安全上网的最新指南
互联网这个地方会不会很可怕?有各种各样的威胁,潜伏在每个角落里。更糟糕的是,昨天人们还普遍认为的一些能安全上网的建议现在已经不管用了——不要上不良网站,不要买被盗的或者非法的商品,只和您认识的人打交道。欺骗家庭成员的钓鱼电子邮件、合法应用程序被嵌入了间谍软件、知名网站被恶意代码劫持——数字安全领域显然需要新规则来应对当今不断变化的各种威胁。
想一想我们有多少数字生活都是在网上进行的,举几个例子,通信、金融交易、娱乐、工作、教育,等等,因此,即使很少的一些安全浏览习惯也会让您受益匪浅。这包括我们怎样处理电子邮件消息,而电子邮件是利用攻击工具和恶意软件进行网络攻击最流行的载体。
在这里,我们提供了关于安全上网的策略指南,简要介绍了您应该怎样做才能保护您在网络上的数据和隐私,同时还能保持高效的上网。
了解您所面对的威胁
现在有这么多的威胁向我们逼近,最严格的方法是把所有的东西都锁起来,而难点是怎样做好预防措施,同时还能高效地上网。例如,为避免恶意JavaScript,您只需关闭浏览器首选项中的JavaScript,但几乎有一半的互联网内容将无法使用。如果不启用JavaScript,Gmail还能用吗?这不太好。
我们以各自的方式上网,我们面临的风险也大不相同,这取决于我们在哪里、我们正在做什么、甚至是什么时候上网。安全研究人员的上网安全与我们普通人的完全不同,我们上网一般是收发电子邮件,使用社交网络,或观看网络视频。开发人员也不一样,他们会下载新工具和频繁访问论坛,获取建议。
基本上,您应该定期更新所有应用程序,而不仅仅是操作系统,而是每一个应用程序,特别是您的Web浏览器。您还应该将浏览器首选项切换到“点击播放Flash”——如果您的浏览器没有自动设置好。您还应该停用ActiveX,卸载机器上的Java客户端。除非您使用非常需要Java的客户端应用程序,例如游戏或者某些教育类产品,否则没必要启用Java。即使是主流的视频会议应用也转向了纯HTML5。
你也应该考虑把地点和活动结合起来。例如,在公共无线网络上进行的敏感交易可能会给您带来麻烦。您最喜欢的咖啡店的公共Wi-Fi也不适合访问网上银行。即使您使用的是SSL连接,中间人也可能通过SSL发起攻击。
一旦了解了这些基本常识,您应考虑您最担心的危险是什么,您要保护哪些资产,您经常与谁交流,您的数据存储在哪里,等等。下面,我们将帮助您打破这些顾虑,使您能够在一定程度的威胁下安全的地上网——您上网时可以容忍的威胁等级。
威胁等级1:确定没有恶意软件
大多数人,特别是企业,都会不惜一切代价避免恶意软件。两个最常见的攻击手段是下载恶意软件的链接以及网站挂马攻击,只要加载网页,恶意软件就会自动下载。可以在网页、电子邮件或者即时消息中找到危险的链接。诈骗者经常使用社交网络和URL短地址来传播伪装好的恶意链接,希望有人会点击这些链接。
首要措施:不要点击链接。这需要社会性的培训,但是很难坚持,特别是考虑到我们发送的所有链接既有专业的也有个人的。对于经常和您联系的人,如果他们打算向您发送链接,要求他们给您发送提醒通知——并且只有在得到肯定答复后才能向您发送链接。或者,要求联系人确认他们实际上是通过不同的渠道发送了链接。例如,给您的哥哥发个短信,问问从他帐户发送的链接真的是他发的吗。这样做好像有些过了,但最近的假谷歌文档骗局之所以得手,就是因为人们误认为恶意文件来自他们信任的人。一定要自己输入链接,如果有人向您发送一个链接,看起来像很酷的白皮书,那么直接去文本源头,自己在网站上找白皮书。
