防范恶意软件
目录
保持设备的洁净和正常运转是提高安全性的关键第一步。先不要过于焦虑于如何进行数据加密、私密性通信,或匿名上网,你应该首先保护自己的设备不受恶意软件(通常被称为Malware)感染。恶意软件会令你为安保所做的其他所有措施效果大减,事倍功半。
任何设备都会受到恶意软件感染:以前所盛行的“只有Windows用户比较容易被恶意软件感染”说法已经不再准确。不论你使用的是macOS、Linux、安卓,还是iOS操作系统,都应该采取以下措施保证设备的安全。
更新所有软件
- 按照下列措施使用最新版本的操作系统,最大限度保护你的设备安全:
- 按照以下几页的教程来手动或自动更新设备上安装的应用程序:
- 安卓系统 − 参考谷歌的教程:如何更新 Play 商店和 Android 应用。
- iOS系统 − 从App Store下载的应用程序默认自动更新,但是你也可以进行手动更新。参考苹果的官方教程:如何手动更新苹果设备上的App。
- Windows系统 − 开启应用程序的自动更新。
- macOS系统
- Linux系统 −
如果你安装了Ubuntu的完整桌面版本,软件会默认每日进行升级。你可以按照Ubuntu社群Wiki页面上关于自动更新软件的指南更改这些设置。
- 根据你电脑上运行的Linux不同版本,启用软件自动更新的流程各有差别,请按照具体版本的官方使用说明操作。
了解我们推荐这样做的理由
你的操作系统或应用程序里运行的代码每天都会发现新漏洞。由于程序代码十分复杂,哪怕是开发人员自己也无法预测哪里会发现新漏洞。意图不轨的攻击者也许会利用这些漏洞来入侵你的设备。
但是软件开发者会定期发布代码来修复这些漏洞。因此,非常需要保证每一台设备的操作系统和其上安装的软件都是最新版本。我们建议你启用操作系统和软件的自动更新,以减少后顾之忧。
注意,意图对你不利的人会故意用激将法引起你情绪上的波动,致使你冲动行事
- 养成好习惯,警惕任何能让你受到惊吓、增添压力、产生担忧、冲动,或好奇的的邮件、短信,或警报。学会质疑任何突发警告或暗示你如果不立刻行动就会错失良机的消息。当你产生了担忧、恐慌等情绪,高度注意消息想要从你这里达到的目的。
- 如果消息内容看起来词不达意或者莫名其妙,最好还是对其保持怀疑态度。
- 如果你收到了意图让你产生冲动的消息或警报,首先需要冷静一下。
- 不管是你收到的是邮件、聊天消息、语音电话,还是有人来访,请警惕任何索要你敏感私人信息的意图(如密码、账号、用户名,身份证号等)。
- 不要相信任何让你安装软件、应用程序,或浏览器插件(如TeamViewer或AnyDesk)的消息。
- 注意,很多消息或广告用“免费赢大奖”的伎俩来诱使人们点击感染恶意软件。
- 收到任何请求,不要点击下一步,除非你已经核实过请求的真实性。你可以从其他沟通渠道联系请求的发送方来进行核实。比如,如果收到的消息请求针对你某平台的账号,你可以登陆账号来进行核实。如果收到的是邮件请求,你可以给邮件的发送方打电话核实。
- 详细阅读下面有关链接、附件、 文件后缀,和弹窗的部分。
了解我们推荐这样做的理由
安全专家认为,人的情绪和习惯是信息安全里最薄弱的一环。当我们被要求立刻做出反应、产生好奇心,或者感受到威胁时,我们往往会选择服从收到的指示。
人权工作中产生的精神压力会让我们特别容易被这一类攻击所害。我们中的许多人坚信自己不会被骗,但三思而后行可以帮助我们防范恶意软件,阻止攻击者暗地里监控我们的设备。
当你收到一个链接,请务必小心谨慎,不要直接点击
点击链接之前,请一定要检查链接地址,尤其是邮件、短信,或者聊天消息里出现的链接。
如何分析一条链接地址:
从“https://”开始寻找,找到地址中第一个斜杠“/”。
然后回到之前左边的点“.”找到这个点之前的词语。比如,在这个网页地址(
