Saturday, May 9, 2009

【权利:1930】 Internet 安全建议

在 gmail web 阅读这个 PDF 文件《H1N1型豬流感預防手册》,发现显示一页空白。
如果用 gmail 收信,在 gmail web 界面可以选择将附件 doc, xls, ppt, pdf 等文件在 google doc 界面浏览,避免被恶意代码攻击。

看此 PDF 文件源代码的作者信息如下:

<</Author (Felipe Andres Manzano)
/email (felipe.andres.manzano@gmail.com)
/web (felipe.andres.manzano.googlepages.com)

看他的网站[4]内容,涉及软件安全[2]。他还提供一个 python lib 来动态生成 PDF 文件。可能是有人利用他的安全研究成果,反而用于传播木马。

PDF 文件中的 JavaScript 可以用文本编辑器删除:
<</S /JavaScript
[删除这里一段代码]
>>
endobj

为防止 PDF 文件中插入恶意 Javascript 代码,可以在打开外来的 PDF 文件前,禁止 PDF reader 的 Javascript 功能:



Zola 等提供了一些 Internet 安全建议 [1]。技术专家支持的人权组织 Tactical Technology Collective 制作了一系列 NGO 指南 NGO In A Box (NGO 宝盒)[5],所有的指南都非常实用。其中有一份指南是关于信息安全的 Security In A Box (安全宝盒)。另外还有教程指导如何制作视觉精美的印刷品,如何开设网站,如何进行网络出版等等。

Zola 介绍说:
第三件事,我在公盟做奶粉受害者索赔法律援助团的志原者,我帮他们创立了一个Google Group用于工作进度讨论,把一个受害者家长赵联海也加进来了,结果发现zhaolianhai72@gmail.com冒充zhaolianhai1972@gmail.com发过 一封邮件,并在邮件里添加了四个doc附件,还不知道是否有病毒。幸好我从来对附件都是Open as a Google document ,并且我安装的是免费的OpenOffice和WPS个人版,即便 我下载并直接打开了有Wold病毒的文档也少了些可能性。看来国安和国保的工作强度和技术应用程度不底啊,但从他们干这些下三滥的活,也不知道他们是不是 真的为了国家利益。
  1. 慎重下载邮件附件。最好是开始使用在线的EMAIL程序,如Gmail。病毒和木马针对 OutLook设 计,改用在线EMAIL,可以减少风险,我认为Gmail足够好了。对于别人发来的Doc附件,建议用Google docs来打开。
但是请注意,gmail webmail 一样有安全风险,多次被发现有安全漏洞可以用于窃取信息和密码[1]。请立刻采用如下建议[1]:
  1. 千万不要相信 google 会给你发任何邮件要你输入你的帐号和密码!你的银行也不会这样做!

  2. 平时总是用 https://mail.google.com 访问 gmail 全程加密连接,中恶意代码的可能会低一些,拒绝一切不安全连接。
    但是恶意的钓鱼邮件,广告,浏览的一些恶意网站依然可能导致问题。

  3. 用 Firefox 访问 gmail webmail。在 gmail webmail 设置选项中选择总是用 https 加密连接方式[4]。

  4. 在 Firefox 中安装 NoScript 扩展包 (Addon) [5] 以防范恶意网站的 XSS 脚本攻击。这是一种对 gmail webmail 具有很大威胁性的攻击手段,并且大量网站上也有此类恶意代码可以跟踪监视窃取用户信息,诱导安装恶意软件。安装 NoScript 以后,你看许多网页也会过滤到很多广告和干扰性的 flash, 漂浮窗口之类。

  5. 如果你采用 gmail webmail 最新版本的界面,在邮件列表的下方,可以看到一段文字:

    You are currently using xxx MB (xx%) of your xxxx MB.
    Last account activity: 6 minutes ago at this IP (xxx.xxx.xxx.xxx).  Details

    您目前使用了 xxxx MB 配額中的 xxx MB (xx%)。
    目前此帳戶正在此 IP 的另 1 個位置使用 (xxx.xxx.xxx.xxx)。   最近帳戶活動: 0 分鐘以前.  詳細資料

    点击 "Details" 或者 "详细资料"可以查看你的 email 邮箱登录来源地址信息。
    每次登录后,请立刻查看这一登录历史信息,看是否有其他可疑地址登录你的邮箱,防范邮箱密码泄露被入侵盗用。

