NotOnlyGodKnows | 79 points | Mar 21 2022 11:32:50

[基础建设]防晶哥开盒不完全指北

0x00 前言

1. 浪人里很多已经润出去了，晶哥开了也无济于事，还有必要吗？别忘了连坐是桂枝人流传2000多年的传统手段，找两个本地黑皮狗给你父母打电话，给父母工作单位施加压力，你如何解决？
2. 本文现版本完成于2022年3月，所有标准皆以现时点为准，未来不可知。好日子还在后头呢。
3. 本文阅读起来并不轻松愉快，提前有个心理准备。

0x01 成本，习惯与技术

小故事①: 记得几年前一个新闻吗？

FBI paid more than $1.3 million to break into San Bernardino iPhone https://www.reuters.com/article/us-apple-encryption-fbi-idUSKCN0XI2IB

技术的攻防世界，从来没有绝对的安全，而一直是谁高一尺，谁又能高一丈。隐私的安全也不全是技术问题，还伴随着成本的问题，换句话说，你值不值这个价。

因此，简单地将所有浪友定个价：

1. Level1 普通浪友。无论你是小留还是翻墙鼠鼠，无论你天天高强度操习明泽还是“我来冲浪只是看黄图的”，都属于此级别。

2. Level2 已经引起东厂注意的。比如大翻译运动帐号的持有人。

3. Level3 已经/曾经上猎杀名单的。比如胡编亲自科普，亲自宣传的恨国党陈光诚，比如编程随想。

由上，将下文将提到的对策划分重要程度（三颗星星按顺序对应Lv1~3级别），

• 重要度★★★：所有人都应该注意，这是最基本的安全防备。此级别对策应对的是无差别监控信息，扫号等操作，影响所有人。
• 重要度☆★★：在现时点，普通浪友，可以有一些小小疏忽，因为开盒成本略高。但L2，L3浪友仍需注意。
• 重要度☆☆★：一般人不配，L3顶级浪友专属。此级别对策的对手你可以想象成柯南，福尔摩斯。

但要注意的一点是，共匪从不和你讲道理，如乌克兰那个老哥一样，可能自己万万没想到，一条反战视频让他从Lv1（甚至之前还偏粉），瞬间就被全网封号，被晋升为Lv2了。因此，尽可能在可接受的麻烦程度下提高警惕性是必要的。

小故事②: 忘记具体是哪个安全界大神了，当时想进入阿里内网很久都没得手，后来是怎么成的？在阿里楼下星巴克架了个假wifi，截包了阿里员工笔记本的全部数据，顺利拿到进入内网的权限。没错，就是这么没有技术含量，入门级安全从业人员就能掌握的技术。

因此，应该明白，人永远是整个安全链条中最薄弱的一环，社科上的安全远比技术安全更更重要。

总结，当你想审视自己是否足够安全时，技术上的安全，良好的冲浪习惯，晶哥攻破的安全壁垒的成本，这三个因素缺一不可。

0x02 对策

​ 总的来说，根本方法就是：精分。如果在国外最好，如果在国内，就想象一个虚拟的Fake人物（简称F）。不要想象成非洲一个说机理哇啦语的28cm非洲大屌，选择你能装的像的一些，比如你在国内，但会说一些法语，那你就可以伪装一个在法国的留学生/移民二代，设计一个全新的身份信息，包括名字，生日，性别，学校/公司，倒背如流前写在纸上。

具体措施就是切割，要想你和F是两个完全不同的人，你们不应该有的交集都不要出现。

1. ★★★为的你假身份注册一个全新的邮箱，这个邮箱的任何信息都不应该与你的真实信息有关。包括不限于，姓名生日，惯用密码，恢复手机，恢复邮箱等等。敏感的服务均使用此邮箱注册。

