安全

从修辞的角度说，所谓福音书的反合性，是群众最喜闻乐见的内容，什么要做主的必做众人的仆人，free(dom) is the most expensive thing, 小型和公益冲突，私人和公害矛盾，安全和工作相悖，不一而足。 毕竟，公益自然希望越大越好，大型才能使人受益，才能募集更多资源，才能造成影响。 而私人不能容忍公害，因为所谓公害，总是伤害私人……毕竟马丁路德·金博士说，anywhere injustice hurts justice everywhere. 而最安全的工作方式就是不工作——所谓躺赢嘛。 计划下周2晚7:30-10:00做一个小型的（限20人）、私人性质的网络安全工作坊。仅限熟人或熟人介绍，安全邮件报名，刷脸进。 主要内容覆盖《简明》系列中的各种主题，不过这次打算讨论实作问题。 这是一个纯技术的工作坊，主要讨论个体的隐私保护，网络安全和攻击防范。 费用：免费，欢迎自由赞助支持。（参考价：我做网络安全咨询的收费标准是$500/小时。今年的公益奉献就算满足了……） 最近几个重要的书籍平台和音乐网站在国区下架了。群众们热烈拥护的enigma也遭遇了服务劣化。私下寻求帮助或束手无策之人越来越多。当然，走投无路掉入“蜜罐”的人会更多。此事已成公害，危及我自己的安全。所以决定为了亲朋好友做一次工作坊，讨论有关问题。我相信，只有更多的人懂得安全，我们所有的人才能更安全——独善其身式的安全，不过是无所事事的安全而已。 预备条件： 愿意自己动手DIY，投入时间、金钱和努力来保护自己隐私安全的人。不培训只打算付钱买机场的人（没什么好培训的。就一句话：不要掉进蜜罐）。不提供、推荐和出售任何产品或服务（我的价格太贵，没有竞争力）。 双币信用卡。必须支持美元或欧元或bitcoin结算。 paypal美区账号。（功能同2。则一即可。） 注册protonmail邮箱。（或任何安全邮箱。Gmail不算安全） 苹果美区id。（IOS系统必需） 亚马逊美区账号。 1年大约2000元的安全预算。 具备Linux基本常识者优先。 早鸟价：免费。夜莺价：免费。报满即止，愿者上钩。 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。

有些人的广告写的是：非洲正在经历饥荒，300万人受灾。请捐钱。 另一些人拿到的广告写的是：非洲有位7岁小姑娘吃不起饭，无法上学。如果我们捐200美元，她就可以在家人和慈善机构的帮助下，上学且在学校吃饭。 实验的结果是：拿到300万人的广告一组，平均捐款额只有拿到小女孩广告的一半不到。结论是：问题太大，我们容易泄气，觉得捐款也没有用，于是就放弃了努力。 即使我得到了人工智能和软件理论的博士，一度还差点被推选为国家密码委的专家顾问，如今面对眼花缭乱的信息安全技术，隐私保护的漏洞，大公司无所不知的监控和数据采集，也会觉得深深的无力。我也不知道如何保护自己的隐私，特别是我身边的朋友都一脸无所谓，用着360和qq的时候，我甚至连如何开始信息安全启蒙都不知道。 昨天有位小孩，因为在网上“多次”浏览一个“非法”网站，被登报严肃批评。这事本身是否荒唐就不讨论了，背后暴露的问题倒是值得讨论： 这位小朋友究竟用的什么浏览器，上了什么网站，如何被侦测到“多次”而不是“偶尔”？如果仅仅是浏览网站就会被侦查，如何保护我们的浏览安全？ 我们有许多人追求安全邮箱（protonmail），安全聊天工具（signal），但是在更加基础的工具上，反而留下了安全漏洞。比如某些浏览器，会提供一个账号一个你，让你云端同步自己的浏览记录和书签，你会接受吗？或者浏览器会强迫你接受吗？显然，当你上传浏览记录到云端，究竟访问了哪些网站就不再是一个隐私问题了，而是一个“严肃批评”的问题。 另一方面，你的输入法如果同步云端，你输入的每一个字、每一句话显然都在输入法开发者的数据库里，他会用来训练、取词、扩充词库，调整词频，自然是会明文读取你输入的每一句话。我碰巧还知道有些流行输入法，从前是用“http”而不是“https”协议上传输入记录，这就是说，只要我在你的局域网里，拿一个小白形式的工具，大概也能看到你所说的每一句话，书写的每一封情书——不管是写给谁的。 至于Siri会昼夜不停地听你的声音，甚至在你和亲密爱人聊天的时候也在听，算不算是开通了一个任人窃听的通道，这就只有看看我们掩耳盗铃的技巧有多高了。我很少使用语音留言，绝不开通刷脸功能，也是暂时敷衍，延缓生物信息被攻破的时间而已。 在这种情况下，什么安全邮箱，安全聊天工具，都是自欺欺人而已。你只能祷告，自己是一只无足轻重的小蚂蚁，铁拳暂时还打不到你的头上。 这就是我常常讲的安全知识启蒙。讲完之后，我会笑一笑说，我知道改变输入法这样基本的操作习惯是很难的。如果你们暂时改变不了，我完全可以理解。大部分人的反应是，那么，我用华为手机自带的输入法，或者汛飞，或者多用语音，不用输入，是否会安全一些？ 答案当然是，“安全一些”。只要开始重视，就可以慢慢地改变自己的行为习惯了，关键是安全究竟重不重要，重要的什么程度的问题。 如果你的输入法和浏览器都安全了，那么可以考虑用端对端加密的形式与人聊天。 即使是signal一类的安全工具，采用群聊的方式也是不安全的，因为不知道别的人是不是采用了不安全的操作系统，不安全的输入法，或者开放了照相权限给天气预报app。其实我不太用signal，真正需要安全的聊天，我至少会选择服务器在欧洲的服务，比如wire。但这样说下去，大家就没有信心提升安全性了，而我们用了好长时间才说服朋友们迁移到signal上来。 但手机也不是安全的工具，要保护隐私，尽量在计算机上操作较好。 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。