https://securityinabox.org/en/phones-and-computers/malware/)中,你要寻找的词是“ securityinabox”。这个词是否是你想要访问的网站域名?如果不是,那么这也许是个钓鱼链接。
这个gif动图展示出了检查网络地址的各项步骤:
如果你看到不认识的陌生链接,最好永远不要点击它。你可以复制链接地址,将其粘贴到以下页面扫描工具里进行检测:
如果你已经点击了陌生链接:
- 按照《数字安全急救包》的疑难解答进行操作:我收到了一条可疑的消息。
- 截图并将其发送给能帮你检查设备的人。
- 在你点击过陌生链接的设备上运行可以查杀恶意软件的杀毒软件。
了解我们推荐这样做的理由
大部分设备都是由于点击了链接而被恶意软件和间谍软件感染。
打开附件时请小心谨慎
- 警惕邮件、聊天消息、语音消息,及其他短消息中附带的陌生附件。
- 确认一下消息的确来自于你认识的人。通过其他沟通渠道联络发信人(例如当面交谈、打电话,或者让他们发邮件给你),与他们确认消息中的确带有附件。
- 如果你不得不打开一个可疑的PDF、图片,或文档,请使用Dangerzone来过滤其中的有害程序。你可以从Dangerzone的“关于我们”页面中找到他们支持的所有文件格式。
了解我们推荐这样做的理由
许多设备被恶意软件或间谍软件感染都是因为用户不经意间在设备上下载了可疑文件,致使文件中隐藏的恶意代码得以在设备中运行。
在电脑上显示文件的后缀名,避免被恶意软件欺骗
要保持安全,就要将文件管理器设置为显示文件的后缀名。
- Linux − Ubuntu系统默认显示文件后缀。
- macOS − 在Mac上显示或隐藏文件扩展名。
- Windows系统 − 想要将Windows系统设置为显示文件后缀名,请阅读微软的官方说明。
每当你打开一个文件之前,检查一下文件的后缀名——也就是点(“.”)之后的格式名称。有时候文件可能有两个后缀,类似于“.tar.gz”,这种比较常用。而“.jpg.exe”这种后缀就比较可疑。
问问自己:这是我认为的那种文件格式吗?这种文件后缀是否有些异常?你可以查阅维基百科的文件格式列表和文件后缀来了解文件格式的含义和功能。
了解我们推荐这样做的理由
他人为了在你的设备中植入恶意代码,有时会将程序伪装成无害的文档。其中一种伪装伎俩是改变文件后缀名,也就是文件名里点(“.”)后面的内容,大概2-4个字符长,这个后缀名显示的是文件格式。这些人会将他们需要运行的代码(“可执行代码”)的文件后缀名改成你熟悉的后缀名(如.doc,.txt,.pdf等等)来欺骗你。他们通常会将这种伪装过的文件作为附件通过邮件或者聊天消息发送给你。
避免可疑弹窗
现代大多数浏览器都会默认拦截弹窗。你可以在浏览器的设置里检查这个功能是否开启,以下列出了各个浏览器的检查方法:
- Chrome/Chromium浏览器 − 在 Chrome 中阻止或允许显示弹出式窗口。
- 火狐浏览器(Firefox) − 如何阻止弹出窗口。
- 微软Edge浏览器 − 阻止Microsoft Edge中的弹出窗口。
- Safari浏览器 − Safari浏览器不会默认阻止弹窗,但是你可以按照官方说明更改设置:在 Mac 上的 Safari 浏览器中允许或阻止弹出式窗口。
注意,浏览器阻止弹窗有可能会导致有些网站的关键功能受到影响。如果你需要特定的网站开启弹窗功能,你可以把这些网站加入到允许名单里。
有时,浏览器的阻止弹窗功能可能不起作用。为确保拦截弹窗和其它广告,如果你使用的是火狐或Chrome/Chromium浏览器,我们推荐安装uBlock Origin增加额外的保护。
如果弹窗还是突然跳出,不管是你否在使用浏览器,请按照下列步骤排除可能带来的风险:
- 首先不要点击任何弹窗。
- 仔细审视弹窗,上面对你有什么指示?
