覽記錄不會被保留。您可以啟動無痕模式并粘貼到URL中(您确定不會提供給惡意軟件),導航到該頁面,确保您沒有被跟蹤。如果您想在Chrome上始終保持無痕浏覽模式,請在Chrome屬性中的目标命令的最後添加-incognito,每次啟動Chrome時,都将進入無痕模式。您可以通過about:config對Firefox進行同樣的配置。
專業提示:如果您想使用臉書、推特或者其他社交帳戶,但不希望每次都登錄,那麼請在Chrome、Firefox或者Safari中建立一個單獨的用戶配置文件,一個專為某社交網絡預留的用戶配置文件。在那裡登錄,而且隻在那裡登錄,在那裡使用它,也隻有在那裡。這将與該登錄相關聯的數據限制為隻有登錄所必須的那些數據。有的網站把社交網絡作為單點登錄提供商,這種方法也能夠避免這些網站跟蹤您,例如Spotify。
如果您很在意被跟蹤,您應該在您使用的每個浏覽器上啟用“不要跟蹤(DoNotTrack)”。DNT并不是強制執行的,它隻是告訴網站,不要跟蹤您。您的請求是否會被尊重,取決于您訪問的網站。很多網站并不嚴謹,不保證您訪問的網站會尊重您的請求,不過,提前明确您的偏好至少也不會有什麼壞處。
威脅等級4:别動我的信息
Cookie之所以是網絡犯罪分子的主要目标,是因為它們包含的信息,特别是電子郵件、帳戶名稱和密碼信息。即使是被隐藏起來,這些信息也可能會被惡意使用。跨網站腳本攻擊使用網頁上的JavaScript,從Cookie中提取用戶詳細信息和會話信息,利用這些信息在網上模仿您,跨網站請求僞造攻擊使用會話Cookie來僞造其他網站的請求。
首要措施:盡可能阻止Cookies。盡管阻止第一方和第三方Cookie,以及禁用會話Cookie也是不錯的措施,但會使電子郵件和社交網絡等基本的網絡浏覽幾乎無法使用。您應該至少阻止第三方Cookie,您應考慮定期删除浏覽器曆史記錄。
另外,不要讓浏覽器存儲密碼。這雖然很方便,但是很難保證存儲密碼的安全性。使用單獨的密碼管理器,例如,1Password或者KeePass。
專業提示:對于搜索,請使用DuckDuckGo等安全搜索引擎,它不會自動存儲計算機傳輸的信息,例如您的IP地址和其他數字身份信息。DuckDuckGo不能根據以前的搜索或者位置自動完成搜索查詢,但考慮到它也無法鍊接到您的搜索記錄,因此這也是值得的。
如果您不想把自己的信息洩露出去,那麼私人浏覽是您的朋友。如果沒有Cookie被保存,那也就沒什麼可竊取的。每次浏覽器會話後删除所有的Cookie,這是個好主意。每次新會話時,您都不得不登錄網站,因為他們不知道您是誰。這是建立不同用戶會話的另一個應用情形,您可以為特定登錄建立會話,并将該登錄的Cookie限制為僅在該用戶會話中。
雖然有些插件可能是危險的,但其他插件還是好的,例如Disconnect,它會阻止第三方跟蹤Cookie。擴展插件會阻止社交媒體帳戶跟蹤浏覽曆史記錄,并使用戶能夠控制網站上的腳本。另一個值得擁有的擴展是Ghostery,可以阻止常見的跟蹤腳本,如果需要的話,您的白名單網站可以參考這一擴展。
威脅等級5:不要對我進行網絡釣魚
網絡釣魚網站是設計用于竊取個人信息的欺詐性網站。這不限于電子郵件或者銀行網站的登錄憑據信息。網絡釣魚網站可以僞裝成比賽,并要求您提供SSN。網絡釣魚攻擊還能把受害者重定向到可下載惡意代碼的假冒網站,惡意軟件會收集您的敏感信息。我們看到潛在的網絡釣魚攻擊幾乎無處不在,因此,我們傾向于不要點擊任何鍊接。
首要措施:不要點擊在電子郵件中收到的鍊接,也不要打開附件,更不用說填寫您的敏感信息。聯邦快遞索賠表可能就是假的。拿起電話并緻電聯邦快遞,以确定發生了什麼。不要點擊電子郵件中的鍊接,例如,看起來好像是人力資源部門提醒您假期到期了。直接到人力資源網站看看出了什麼問題。輸入URL有助于避免一些欺騙手段,例如使用0(零)而不是O(字母),或者nn而不是m,或者類似paypal.someothersite這樣的地址。在浏覽器的地址欄中輸入公司網站受信任的URL,以避開電子郵件或者即時消息中的鍊接。
