在旅行时保护你的信息和设备
旅行期间,你本人和你的设备、你的数据都面临许多风险。笔记本电脑和其他设备可能会出现故障,甚至被盗、丢失、损坏或被扣押。通过公共接入点(如机场和酒店的WiFi网络)传输的数据可能会被拦截。使用不可信的系统可能会让你面临网络攻击,攻击者会利用键盘记录器或其他能够捕获私密信息的工具。
此外,当你跨越任何国界时,如果边境控制或海关官员要求检查你的行李,你几乎没有任何权利抗议或拒绝。行李的任何部分都可能会被检查,包括存储在笔记本电脑、移动设备、数码相机或录音机上的数据。在许多国家——包括美国——海关官员搜索你的设备甚至将其没收以便进一步检查时,不需要“合理理由”或者搜查令。
问问自己:如果你的设备及所有数据都无法访问,你还能工作吗?如果你携带的数据暴露于外部审查,你的同事、支持者、助手、伙伴或捐助者会受到威胁吗?如果有人拦截或访问了你的数据,并利用得到的信息冒充你,这可能会损害你的个人声誉以及你的项目或组织的声誉,并危及那些无辜回应的人,你会怎么做?
本指南包含一系列建议,旨在帮助你为旅行做好准备,并在旅行和跨越国界时尽量减少数据和设备的风险。
基本安全实践
以下建议是一般的安全措施,但在计划旅行时应特别谨慎地实施。
- 如果你还没有为所有账户设置强大且独特的密码,那么在准备旅行时,务必要这样做。
- 阅读我们的指南,了解如何创建和维护强密码。
- 了解如何在密码管理器中保存你的新密码。
- 为了避免别人访问你的电子邮件、社交媒体或其他账户,你应该尽可能地设置多因素身份验证。
- 更新你的操作系统和软件。无论你在本指南中采取了哪些措施,如果你的系统和软件没有更新,它们就更容易受到攻击。
- 阅读更多,了解如何针对不同操作系统保护你的设备。
- 确保你的设备上运行着最新的反病毒软件。
- 为了防止网络钓鱼攻击和恶意软件感染,你应该避免打开电子邮件(或其他消息)中未请求的附件或链接。
- 了解你要访问的国家的情况。特别是,了解互联网是否受到审查,以及使用 VPN 和其他规避审查的工具是否被允许, 是否禁止加密,以及是否有任何法律要求在入境时向边境警察交出你的设备密码、加密密钥、电子邮件凭据和其他密码或代码。
- 如果你的设备无人看管,请将它设置成自动锁定。大多数操作系统都提供一种功能,让设备闲置一段时间后自动锁定键盘和屏幕。这是个不错的方案,但并非最佳方案。如果身处不能完全信任的环境,你最好永远设备不离身。此外你还应该设置,在设备登录时和每次从待机状态恢复时,都需要输入密码。
- 注意防范“肩窥者”。在输入密码、口令以及保护信用卡和借记卡的PIN码时,始终注意周围的环境,确保没有人在你身后或附近观察。防范肩窥者——也就是那些从你身后或远程观察(留意是否有摄像头)来窃取你的用户ID和密码的人,这也是现代操作系统将你输入的密码替换为一系列圆点的原因。然而,这些信息也可以通过观察你在键盘或屏幕上的手指动作被窃取,因此在输入时要特别小心。
准备跨境通行
尽量减少随身携带的数据
- 问问自己,在旅行期间实际上需要哪些数据,哪些可以留下。
- 将所有不需要的数据复制到另一台完全加密的计算机或硬盘上,确保其安全存放在家中或办公室,并从你将要旅行的设备中删除这些数据。
- 在执行此操作时,还应将敏感数据备份到外部硬盘、USB闪存等存储介质,并将其存放在与主计算机分开的安全位置,例如办公室外的小型密码保险箱中。
- 了解如何安全地备份数据。
- 考虑将你的数据加密之后存储在云端上,你甚至可以将包含软件的整个系统镜像也这样存储,然后携带一台基础型的笔记本电脑。到达目的地后,你可以下载数据和软件,并在离开之前重新上传。这种设置既能让数据最小化,又提供了可访问的备份,尽管它让你在旅途中的工作有些限制。
了解我们推荐这样做的理由
你没有携带的数据就不会丢失或被盗。
在跨越边境时,一定要确保你携带的任何数据在你前往的国家或地区不会被视为非法。潜在的非法数据可能包括授权的版权材料副本(如音乐和视频)、任何类型的裸体内容等。如果在边境检查中发现此类资料,你的笔记本电脑可能会被没收。
使用备用电子邮件地址
- 无论你是使用应用程序、电子邮件客户端还是浏览器来查看邮件,都请退出你的电子邮件账户。
- 为你的旅行专门注册一个新的、基于网页的邮箱。
了解我们推荐这样做的理由
边境检查人员可能会想检查你的邮箱,而你的邮箱中可能包含大量敏感信息。此外,在旅行期间,你可能需要使用不受信任的网络连接和系统,这会使你的电子邮件暴露于多种可能的攻击当中。为了限制这些攻击的后果,一项重要的策略是,为旅行专门创建一个新的基于网页的电子邮箱,并在旅行结束后销毁它。