2. ☆★★在社交媒体上F身份帐号不要和有真实身份信息的帐号互相关注，最好完全0联系。

3. ★★★不要使用国内手机号码注册国外已经被墙的服务。如果人在国内，请尽量使用 textnow/GoogleVoice/5sim 等等虚拟号码服务。原因①晶哥经常会定期扫号，比如按顺序遍历所有大陆有效手机号码，在telegram上添加你为好友，以此来确定你是否注册过telegram。原因②，防止国外服务商被拖库而泄漏你的信息。原因③，虽然目前来看并没有针对注册短信，但要知道短信的监控系统可是早于GFW的。你注册Gmail之类的短信可能早已经被注意到了，现在无非是暂时懒得理。

4. ★★★不要使用国内邮箱（包括不限于QQ，126等等）注册国外服务。推荐Gmail或protonmail（此两邮箱的安全性不在此论证，事实上你也找不到更好的）。

5. ★★★不要在国外服务使用你真实的身份信息（包括不限于姓名，生日）。事实上国外服务也不会强制你填写真实信息（包括很多支付系统）。如果涉及到找回帐号等等需要记忆功能，那就填写F身份信息。

6. ★★★不要在国外敏感服务公开你的生物信息，如长相，声音。如果不得不公开，比如linkedin，那此帐号一定要与F身份切割。

7. ★★★不要用F身份帐号，以资料，留言，回复等等任何方式透露真实信息，更进一步，还可以误导。

8. ★★★检查所有敏感的被墙服务网站，删除可能透露你真实身份的帐号（包括不限于3-6条提及的内容）。如果实在舍不得删除一个老帐号，那就关闭所有信息可见性，用F身份的邮箱重新注册新号。（比如我这个reddit帐号就是）

9. ★★★不要国内服务和国外服务共用邮箱。尤其像浏览冲浪tv这种行为，请使用F的独立的邮箱注册。

10. ☆★★不要国内服务和国外服务共用有辨识度的昵称/头像。想想编程随想。。。

11. ☆★★不要在淘宝等国内平台购买GV帐号，如果实在没有选择，尽量挑选小的店家。

12. ★★★不要使用国内银行卡/微信/支付宝等支付被墙的服务。之前整治虚拟币时，有很多人银行卡在交易后很快被冻结，说明对于银行卡的监视能做，而且在做。最好选择国外的银行卡。退而求其次，谨慎直接支付，最好通过App store/Google Play等赚差价的中间商。通过Paypal支付时，是否可以一定程度隐藏支付信息，这点有没有银行系统的浪友确认下。

13. ★★★有条件的，准备少量虚拟币，ETH即可。在国内可以找信得过的朋友兑换一些。

14. ★★★不要使用国产输入法。Apple系默认的就很好用，Android可以用Gboard，唯独Windows平台，确实很难找到好的替代品。小狼毫真的不好用，而且对于一般用户配置起来也有些难度，自己取舍吧。

15. ★★★不要在微信上给好友发被墙的网址，翻墙服务器的URL，如果一定要发，请去掉敏感部分，如“reddit.com”域名，“vmess://”协议头等等。

16. ★★★不要在国内App和被墙App间，使用App内置的分享功能互相分享内容。

17. ★★★不要使用国产手机，不要使用国行系统。至少要保证二者其一。

18. ★★★不要使用国产浏览器（包括国产手机自带浏览器）。

19. ☆★★尽量使用Web服务，少使用App服务。因为Web技术特点，有一部分内容永远是对用户可见的（即使被混淆/加密）。之前党媒弄个什么签名活动，自动涨签名数，以前小米的抢购，都沦为笑柄，就是因为伪造部分代码都是在前端完成的。而App就是完全不可见的黑盒，同类型国内App的体积是国外的3倍差不多，谁也不知道他们都做了什么。