专业提示:设置您的浏览器,使其询问把文档保存在哪里,这样您始终知道某些内容被下载到哪里。挂马式攻击依赖于隐身,用户甚至不知道发生了什么。配置您的安全软件,在下载时扫描所有文件。
威胁等级2:我也不喜欢间谍软件
攻击者想方设法地破坏您的浏览器,找到各种信息。在这方面,不一定非要使用浏览器插件。谨慎地使用它们,因为它们可能成为恶意软件的载体。定期检查浏览器的扩展列表(Chrome的 是chrome:// extensions,Firefox的 是about:addons),以查看是否有任何不熟悉或莫名其妙的内容。禁用那些看起来很可疑的东西,您就很少会出错。还要小心尝试欺骗您安装浏览器扩展的网页,例如“点击‘添加’以加速本网站”或者其他欺骗性的提示。
首要措施:要特别小心由个人开发的浏览器插件,因为这些插件可能会访问没有HTTPS的站点。专家也会遇到麻烦:LastPass是使用最广泛的密码管理器的创建者,最近也不得不修复其浏览器扩展中一些严重的漏洞。想一想,使用插件让自己更方便一些,还是风险更大一些,特别是如果您觉得短时间内不会给自己带来太大的好处。
专业提示:一定要考虑来源。如果您需要下载Flash或者Adobe Reader,请从Adobe网站上获取。不要从非关联网站上下载这些工具,因为间谍软件、广告软件和其他恶意文件很容易混在下载中。不要搜索“免费PDF转换器”,也不要下载首先出现的内容。(你真的需要一个吗?现在,Chrome能自动将页面转换为PDF,Office也会很好的支持PDF。)像PortableApps.com和Ninite这样的项目提供了方便的方法,从信任的来源自动获取和更新常见的开源软件和免费的应用程序。
威胁等级3:任何时候都不要被跟踪
以下情况会发生在我们所有人身上:在HomeDepot. com上浏览查找地砖后,家庭装修广告就会在网上到处乱闪。广告商通过Cookie跟踪您上网,并根据您的活动投放广告。但不仅仅是广告。网站使用Cookie记住您的帐户、密码和浏览记录,并跟踪您在网站上的活动。当您禁用和清除Cookie后,网络犯罪分子就很难获取您的个人数据。
首要措施:上网时使用私人浏览或者无痕模式。在此,当您的会话结束时,Cookie和浏览记录不会被保留。您可以启动无痕模式并粘贴到URL中(您确定不会提供给恶意软件),导航到该页面,确保您没有被跟踪。如果您想在Chrome上始终保持无痕浏览模式,请在Chrome属性中的目标命令的最后添加-incognito,每次启动Chrome时,都将进入无痕模式。您可以通过about:config对Firefox进行同样的配置。
专业提示:如果您想使用脸书、推特或者其他社交帐户,但不希望每次都登录,那么请在Chrome、Firefox或者Safari中建立一个单独的用户配置文件,一个专为某社交网络预留的用户配置文件。在那里登录,而且只在那里登录,在那里使用它,也只有在那里。这将与该登录相关联的数据限制为只有登录所必须的那些数据。有的网站把社交网络作为单点登录提供商,这种方法也能够避免这些网站跟踪您,例如Spotify。
如果您很在意被跟踪,您应该在您使用的每个浏览器上启用“不要跟踪(Do Not Track)”。DNT并不是强制执行的,它只是告诉网站,不要跟踪您。您的请求是否会被尊重,取决于您访问的网站。很多网站并不严谨,不保证您访问的网站会尊重您的请求,不过,提前明确您的偏好至少也不会有什么坏处。
威胁等级4:别动我的信息