- 如果上面的内容不是指示你采取什么行动或是要求你的设备做什么,关掉弹窗(点击弹窗的“x”按钮来关闭),不要点击任何“是”或“不”的按钮。
- 全面掌握你都安装了哪些应用程序。不要批准来自未下载的应用程序的更新请求。
- 如果你不确定是不是你的应用程序或设备正在请求安装软件,请检查你的应用商店或软件的官方网站,看看是否最近发布了更新。如果发布更新,一般会有公告。或者你也可以查阅更新日志,找到最近发布的日期。
了解我们推荐这样做的理由
也许入侵你的计算机看上去很神秘,需要精于代码。实际上,诱骗你亲自为他们做些什么才是黑客最有力的工具之一。要求你执行某些操作的按钮或链接可能正在等着往你的设备上安装恶意软件。
使用杀毒软件或反恶意软件的程序
选择最适合你的杀毒软件
- 在Windows系统上我们推荐开启Windows自带的反恶意软件保护程序“Windows安全中心”。
- 在Linux系统上你可以使用ClamAV手动扫描你的设备是否感染了恶意软件。请注意,这只是一个恶意软件扫描仪,它不能监控你的系统防止感染。你可以用它来检测文件或文件目录是否含有任何已知的恶意软件——并且它可以通过U盘运行,这样即使你无法在需要检测的电脑上安装软件,也可以使用。你还可以考虑使用免费的杀毒软件(例如ESET NOD32)。
- 你还可以选择其它多平台的杀毒工具:
了解我们推荐这样做的理由
个人保护设备安全最关键的措施就是保持操作系统和应用程序始终是最新版本。但是,使用正确的杀毒软件或反恶意软件工具也同样能防止恶意代码感染你的设备。
安全使用杀毒软件
- 不论你选择了哪个杀毒软件,都应该了解如何鉴别你的杀毒软件或反恶意软件程序是否有效,以及是否会自动更新。
- 定期手动检测恶意软件和病毒。
- 注意,杀毒软件和反恶意软件的应用程序都会收集设备的使用信息,其中的一些信息会被分享给软件公司。过去曾发生过这些信息被售卖给第三方的案例。
选择一款反恶意软件的工具使用
- 请选择一款反恶意软件的应用程序来使用。如果你在一个设备上同时使用多个反恶意软件的程序,它们有可能会互相阻碍。
- 如果你需要更换反恶意软件的应用程序,请务必先完全卸载旧程序,再安装新程序。
了解我们推荐这样做的理由
同时使用两个或两个以上的杀毒软件或反恶意软件工具听上去好像更安全,但是这些软件往往会将彼此认定为可疑程序,然后阻碍彼此的正常工作(就像人同时吃两种药也有可能互相排斥)。请选择一款适用于你的工具。
将你的反恶意软件工具设置为自动更新
- 请保证你的反恶意软件程序允许你接收自动更新,如果不能,换另一款工具。
- 将你的反恶意软件工具设置为每日定时检查更新。
了解我们推荐这样做的理由
每天都会有新的恶意软件生成扩散开来。反恶意软件工具会随时发布更新来抵抗它们。如果你不让你的反恶意软件程序自动更新,你的电脑会很快变得易受感染,这个工具也失去了它的意义。注意,新电脑上预安装的工具一定要进行注册(并购买使用许可),否则它们过一段时间就会停止更新。如果你面临这种情况,想要换成免费的工具,请考虑卸载预安装的工具,从本章节推荐的杀毒软件中选择一款来替代它。
定期扫描你的设备以防恶意软件
- 如果你的反恶意软件工具有“始终保持开启”的模式,请开启这个模式。不同的工具里这个模式也有不同的名称,例如“时时保护”模式或者“常驻保护”模式。
- 如果你最近遇到如下情况,请扫描你的设备:
- 设备连接过不安全或未受信任的网络,
- 与他人共享过U盘,
- 打开过邮件附带的陌生附件,
- 点击过可疑链接,
- 看到你家中、办公室中,或社群里有人最近设备出了一些问题。
- 请不时对电脑进行全盘扫描。你不需要太过频繁地执行这个操作(并且最好在睡前执行这个操作),但如果你的反恶意软件工具“始终保持开启”的功能或更新机制出现了问题,你可以通过彻底扫描来发现这些问题。