  6. 谨慎设置邮箱密码更改的机密问题并牢记,记在脑子里而不要写在任何地方。实在觉得难以记住,可以用 keepass 软件来加密保存这类私密信息。当密码被他人篡改,或者邮箱被 google 锁定时,需要这个信息来解锁。

    选取难以猜到的密码的一个简单方法,是选用一句名言或者对你容易记忆的广告词之类句子,然后选取每个字拼音的第一个字母来组成密码。容易记而 他人很难猜到。

  7. 3721实名,360安全卫士,上网助手, QQ,Tom.com 版本 Skype 这类流氓和反流氓软件绝对不要用。暴风影音这类国产软件曾经捆绑恶意软件,现在也难说是否潜藏木马代码,未确认。推荐用 k-lite mega codec pack 代替。flashget, 迅雷这类中共国人做的下载软件也无法保证安全,并且有隐私泄露问题。替代可以用 free download manager 或者 Firefox 扩展 DownThemAll。

  8. 不要让浏览器或者 Outlook Express, Thunderbird 记住你的密码。这些被记住的密码很容易被他人获取。为了方便一定要记住的话,Firefox 和 Thunderbird 提供一个功能,用一个主密码加密保存所有记住的密码。但是该加密算法的安全性未查考。

  9. 你要学会看邮件源码来识别虚假邮件[9]。如果你用 thunderbird,它也有一定的帮助防范的能力。
    信息隐私安全最脆弱的一点是可以用社会工程(social engineering)手段进行攻击,也就是说,只要突破你的社交网络中任何一个脆弱的人,就可以逐步获取关于你的信息。所以,请通知所有和你有联系的 朋友都警惕欺诈骗局,认真检查自己的密码是否被盗用,机器是否安全。
参考:
  1. Internet 安全建议 http://tr.im/kP2k
    防范 邮件钓鱼欺诈窃取密码
    https://groups.google.com/group/lihlii/t/da931bd593a1f776
    给做公益事业的人的病毒防范建议
    https://groups.google.com/group/lihlii/t/4e9ebc548a456c2d
    中共用钓鱼邮件黑客手段对付海外网站
    https://groups.google.com/group/lihlii/t/72a38681bc18940c
  2. Felipe Andres Manzano reported this vulnerability. http://securitytracker.com/alerts/2008/Jul/1020435.html
  3. http://forums.cnet.com/5208-6132_102-0.html?threadID=300414
  4. http://felipe.andres.manzano.googlepages.com
  5. 安 全软件工具指南 Security-in-a-Box: tools & tactics for your digital security [NGO In A Box][engagemedia][Tactical Tech Collective][frontline defenders] http://tr.im/kVDR
w wrote:
可以用在线病毒多重扫描来检查一个文件是否有恶意代码,比如这个 PDF 的检查 结果: http://www.virustotal.com/analisis/24e81560f0064bcfd84f9901ef211821  这是个 javascript 木马,利用了 Adobe Acrobat Reader 的缺陷。 http://www.bitdefender.com/VIRUS-1000487-en--Exploit.PDF-JS.Gen.html 究竟什么样的人会干这种恶毒事情,需要追查一下这个 PDF 文件的来源,才能更 好地防范阴险恶毒的勾当。  常坤 Chang Kun wrote:   
对不起,各位,我刚刚转发的《世界卫生组织中国调查组敬告《H1N1型豬流感預防 手册》》是附件带有木门程序病毒,非常歉意! 我将引以为戒,前事不忘!  常坤

--~--~---------~--~----~------------~-------~--~----~
★★北京益仁平中心http://www.yirenping.org

★★公益法律人http://www.gyflr.org

★★北京忆通律师事务所(李劲松律师,李苏滨律师)http://www.bj580.com

★★伯阳法律援助网(常伯阳律师)http://www.by148.com

★★中国人权维基 Chinese Human Rights Wiki http://www.changkun.org/wiki

★★《权利》电子邮件网络非常鼓励具有行动力的文章供大家分享和引起支持!

1,所有帖子没有注明"不可转载"的,一律可以转载;转发本邮件成员文章,请注明"转自《权利》http://groups.google.com/group/ChinaRights"。
2,《权利》公共发言,请发电子邮件到 ChinaRights@googlegroups.com
3,要退订此论坛,请发邮件至 ChinaRights-unsubscribe@googlegroups.com
4,群发邮件,慎重发言,文明用语,切忌只言片语不明不确!
5,备份查询:http://chinarights2.blogspot.com
6,联系:gongchangbeijing@gmail.com
-~----------~----~----~----~------~----~------~--~---

No comments:

Post a Comment