当我们还在用QQ和微信的时候，世界已经变化到需要端到端加密，保护自己隐私的程度。 即时通讯软件安全评测，给出了一些流行的通讯软件的指标对比。大概看了一下，能够选择的不过是 signal, wire 和 Threema等三种而已。 最近就面临这个问题。我们曾经有一个WhatsUp群，但是某位顶级黑客说，WhatsUp不安全。 所以Ken就来看我的手机。我说常用signal，但是Eli说应当用wire。我们就去比较这些软件，最后的结论是选择wire。 除开那些常见的因素之外，最后的决定在于： 1）wire是开源的。因此以后有可能建立自己的服务器。 2）wire在瑞士，受到欧洲和瑞士隐私法的保护。不在美国也要加分。 虽然我也没有什么隐私，但是被人窥探总是一件不舒服的事情。尽管国内一切都要二代/三代身份证+刷脸了，但是用QQ/微信之类，还是略微等同于晚上睡觉不关灯，而且把窗帘打开一样。有的时候，选择一款安全的通讯软件，也算是尽力在一个毫无隐私的地方保留一点尊严吧。 近来有一位朋友的手机不幸掉到熊猫手中了。 大家都有点担心，但是我劝大家说，大可不必。因为我们所有的通讯，邮件，聊天记录，通讯录等等，在此之前就是透明的。一个密码用1234567的人，是不必担心任何事情的，好好睡觉就行了。计算机安全是一个体系，木桶上任何一点短板都不行。如果一个人用了wire，但是密码却设成“!WAZ@WSX#EDC”，那不过是专业黑客的菜而已。这种密码有一个专门的术语，叫做“QWE”型密码。 当然，学习新科技，总是一件不错的事情。最近孩子们生病，我在家里什么事情也做不了，于是上网看了看v2ray和brook两种加密代理协议。这两种协议都是用google的go语言写成的，据说占用内存比较大，但是优势是网络通讯的编程很简单，据说v2ray在github上，两年时间已经有了3000多次版本提交，而2013年就开始的shadowsocks-libev,至今也不过1800多次提交而已。这就是编程简单和高效率之间的差别。 我基本上是个C++程序员，但是曾经写过的最复杂代码，却是在嵌入式的lua上写的剑侠世界机器人。当时这个机器人可以自己组队升级，自己做任务，自己和同伴交易、合成高级装备，组队出了问题知道如何同步，如何设定集合地点等待掉队的同伴，各种事情都可以自己做。我们的EE工作室靠着这个机器人运行了1年，挣了差不多10万块钱，基本上全部用到Logos开设第二个小组上面了（当时我们家还卖过一段时间C-Land的衣服）。最后Eric和我都去做餐饮app，工作室以我自己倒赔进去5万元的设备收场。 如果我的朋友们可以在wire上找到我，那么我们可以聊聊v2ray或者brook的事情。对于技术，我永远都有兴趣。