设备的USB接口接入外部部件时,请保持良好的数字卫生习惯
时下的移动设备——不论是安卓设备还是iOS——都默认禁止了USB接口的数据传输功能,但最好还是避免将不受信的装置接入你设备的USB接口。当你需要给设备充电时,请遵从本部分的指导。
如果你的设备使用USB线充电,切记永远不要将设备直接插入公共场所的USB充电口,除非你能确信你使用的充电线只具备充电功能。请保证你用电源适配器插入电源来充电。
可以这样做:将你的充电线插入适配器,然后将该适配器插入电源插座,如下所示:
图片作者Electro-world-standard,CC BY-SA 4.0_](https://creativecommons.org/licenses/by-sa/4.0),来自[维基共享资源](https://commons.wikimedia.org/w/index.php?curid=102255920)不要将你的充电线插入如下图所示的USB插座,除非这个USB插口是你自己的适配器,或者你使用的是只具备充电功能的充电线:
[图片作者Amin,, CC BY-SA 4.0,来自维基共享资源
如果你不得不使用不受信的USB充电插口,你可以用USB数据拦截器防止设备从公共USB充电插口受到感染。请确保你使用的是自己所有的、可信赖的USB数据拦截器,因为假的USB数据拦截器不仅不能帮你防止感染,还有可能造成感染。
- 有关USB数据拦截器的更多知识,请参考为什么你需要USB数据拦截器。
- 如何几秒内识别出可能感染你电脑的假USB数据拦截器这篇文章介绍了更多有关假USB数据拦截器的内容。
永远不要使用地上捡到的闪存盘、记忆卡、光盘,或者数据线。已有案例显示,有人会故意将存有恶意代码的USB闪存盘留在公共空间,致使他人的设备感染恶意程序。
如果你担心将同事的硬盘接入自己的机器会有风险,可以考虑先使用CIRCLean stick检查该硬盘是否存在恶意软件。
了解我们推荐这样做的理由
恶意软件可以通过插入数据装置从一个设备扩散到另一个设备——特别是SD记忆卡、USB驱动器、USB数据线,闪存盘等外部存储媒体。公共空间的充电设施也发现过恶意软件。
针对敏感信息保持良好的数字卫生习惯
- 请始终将敏感信息加密储存或传送。
- 请仔细检查并确认你信息的接收人的身份。
- 请注意许多骗局是通过突如其来的电话或电子联系方式进行的,对方往往伪装成公司或政府工作人员诈取你的敏感信息。
- 请特别警惕询问你敏感信息的弹窗和可疑链接。
- 敏感信息包括:
- 你的出生日期和其他可识别的身份信息
- 密码
- 金融信息,包括银行账号和信用卡号
- 身份证件信息,包括政府颁发的身份证号、护照号,以及你单位的工作证号码
- 执照或许可证代码
- 你的指纹和虹膜扫描
了解我们推荐这样做的理由
有些你的个人信息,一旦被泄露滥用,后果可能极其严重。许多人都没意识到,用不加密的邮件来传送这种信息绝非常不安全,因为邮件里的内容往往保存在多个主机和服务器上,想要完全删除这些备份十分之困难。
保护其它“智能设备”的安全
- 请考虑一下你周围其他设备联网对你的安全性是利大于弊还是弊大于利。
- 请考虑当你不使用电视时将其完全断网或断电。
- 关闭智能音响设备,如 Alexa 或 Siri。以下是针对不同设备的基本安全指南,请参考其中“禁用语音控制”部分去设置:安卓设备,iOS,macOS,或 Windows。
- 关闭智能电视的自动内容识别(ACR)功能。自动内容识别是智能电视的一种技术,用来识别你收看的内容,判断该内容是来自有线电视、空中电视(over
the air)、流媒体,还是通过U盘等本地存储设备进行播放的。
- 苹果电视 − 禁用Siri以关闭自动内容识别(ACR)。
