【我們為什麼挑選這本書】想要系統不隨便被駭,問駭客本人最準。於是駭客本人就幫你整理出一整套最完備、防禦力最高牆的系統懶人包。提摩西.費里斯寫《人生勝利聖經》,採訪 21 世紀最強駭客之一,他將教你面對駭客的基礎防身術。(責任編輯:陳伯安)
沙米.坎卡是美國手法最創新的電腦駭客之一,最出名的事蹟就是寫出史上散播速度最快,一款名為「沙米」的電腦病毒,還因此被美國特勤人員突襲搜索。最近他打造了一款無人機 SkyJack,可以駭進自己周圍的無人機,組成一組無人機戰隊。他還發現蘋果的 iPhone、谷歌的安卓手機和微軟手機有違法追蹤程式,讓這三家公司吃上一連串集體訴訟,國會山因此召開聽證會。
駭入筆電、手機鏡頭簡直易如反掌
我常問沙米:「我要怎麼保護自己不被你這樣的人駭到?」下列方法可以因應九成的網路威脅,其中一半我最近都有在用。這篇的資訊量很大,你可以自由跳過,需要時再回來讀。如果其他都懶得做,這裡有一個只要不到六十秒的預防措施:沒在用的時候,拿東西貼住你的筆電鏡頭(手機鏡頭)。沙米說要駭進鏡頭超簡單。這很恐怖,可以監視你家,知道你哪時出去了,你做什麼壞事都會被看光光,所以沒事就貼起來吧。
如何避免出國筆電被搶,個資外洩?
在微軟 Windows 上用 BitLocker,在蘋果 OS X 上用 FileVault。你的資料會在系統關閉或中止時加密。使用「全機加密」替硬碟加密,就算裝置遺失或被偷,機密資料依然受保護,別人沒有密碼就不能取得裡面的資料。
「You’ll Never Take Me Alive!」是一款免費工具,在Windows 和OS X 都適用。
如果你的裝置在螢幕鎖定期間從電源或乙太網路斷線(本文作者:也許有小偷從咖啡廳抓起你的筆電拔腿開溜),系統會進入休眠狀態,竊賊就無法取得你的加密資料。
這方法需要搭配BitLocker 或FileVault 進行加密。
用PIN 碼防護手機上的資料。雖然PIN 碼好像不是很安全,但要靠暴力破解其實很難,而且iOS 和安卓系統的硬體安全建置相對還算安全(儘管不是絕對安全),所以你的資料基本上會受到良好保護。(本文作者:如果是用iPhone,我也建議把PIN碼從四碼增加到八碼。如果有人想用暴力破解,所需要的時間會從約四到五天暴增為一百多天。)
設密碼也有應用軟體神助攻
同一個密碼絕對別用兩次!你得讓每個密碼都不一樣,免得別人知道了你在這個網站的密碼,就能猜到你在另一個地方的密碼。我盡量使用很長但「簡單」的密碼,要好記一點,例如跟那網站有關的歌詞。密碼只要夠長,就算是由實際英文單字組成,通常還是比隨機字母的簡短密碼有保障。對一般的使用者,我建議用1Password 或LastPass 這類程式幫忙記密碼(如果你想用開源軟體則可以選KeePass)。我個人是用VeraCrypt(見下列說明),但這軟體比較複雜,差別在於1Password 是建在瀏覽器上,如果有漏洞被找到,程式本身可以在我下次輸密碼時取得我的密碼。這不常發生,但有風險。
考慮用跨平臺的免費工具VeraCrypt。如果你怕哪天可能被迫說出電腦的密碼,例如過海關或被橡皮管痛打到招出密碼,不妨用「隱藏磁區」,靠兩組密碼把部分資料藏起來。表面很配合,實則留一手。在隱藏磁區下,第一個密碼只能解開無傷大雅的普通檔案,第二個密碼才能解開你想保護的機密資料,但別人無從知道到底是只有一組密碼,還是有兩組密碼。我個人沒有對任何加密硬碟用上第二組密碼,但⋯⋯你相信嗎?
安裝一個軟體,拒絕病毒自動安裝軟體!