Cookie之所以是网络犯罪分子的主要目标,是因为它们包含的信息,特别是电子邮件、帐户名称和密码信息。即使是被隐藏起来,这些信息也可能会被恶意使用。跨网站脚本攻击使用网页上的JavaScript,从Cookie中提取用户详细信息和会话信息,利用这些信息在网上模仿您,跨网站请求伪造攻击使用会话Cookie来伪造其他网站的请求。
首要措施:尽可能阻止Cookies。尽管阻止第一方和第三方Cookie,以及禁用会话Cookie也是不错的措施,但会使电子邮件和社交网络等基本的网络浏览几乎无法使用。您应该至少阻止第三方Cookie,您应考虑定期删除浏览器历史记录。
另外,不要让浏览器存储密码。这虽然很方便,但是很难保证存储密码的安全性。使用单独的密码管理器,例如,1Password或者KeePass。
专业提示:对于搜索,请使用DuckDuckGo等安全搜索引擎,它不会自动存储计算机传输的信息,例如您的IP地址和其他数字身份信息。DuckDuckGo不能根据以前的搜索或者位置自动完成搜索查询,但考虑到它也无法链接到您的搜索记录,因此这也是值得的。
如果您不想把自己的信息泄露出去,那么私人浏览是您的朋友。如果没有Cookie被保存,那也就没什么可窃取的。每次浏览器会话后删除所有的Cookie,这是个好主意。每次新会话时,您都不得不登录网站,因为他们不知道您是谁。这是建立不同用户会话的另一个应用情形,您可以为特定登录建立会话,并将该登录的Cookie限制为仅在该用户会话中。
虽然有些插件可能是危险的,但其他插件还是好的,例如Disconnect,它会阻止第三方跟踪Cookie。扩展插件会阻止社交媒体帐户跟踪浏览历史记录,并使用户能够控制网站上的脚本。另一个值得拥有的扩展是Ghostery,可以阻止常见的跟踪脚本,如果需要的话,您的白名单网站可以参考这一扩展。
威胁等级5:不要对我进行网络钓鱼
网络钓鱼网站是设计用于窃取个人信息的欺诈性网站。这不限于电子邮件或者银行网站的登录凭据信息。网络钓鱼网站可以伪装成比赛,并要求您提供SSN。网络钓鱼攻击还能把受害者重定向到可下载恶意代码的假冒网站,恶意软件会收集您的敏感信息。我们看到潜在的网络钓鱼攻击几乎无处不在,因此,我们倾向于不要点击任何链接。
首要措施:不要点击在电子邮件中收到的链接,也不要打开附件,更不用说填写您的敏感信息。联邦快递索赔表可能就是假的。拿起电话并致电联邦快递,以确定发生了什么。不要点击电子邮件中的链接,例如,看起来好像是人力资源部门提醒您假期到期了。直接到人力资源网站看看出了什么问题。输入URL有助于避免一些欺骗手段,例如使用0(零)而不是O(字母),或者nn而不是m,或者类似paypal.com.someothersite. com这样的地址。在浏览器的地址栏中输入公司网站受信任的URL,以避开电子邮件或者即时消息中的链接。
专业提示:仅在使用HTTPS的网站上提供个人信息。请记住,采用“让我们加密”和其他免费SSL证书来源,仅采用挂锁图标已经不够了。查找EV证书,那么实体名称应显示在浏览器栏中。电子前沿基金会的HTTPS Everywhere扩展也是一个很好的选择,因为它强制网站通过HTTPS传输数据流。
威胁等级6:核保护如果您希望最大限度地
如果您收到商家的电子邮件,例如特价或者折扣,请查看是否有以文本方式而不是HTML方式发送电子邮件的选项。这样更容易看出所给的链接中有什么内容。