在旅行期间,使用该地址进行所有非敏感的通讯,就算该账户被攻破,攻击者在你旅行结束之后也无法获得任何有价值的东西。除非你确信电脑和网络连接已经安全,否则不要登录你的常规电子邮箱。
从你的设备上移除账户
- 跨越边境之前,登出你的所有账户。
- 从你的设备中移除(或隐藏)社交媒体和其他敏感应用程序。
- 考虑在一些最流行的社交媒体平台和在线服务上创建另一套身份。从几周甚至几个月前就开始填充这些账户的内容,并通过你旅行时携带的移动设备登录这些账户。
了解我们推荐这样做的理由
边境人员可能会检查他们在你的设备中发现的社交媒体账户。退出这些账户,甚至从设备中移除相关应用,你就可以确保他们无法得知你在哪些社交平台发布可能导致风险的内容。
如果你认为检查设备的边检人员可能会对此产生怀疑,认为你不使用社交媒体似乎不太可能,那你可以在一些最流行的社交网络平台上创建一个账户。如果你决定这样做,最好开始用无害的内容填充你的替代账户(比如闲聊信息、食物和猫咪的照片)。
清理你的网页浏览器
- 登出所有账户,例如电子邮箱和社交媒体平台的账户。
- 清除临时网络文件和浏览历史。
手动清理你的聊天应用程序
- 考虑你已安装的聊天应用程序(例如,在某些国家或地区,如果在检查站被发现你的设备上安装了 Signal,可能会使你面临风险)。
- 检查你的聊天记录中是否有敏感词汇,并将这些聊天记录删除。
- 如果你是群组管理员,请修改群组名称,使用不具描述性的名称,避免包含敏感词汇。
- 在你的敏感聊天中设置消息自动消失。
- 如果你没有时间,随时可以卸载你的即时通讯应用,但请注意:未安装即时通讯应用这一行为本身,可能会被视为一个警示信号。
[高级] 隐藏你的敏感文件和文件夹
- 如果你使用 Android 设备, 可以在“文件”应用程序的“安全文件夹”中保护你的文件。
- 如果你使用 iOS 设备, 你可以在隐藏相册里隐藏相片。
- 你还可以使用 Tella 来隐藏你的敏感文件,它适用于 Android 和 iOS。在 Android 设备上,你还可以伪装 Tella,让它看起来像一个功能齐全的计算器。
- 如果你更倾向于在计算机中隐藏敏感文件,可以考虑使用 VeraCrypt 创建一个隐藏文件夹。
了解我们推荐这样做的理由
如果你确实需要在过境时携带一些敏感文件,可以考虑使用原生的 Android 或 iOS 功能将它们隐藏在设备中,或者更好地使用像 Tella 或 VeraCrypt 这样的安全应用,这些应用不仅可以隐藏你的文件,还能将它们保存在加密文件夹中以提供保护。
使用加密技术保护你的数据和通信
了解在你前往的国家使用加密技术是否合法
- 在旅行前,查看你将访问的特定国家或地区关于加密的相关规定。
- 查看你所在国家或地区关于加密的法律状态,可以参考Global Partners Digital的全球加密法律与政策地图。
- 阅读普林斯顿大学信息安全办公室关于旅行和加密的相关信息。
了解我们推荐这样做的理由
虽然将数据加密存储在设备中始终是个好主意,但在一些国家或地区,加密技术的进口、出口以及使用是非法的。
在某些情况下,你可能需要申请进口或出口许可;在少数情况下,个人使用可能完全被禁止。你还应该了解关于将私人密钥交给执法部门的法律情况:在一些国家,如果你拒绝合作,可能会面临监禁。
如果加密在你旅行的国家是非法的,那么保护敏感数据的最佳方法是加密所有需要的信息,上传到一个安全的云存储平台,然后从你将携带的设备中删除这些数据。
加密你的设备
- 加密整个设备。
- 加密你的外部存储设备。
- 阅读更多关于如何保护你的敏感数据。
了解我们推荐这样做的理由
加密是一种重要的技术,如果有人拿到你的笔记本电脑或其他设备,并试图在没有密码的情况下访问你的数据,由于加密技术的保护,他们看到的只是随机的 1 和 0 的模式。
然而请注意,使用加密会使数据恢复变得更加困难,如果你的硬盘遭遇跌落、猛烈碰撞或其他形式的事故,恢复数据的难度会大大增加。此类高级数据恢复的费用通常超出大多数权维护者和民间社会组织的承受范围。因此保持良好的备份非常重要。
[高级] 保护你的加密密钥
如果你加密了电子邮件,那么所携设备上可能最有价值的数据就是你的私人 PGP 加密密钥。你应该特别注意保护这些密钥及其解锁密码,设备无人监管时,不将其交给第三方;在其他人可以接触到设备时,避免将设备单独放置。你可能更倾向于完全不将私钥保存在设备上,而是将它们保存在一个加密的 USB 闪存驱动器中,挂在脖子上,始终保持对其控制。