- 其它品牌智能电视,包括安卓电视、Amazon Fire、LG、Roku,三星和索尼 − 请先从这个指南中找到你想要的电视品牌,并按照该指南的指导来关闭自动内容识别。
了解我们推荐这样做的理由
有些恶意软件被设计成感染一台设备后,进而感染其它与该设备互相联网的设备。许多可以联网的智能设备不如我们的电脑和手机安全。这其中就有“智能电视(你可以通过手机应用程序来操作的电视)”,“智能家电(比如智能照明系统、智能供暖系统,甚至是孩子的玩具)”等等。攻击者会通过这些设备入侵你周围更重要的设备,或者利用这些设备形成“僵尸网络(botnet)”来攻击其它设备。 特别是智能电视,它们会通过一种叫做“自动内容识别(ACR)”的技术监听周围的声音、记录人们讲的话。它们会把这些监听下来的内容发送给广告商和其他第三方。你可以参考以下的说明来关闭自动内容识别的功能。
养成经常硬重启设备的习惯,并且每天晚上都关闭设备
了解我们推荐这样做的理由
间谍软件通常无法持久运行。如果你已经感染了间谍软件,定期硬重启设备可以清除这些感染。
而且,恶意软件经常趁你不使用设备的间隙来搜索或发送数据,这样你很难察觉到不对之处。将你的设备关闭并断开连接可以防止这种情况。
如果你怀疑自己的设备被感染……
将设备的网络连接断开
- 关闭设备上的Wi-Fi、移动数据、蓝牙,或者其它用于连接设备的无线连接。
- 将设备上用于连接其它设备的所有线路都断开(例如以太网线)。
了解我们推荐这样做的理由
将设备从所有网络连接断开能够防止恶意软件传送数据、接收指令,或继续感染其它设备。
避免将存储设备连接到已被感染的设备
- 不要把硬盘驱动器、U盘、记忆卡,或其他移动设备插入被感染的设备,除非是一次性设备,或者你懂得如何安全地为设备消毒。
- 同样地,请避免使用曾经连接过被感染设备的电子产品。
了解我们推荐这样做的理由
被感染的设备也会传染其它设备,所以最好还是将其隔离。
运行你的反恶意软件程序
了解我们推荐这样做的理由
一些恶意软件只要运行反恶意软件程序就可以清除。但请注意,某些恶意软件即使在彻底重装操作系统后仍无法清除。大多数恶意软件介于这两者之间:普通的杀毒软件可能难以清除,但可以通过进一步的手段根除。
使用急救驱动器
- 如果被感染的设备是电脑,你可以从反恶意软件急救驱动器重启电脑(例如Microsoft Defender脱机版或者AVG Rescue Disk)。
- 用完后,请将你用来创建急救驱动器的U盘丢弃。
了解我们推荐这样做的理由
如果你的设备不断感染恶意软件,或者无法完全清除它们,从急救驱动器来重启你的设备可以将操作系统中深度残存的被感染文件清除。
备份文件
- 将你的重要文件备份到一个没有使用过的干净硬盘上,最好是最好是能插入设备的硬盘。
- 注意,有时候恶意软件会伪装成你熟知的普通文件,尤其是PDF、Word文档,或图片等格式的文件。备份之前,请使用最新更新的反恶意软件工具扫描你的文件,确保备份的文件安全。
- 不要备份任何应用程序或软件。
了解我们推荐这样做的理由
你需要尽可能全面彻底地抹除感染设备中的内容,以消除恶意软件的所有残留。因此,请先确保你已将重要文件复制到新的、干净的硬盘上,以防不小心抹除这些文件,然后要保证这些文件没有受到感染。
通过删除用户数据文件夹来清理你的浏览器
如果你的浏览器出现异常,或者你怀疑它感染了恶意软件或病毒,除了使用反恶意软件程序进行扫描,你还可以通过删除浏览器的用户数据文件夹来清除感染。
请注意,删除用户数据文件夹会删除你在浏览器上保存的记录,如密码、书签、浏览器插件,或者cookies。删除用户数据文件夹之前,请按照以下指导来备份这些内容。
- 找到你的用户数据文件夹位置:
- 你可以备份整个配置文件的文件夹,或者跳到第 3 步,只备份书签和密码。如果要备份整个配置文件,可以将文件夹复制到计算机的其他位置,或者将其保留在原位置,但通过在文件夹名称后添加“-backup”后缀来重命名。