很多軟體會透過網路跟外界暗通資料,通常是為了合法的目的,但也不見得。如果你想避免軟體這樣做,或至少想知情,你可以在Windows 上用NetLimiter,在OS X 上則用Little Snitch。如果哪個軟體正在跟外界連通,你可以偵測到並決定要允許或擋掉。你還可以用Wireshark 進一步分析,後面會談到。
你可以用OS X 上的BlockBlock,如果某個程式想在啟動時自行安裝,躲在系統的小角落,那你可以隨自己高興選擇把它擋掉。有些病毒、惡意軟體或討厭的軟體會試著幹這種事,你可以決定要不要出手對付。
別插進任何不信任的USB !市面上甚至連有些USB 充電式電子菸裡也有惡意軟體。如果你想充電的話,用USB 轉接頭插進牆上插座比插進電腦更安全。
要保護網路資訊安全,一定得做到絕對的匿名
洋蔥路由器(Tor)是一款跨平臺的免費軟體,讓你可以匿名瀏覽網路並防止網路監控,每次使用時都幫你改變IP 位址,並且替你的網路通訊加密。雖然從最後一個節點(hop)總能看到你未加密的資料傳輸,但無法偵測你的IP 位址。比起VPN 服務,我更相信Tor,原因是Tor 的任何節點都無法同時知道你的IP 位址和連線內容,VPN 服務則可能同時洩漏兩者。
你用智慧型手機照相時,GPS 位置和其他資料(如所用裝置)通常會一併儲存進照片檔裡。這稱為可交換圖檔格式(EXIF),藏在照片的屬性資料裡。如果你把照片直接寄給別人,他們能恢復這些資料。不過你可以停用多款手機平臺上的位置儲存功能(本文作者:看設定或系統偏好等,比方說從iPhone 6 進入:設定→隱私權→定位服務。)或事後用免費軟體改掉。如果你想隱藏相片裡的位置資訊,你可以搜尋「EXIF removal tool」(EXIF 移除工具),替你的作業系統或手機平臺找一個移除工具。
如果你想做得更絕,你可以下載免費軟體LinkLiar on OS X 來偽裝或隨機化MAC位址。MAC 位址是你電腦裡網路卡的位址,每一張網路卡的位址都獨一無二,而且如果你不用這類軟體就不會更動。我發現有些大公司會靠追蹤MAC 位址掌握你最後所在的位置,所以有時更動一下無妨。
善用瀏覽器裡的「Elements」,越過網站阻礙你下載的高牆
如果你想要下載圖片、影片或音檔,就算站方設下限制不讓你下載,只要該資料存在於網站上,都有辦法載。在Chrome(Firefox 和Safari 也有類似工具),你可以到「瀏覽(瀏覽器右上角的三個小點)→更多工具→開發人員工具」,點擊「Network」頁籤,新整理頁面,就可以看到網頁上的所有內容。在任何檔案上點右鍵,選「複製連結位址」,就能取得正確的URL。「Elements」頁籤也非常好用。(本文作者:有些網站不讓你複製貼上文字,你就可以用這招。)
如果網站強迫你註冊或填資料,不填就擋掉視窗,你也可以點開「開發人員工具」中的「Elements」頁籤,用右鍵點擊網頁上的任何元素並加以移除。別擔心,如果你移除了不該移除的東西,只要刷新頁面重試一次就好!你只影響到你電腦上的網頁,所以大可放心靠這個實用工具把網頁依個人喜好調整。
谷歌的「以圖搜尋」功能超好用,你可以搜尋某張圖片的出處,知道還有哪些網頁上有那張圖片。方法是點擊谷歌的「圖片」搜尋,再點擊「以圖搜尋」,把你電腦裡的圖片上傳後進行搜尋。
最後介紹駭客本人必用的工具
雖然我不是律師,但在你自己的網路或裝置上用這些工具應該不會觸法。如果你想知道自己的網路安不安全,唯一方法是拿駭客會用的工具測試一下。我非常建議對網路安全有興趣的人拿來用,其實好人和壞人都用這些相同工具!
談到初階工具,我會建議你試試Wireshark、Charles(網頁除錯)、NightHawk(ARP/ND 欺騙和密碼竊聽)、arpy (ARP 欺騙)、dsniff(密碼竊聽)和KaliLinux(滲透測試),搭配網路入侵、竊聽和中間人的教學文章。幾分鐘內,你就能靠Wireshark 這種工具看到所有資料進出電腦的情況,而Wireshark 搭配NightHawk 和arpy 等工具能檢視並攔截一個網路上所有的資訊傳輸!
如果想深入研究,我會建議學寫程式。這比你想像的容易!學寫程式讓你能了解別人會怎麼弄出駭客程式,以及你能如何反過來加以利用,好像那程式是你寫的一樣。
(本文書摘內容出自《人生勝利聖經:向 100 位世界強者學習健康、財富和人生智慧 》,由 三采 出版社授權轉載,並同意 TechOrange 編寫導讀與修訂標題,首圖來源:Pixabay, CC Licensed。)
成功者的哲學故事
【Youtuber 的成功故事】影片一天獲 5 百萬觀看數!攝影師 Casey Neistat 公開找「靈感」秘訣