20. ★★★尽量使用网络世界通用的功能/手机的功能（非国产国行机），少使用App功能。

    • 比如新浪微博的生成长图功能。他们可以轻而易举将用户的UID信息隐藏于图片之中，而且绝不是豆瓣那种靠调色来隐藏的瓦房店水平。请使用安全的手机截图。

    • 比如分享链接。https://www.bilibili.com/video/BVABCD1234?p=1&share_medium=android&share_plat=android&share_session_id=ABCDEFGHIJKLMNOPQRSTUVWXYZ&share_source=WEIXIN&share_tag=s_i&timestamp=1647123456&unique_k=ABCDEF

    这是经过处理的，从批里批里app分享到微信的一个链接，然后在浏览器中打开（其中的ABCD部分是我更改的）。记住一条规则，网址中，「？」前面的部分标识的是资源地址，而后面部分是参数，即使删除，也不影响你定位到该资源。那么？后面是什么呢？从share_session_id这一项，就足够定位到分享的人是谁了。因此你想分享给别人时，请直接发网址的？前的部分，即https://www.bilibili.com/video/BVABCD1234

21. ☆★★综合前两条，当你想分享一条微博截图时，不考虑麻烦程度，仅做安全性排名：使用别人的截图&rt;模拟器+翻墙+游客帐号截图&rt;网页截图&rt;app中手机截图&rt;app生成图片。使用哪种方法，自己权衡。其他App同理。

22. ☆☆★尽量不要本地真实IP和翻墙服务器混合使用，访问墙内网。

23. ☆☆★不要通过翻墙服务器访问墙内政府网站。

24. ☆☆★发布照片前去除exif信息。很多手机相机在设置中就可以直接设置。

25. ★★★鉴于之前看到的北京地铁已经开始抽查手机，那么请准备一个根正苗红备用手机，尤其在不了解的城市出差的时候。

此外，下述几个通用的准则，非具体细节。

1. 不要认为使用了VPN/代理等等你就是绝对安全的。有很多途径可以获得你的真实IP。
2. 翻墙工具的安全性重要在于使用什么协议，而不是什么客户端。先进的客户端使用落后的协议那就是落后的。之前看有浪人讨论过什么方式翻墙安全，其实都没说到点子上。
3. 主流的代理协议的信息加密性上都是没问题的（除非是晶哥的钓鱼服务器），区别在于伪装。在晶哥那边看来就是，你使用大量流量以加密方式稳定访问一个服务器，虽然他不知道你收发了什么，但傻子也清楚你在翻墙。伪装可以伪装成访问百度的流量，微信视频的流量，等等，但其实也是猫鼠游戏，并不是绝对安全。
4. 永远不要相信墙内服务会保护你的隐私。
5. 即使你相信部分国外的服务会保护你的隐私，但记住那句话，最薄弱的环节是人，你仍无法防备他们买通了哪些人。你真的相信chonglangtv仅仅是因为开盒了徐好就被直接删版，并且追杀了许多转生版面吗？

0x03 如何自己思考补全

​ 对于有一定网络知识基础的浪人，可以在本片文章基础上，根据自己的情况审查安全漏洞。

​ 互联网公司曾有有一道经典的面试题：当你在浏览器网址栏输入网址，按下回车时，都发生了什么？那么，也可以有一个同样的问题：当你通过某终端（或手机或电脑）使用某服务时，都发生了什么？进一步说，会经过哪些节点，获得你哪些数据？

​ 实际这段本来想写在「0x02 对策」章节前面的，这个思考问题的方式也几乎是所有对策的来源，只是怕大家看得云里雾里，故而置后。实际上了解了这个思路后才能更好的理解对策。

0x04 后注

文章版本：0.01

最后修改日期：21/03/2022

本文首发于reddit论坛，CLTV版块/quanlangtv版块，以及天国的chonglangTV，随想随写，日后若想到新的，不定期更新。

备份地址：后续补充。

本文欢迎以爱寄吧署名不署名，爱寄吧注明不注明来源的方式分享传播，希望这片文章早日没有任何价值。所有鼠鼠不必像挖地洞一样，以东躲西藏猫鼠游戏的方式访问自由开放的网络世界。