專業提示:僅在使用HTTPS的網站上提供個人信息。請記住,采用“讓我們加密”和其他免費SSL證書來源,僅采用挂鎖圖标已經不夠了。查找EV證書,那麼實體名稱應顯示在浏覽器欄中。電子前沿基金會的HTTPSEverywhere擴展也是一個很好的選擇,因為它強制網站通過HTTPS傳輸數據流。
威脅等級6:核保護如果您希望最大限度地
如果您收到商家的電子郵件,例如特價或者折扣,請查看是否有以文本方式而不是HTML方式發送電子郵件的選項。這樣更容易看出所給的鍊接中有什麼内容。
很難檢測出所有的網絡釣魚攻擊嘗試——有一些是非常高明的。确保您所有帳戶不會使用一個相同的密碼,這樣,即使一個賬戶被盜,其他賬戶也不會受損。使用密碼管理器為每個網站帳戶生成不同的密碼。把個人互聯網與工作互聯網分開,并且永遠不要使用工作地址來注冊網站。如果該帳戶被攻擊,您當然不希望這會引發對您工作地址的網絡釣魚攻擊。如果網站支持,則啟用雙重身份驗證,這樣,攻擊者很難使用盜取的憑據,特别是如果該網站是金融機構。保護自己,則需要建立有多個浏覽器和操作系統的系統,以便分開上網。您甚至可以考慮一系列的虛拟機來隔離威脅。
首要措施:使用不同的Web浏覽器進行不同的上網活動:有進行金融交易的浏覽器,而另一個用于通信,還有一個用于浏覽上網。這樣一來,如果攻擊者頻繁地在一個網絡論壇上攻擊您,他或者她就不能使用跨網站腳本來訪問網上銀行,因為不可能跳過浏覽器進行攻擊。臉書上的欺詐無法跳過去訪問亞馬遜。
對于非常敏感的網站——您帳戶的“皇冠寶石”,那麼該網站應采用專門的網絡浏覽器,并嚴格限制其配置。例如,隻有使用專用浏覽器才能訪問您的亞馬遜網絡服務控制面闆,意味着不會“意外”地浏覽其他網站(白名單僅限AWS,而阻止其他站點),也不會暴露您企業的整個雲基礎架構。打開所有安全選項以鎖定浏覽器。
專業提示:對于非常危險的、潛在有危險的或者非常敏感的站點,請考慮在多個虛拟機上分開上網活動。使用鎖定(最新)的浏覽器,在專用虛拟機上進行所有銀行業務。這避免了所有以銀行為目标的網絡攻擊,攻擊者會很難獲取您的銀行信息。
LinuxLiveCD是運行虛拟機的理想選擇——您甚至可以在虛拟機中運行LiveCD,盡可能提高安全性。Tails是非常精簡的Linux,它從USB上運行,可用于隐藏數字痕迹,因為它不會永久保存什麼。
收到的電子郵件的附件看起來有些可疑?那麼在虛拟機中打開它。如果它是惡意軟件,它隻會感染一個空虛拟機。當然,隻是因為VM中沒有發生任何事情,就認為以為一切正常?——惡意軟件可能被設計為不在虛拟機内執行。将該文件始終保留在虛拟機中,而不要放到主計算機中。
如果您想隐藏您的上網活動,請考慮Tor,它通過加密來隐藏您的身份,對傳輸數據進行加擾,在多個Tor節點之間路由數據流以掩蓋原始站點。由于您的數據流通過Tor随機服務器進行傳輸,那麼,數據不會與您的個人IP地址相綁定。
使用NoScript禁用Java、JavaScript、Flash和其他動态内容。這個選項會影響很多網站,但是它支持您手動授權内容,所以要仔細注意,确保惡意代碼不會被意外地批準運行。AdblockPlus阻止已知廣告和間諜軟件網站的彈出式窗口和其他内容。AdblockPlus創建阻止列表的方式是有問題的,因為廣告客戶可以付費被列入平台白名單,但如果目标是關閉彈出式廣告并阻止潛在的攻擊,這樣做就可以了。
另一種方法是禁用JavaScript并阻止浏覽器本身的彈出窗口。默認情況下,大多數浏覽器會自動阻止彈出窗口,但默認情況下會啟用JavaScript,因為它使用的非常廣泛。
注意安全
要想安全上網,既要有技術和安全意識,還要願意經受磨煉。現在的浏覽器提供了很多保護措施,包括能夠禁用插件和打開反網絡釣魚機制等。隻要啟用這些功能,保證基本的安全環境,例如更新所有軟件等,基本的上網安全就能夠唾手可得。
但是,現在比以往更容易感染惡意軟件或者被網絡釣魚攻擊。有時隻是因為在錯誤的時間去了錯誤的地方。但是,一旦您知道最擔心的是什麼,知道自己對風險的承受能力,那麼就可以設定一個合理的安全方案來滿足需要,讓自己安全高效地上網。
原文網址:http://www.csoonline/article/3197684/internet/the-modern-guide-tostaying-safe-online.html