公共访问
在旅行期间,你可能会频繁使用公共系统,无论是图书馆或其他公共场所提供的计算机,还是酒店、会议中心等地的有线或无线网络。这些情况各自具有特定的风险。
共享的计算机
- 如果你计划在旅行期间使用共享计算机,你应始终将这些设备视为不安全的。
- 物理键盘记录器可能被用来监视你的通讯,为了避免这一风险,请考虑携带一款小型 USB 键盘,可以插入你使用的非信任计算机(即共享计算机)。
- 共享计算机中可能已被安装间谍软件,为了减少被其监控造成的风险,你可以考虑携带一枚自定义的 Live USB,该 USB 预装你选择的操作系统和所需的基本软件。这样你就可以从该 USB 启动自己信任的操作系统,完全绕过不受信任计算机的默认环境。
了解我们为什么推荐它
旅行期间,如果在不受信任的计算机上登录你的账户,最有可能导致你的安全风险。
特别的风险是键盘记录器和间谍软件,它们可以捕捉你在计算机上所做的每一项操作。
硬件的键盘记录器是插入在键盘与计算机之间电缆中的加密狗。在使用任何非自有键盘之前,你都应该检查是否存在此类装置。
软件键盘记录器和其他类型的间谍软件是更为危险的威胁,因为它们很难被察觉。因此,在不受信任的计算机上真的很难有安全感。
使用不可信任的网络时,保护你的网络连接
- 将你的浏览器设置为仅通过 HTTPS 连接,以确保在可用的情况下,你访问的网站始终是其 HTTPS 版本。
- 阅读我们的安全浏览指南,了解如何在浏览器中设置仅 HTTPS 模式。
- 出发前。安装一个或多个 VPN。
- 使用保护性的浏览器插件/扩展,特别是像 uBlock Origin 这样的广告拦截器(或适用于 Chrome/Chromium 的 uBlock Origin Lite)。
- 无论你使用哪种加密协议,在发起连接时若出现警告应予留意,因为此类错误可能表明存在中间人(MITM)攻击。但没有警告并不一定意味着安全:某些中间人攻击不会触发错误提示。不过,即便会话被劫持,攻击者通常也只能在有限时间内造成损害,因为他们通常只获得当前会话的密钥。
了解我们推荐这样做的理由
在旅行期间,使用不受信任的互联网连接是常态。包括酒店的有线和无线连接、市政和商业热点等。在这些网络中,恶意节点可能会实施所谓的中间人(MITM)攻击。这些攻击可以捕获你访问的网站地址、电子邮件通讯的地址和内容。恶意节点还可以将你的流量从你尝试访问的真实网站转移到一个危险的假网站。
加密始终是确保数据在传输过程中无法被拦截者读取的最重要技术。一个常见的解决方案是使用可信的 VPN。但最重要的是确保始终通过 HTTPS 来保护你的连接,这样无论你访问网站还是使用其他在线服务,所有的流量都会被加密。
互联网审查和封锁
- 了解互联网是如何运作的以及它是如何被审查的。
- 了解如何规避互联网封锁和监控。
- 在一些国家或地区,使用规避审查的工具可能是非法的,因此在跨越边境之前,请先查看你要前往国家或地区的相关法规。
- 如果你是人权捍卫者、记者或活动人士,将前往那些上网特别困难且监控手段复杂且普遍的国家或地区,请联系 前线卫士(Front Line Defenders) 或 Access Now 数字安全热线,以获取针对在这些特定国家如何绕过互联网审查的具体建议。
了解我们推荐这样做的理由
在一些国家或地区,由于对某些网站的审查或全国范围的封锁,访问互联网可能会受到限制。
移动电话的安全
将手机留在家中,带另一部手机出行
手机通常应被视为不安全的设备。在旅行时,最好将手机留在家中,携带一部不包含完整个人数据的替代手机。如果必须携带工作手机,请将所有数据备份到其他设备,并从手机中删除这些数据。为了降低手机面临的风险,你可以参考我们的指南,了解如何保护Android设备和iPhone或iPad的安全。
通过安全的消息应用交流
了解我们推荐这样做的理由
在旅行期间,确保通讯安全的最便捷方式,可能是通过移动设备上的消息应用。如果你的联系人使用安全的消息应用,你也可以考虑使用这些工具来加密消息、文件以及语音通话。
[高级] 隐藏移动设备上的敏感应用程序
- 如果你使用的是 Android 设备,可以考虑通过私密空间隐藏敏感应用。
- 了解如何在 iOS 中隐藏敏感应用。
了解我们推荐这样做的理由
如果你在旅行期间需要保留一些敏感应用,可以利用 Android 和 iOS 提供的原生功能将它们隐藏起来。