很难检测出所有的网络钓鱼攻击尝试——有一些是非常高明的。确保您所有帐户不会使用一个相同的密码,这样,即使一个账户被盗,其他账户也不会受损。使用密码管理器为每个网站帐户生成不同的密码。把个人互联网与工作互联网分开,并且永远不要使用工作地址来注册网站。如果该帐户被攻击,您当然不希望这会引发对您工作地址的网络钓鱼攻击。如果网站支持,则启用双重身份验证,这样,攻击者很难使用盗取的凭据,特别是如果该网站是金融机构。保护自己,则需要建立有多个浏览器和操作系统的系统,以便分开上网。您甚至可以考虑一系列的虚拟机来隔离威胁。
首要措施:使用不同的Web浏览器进行不同的上网活动:有进行金融交易的浏览器,而另一个用于通信,还有一个用于浏览上网。这样一来,如果攻击者频繁地在一个网络论坛上攻击您,他或者她就不能使用跨网站脚本来访问网上银行,因为不可能跳过浏览器进行攻击。脸书上的欺诈无法跳过去访问亚马逊。
对于非常敏感的网站——您帐户的“皇冠宝石”,那么该网站应采用专门的网络浏览器,并严格限制其配置。例如,只有使用专用浏览器才能访问您的亚马逊网络服务控制面板,意味着不会“意外”地浏览其他网站(白名单仅限AWS,而阻止其他站点),也不会暴露您企业的整个云基础架构。打开所有安全选项以锁定浏览器。
专业提示:对于非常危险的、潜在有危险的或者非常敏感的站点,请考虑在多个虚拟机上分开上网活动。使用锁定(最新)的浏览器,在专用虚拟机上进行所有银行业务。这避免了所有以银行为目标的网络攻击,攻击者会很难获取您的银行信息。
Linux Live CD是运行虚拟机的理想选择——您甚至可以在虚拟机中运行Live CD,尽可能提高安全性。Tails是非常精简的Linux,它从USB上运行,可用于隐藏数字痕迹,因为它不会永久保存什么。
收到的电子邮件的附件看起来有些可疑?那么在虚拟机中打开它。如果它是恶意软件,它只会感染一个空虚拟机。当然,只是因为VM中没有发生任何事情,就认为以为一切正常?——恶意软件可能被设计为不在虚拟机内执行。将该文件始终保留在虚拟机中,而不要放到主计算机中。
如果您想隐藏您的上网活动,请考虑Tor,它通过加密来隐藏您的身份,对传输数据进行加扰,在多个Tor节点之间路由数据流以掩盖原始站点。由于您的数据流通过Tor随机服务器进行传输,那么,数据不会与您的个人IP地址相绑定。
使用NoScript禁 用Java、JavaScript、Flash和其他动态内容。这个选项会影响很多网站,但是它支持您手动授权内容,所以要仔细注意,确保恶意代码不会被意外地批准运行。Adblock Plus阻止已知广告和间谍软件网站的弹出式窗口和其他内容。Adblock Plus创建阻止列表的方式是有问题的,因为广告客户可以付费被列入平台白名单,但如果目标是关闭弹出式广告并阻止潜在的攻击,这样做就可以了。
另一种方法是禁用JavaScript并阻止浏览器本身的弹出窗口。默认情况下,大多数浏览器会自动阻止弹出窗口,但默认情况下会启用JavaScript,因为它使用的非常广泛。
注意安全
要想安全上网,既要有技术和安全意识,还要愿意经受磨炼。现在的浏览器提供了很多保护措施,包括能够禁用插件和打开反网络钓鱼机制等。只要启用这些功能,保证基本的安全环境,例如更新所有软件等,基本的上网安全就能够唾手可得。
但是,现在比以往更容易感染恶意软件或者被网络钓鱼攻击。有时只是因为在错误的时间去了错误的地方。但是,一旦您知道最担心的是什么,知道自己对风险的承受能力,那么就可以设定一个合理的安全方案来满足需要,让自己安全高效地上网。
原文网址: http://www.csoonline. com/article/3197684/internet/ the-modern-guide-tostaying-safe-online.html