- 备份你的书签:
- 如何备份火狐浏览器的书签。
- 如果想要备份Chrome/Chromium浏览器的书签,请阅读 导入 Chrome 书签和设置说明中的“将书签移到或导出到另一浏览器”。
- 备份你浏览器里保存的密码:
- 请注意,如果你的浏览器受到了感染,其中保存的密码可能不再安全。清除感染以后,最好还是更改这些密码,并使用密码管理器保存密码。
- 备份火狐浏览器中保存的密码。
- 备份Chrome/Chromium浏览器中保存的密码。
将用户数据文件夹中的重要内容备份好以后,按照如下步骤删除用户数据文件夹,并将备份好的数据重新导入浏览器:
- 关闭浏览器,删除用户数据文件夹。
- 打开浏览器,检查一下是否如同新安装的一样。
- 如果浏览器的异常不复存在,你可以导入书签和密码。注意,如果你恢复你的整个用户数据文件夹,浏览器的问题可能会卷土重来。
了解我们推荐这样做的理由
有些恶意软件可以将自身保存的浏览器里。有时,清除感染的唯一办法就是删除浏览器的本地用户数据文件夹。
恢复出厂设置或重新安装操作系统
- 首先备份你的重要文件。
- 移动设备请按照下面的说明来恢复出厂设置:
- 安卓设备 − 安卓设备各不相同,但是你可以尝试使用官方说明将安卓设备恢复出厂设置。
- iOS设备 − 官方说明:用电脑将 iPhone、iPad 或 iPod 恢复为出厂设置。
- 电脑请按照下列步骤重新安装操作系统:
- Linux电脑 − 按照官方操作重装Ubuntu可以保证不会丢失主文件夹(home folder)中的内容。其它版本的Linux系统重装之前,请备份主文件夹。
- macOS − 请按照官方重装macOS的说明进行操作。
- Windows − 按照官方说明重新安装 Windows。
了解我们推荐这样做的理由
许多设备现在都支持完全重置操作系统。这样做可以排除一些恶意软件,但是请先确认你已经保存了重要文件。注意,重置操作系统以后,你需要重新设定某些设置,以及重新安装软件。
购买新设备
如果恶意软件感染的是旧设备,可以选择购买新设备。
了解我们推荐这样做的理由
很遗憾,有些恶意软件是无法从旧设备上完全清除的。在你尝试了本章节提到的所有挽救措施后,不管你的旧设备是否仍有感染迹象,最安全稳妥的办法还是购买一台支持最新版操作系统和其它软件的新设备。
进阶教程:使用可以直接启动版本的Linux系统(live Linux distribution)来备份文件
- 确保你受感染的设备未启用Wi-Fi、以太网或其他方式连接到网络。
- 购买一个全新的干净U盘。
- 在另一个未受感染的设备上插入U盘,创建一个Ubuntu或Tails的live USB。
- 关闭被感染的设备。
- 将live USB插入被感染的设备。
- 重启被感染的设备,该设备如无意外将从运行中的U盘启动。
- 将你的重要文件文件从被感染的设备上备份到一个新的干净硬盘上(请不要使用你创建好的live USB)。
- 注意,有时候恶意软件会伪装成你熟知的普通文件,尤其是PDF、Word文档,或图片等格式的文件。备份之前,请使用最新更新的反恶意软件工具扫描你的文件,确保备份的文件安全。
- 关闭被感染的设备。
- 将作为live USB的U盘丢弃。 *绝对不要 *将其再插入任何设备,否则它将会感染其它设备。
了解我们推荐这样做的理由
将你被感染的设备从安装了Ubuntu或Tails的live USB重启可以防止你的备份硬盘和其他设备免受传染。
注意恶意软件可能会通过PDF、Word文档或图片等格式的文件传播,请只备份至关重要的文件,并且在干净设备上备份前用杀毒软件扫描一遍。
进阶教程
保护你的路由器
- 你需要用管理员权限来登陆路由器,如果你已经将含有这些信息的路由器说明书遗失,你可以在下面一些地方找到这些信息:
- 路由器外壳上的厂家贴纸也许有这些信息,
- 默认密码,你可以在"常用路由器默认密码"网站 找到(在网站上搜索你的路由器品牌)。
- 最好还需要考虑到,为了加强安保,默认密码可能已经被更改。想一想有谁能够更改这个密码,他们有可能把密码保管在何处。
- 如果你无法登陆路由器,请试试将其恢复出厂设置。具体办法,请搜索你的路由器品牌,按照品牌的说明恢复出厂设置,或者参照How-to Geek的如何将路由器恢复成出厂设置教程。
- 打开浏览器,确认电脑连接的是你自己的Wi-Fi网络。
- 如果你不知道路由器控制面板登录页面的地址,可以尝试按照 Port Checker 网站中的说明操作。
- 登陆到路由器的控制面板之后,在你更改任何设置之前,先将控制面板上的初始设置截屏保存,这样以来,如果出现任何不可控情况,你可以随时恢复初始设置。
- 更改路由器的管理员登录密码。由于路由器的控制面板可以更改路由器的设置,你需要用你的密码管理器来生成一个独一无二的强密码并保存起来,具体方法请参考本指南关于密码管理器的部分。
- 重命名你的网络:
- 不要使用默认的网络名称(默认的名称会让攻击者得知你用的是什么路由器,从而利用这些路由器可能存在的漏洞来攻击你)。
- 不要使用能用来识别出你、你的组织机构,或你家庭的名字。
- 你也可以将你的Wi-Fi网络设置为不可见,这样一来,任何设备无法自动获得Wi-Fi网络的名称,也无法连接这个网络。确保你的设备可以手动输入这个Wi-Fi名称连接上。
- 在路由器的控制面板上查找如何更新路由器软件的信息(这称为“固件”)。如果可以,请上网搜索最新版本的软件并更新你的路由器固件。
- 在“安全协议”菜单里,尽可能选择WPA3、WPA2-AES,或WPA2(按照这个优先顺序)。如果你的路由器连WPA2协议也不能使用,最好还是买个新的路由器,因为其他协议会让你的路由器易受攻击。
- 确认你的路由器或Wi-Fi接入点已启用防火墙。大多数路由器或接入点都已启用了防火墙,但检查一下有备无患。
了解我们推荐这样做的理由
你的路由器是你的本地网络(包括你的设备与Wi-Fi)和整个互联网之间的网关,它的防火墙可以增加一层安保。并非每个人都可以访问他们路由器的设置。许多人从网络服务提供商那里购买路由器,有时这些路由器我们自己无法更改设置。但是,你总可以试试看访问你的路由器,更改它的设置,让你的连接更安全。又或者,你可以购买自己的路由器,进行安全设置,然后将其连接到网络服务提供商的路由器上,这样你就可以使用自己路由器上的Wi-Fi上网。
如果你的路由器软件很旧并且无法更新,又或者你希望对你的路由器享有最大的自主权,你可以考虑使用一个免费的开源软件替换路由器的操作系统,例如OpenWrt、DD-WRT或FreshTomato。请注意,更换路由器的操作系统是一项高级任务,如果执行不当,可能会导致你的路由器无法使用。
使用Qubes OS操作系统
Qubes是Windows、macOS,Linux的替代操作系统,它针对恶意软件有着极强的防护,可以将你的设备隔离成不同的安全区间,彼此不能互相访问。Qubes使用Linux。一定程度上,它看上去很像Linux操作系统。
避免使用没有使用许可的软件,请使用免费的开源软件来替代
Windows或MacOS等私有软件通常需要用户证明其是合法购买的,否则你无法安装更新。举例说明,如果你使用未经微软许可的Windows软件(也称为“盗版软件”),你可能无法更新系统,这将为你和你的个人信息带来极大的风险。有些盗版软件甚至携带了恶意软件。如果没有有效的许可证,你就会将自己和他人置于危险之中。
依赖盗版软件除了技术上的风险,还有其他风险。有些国家的当局以使用盗版软件的名义来没收异见人士的设备、关停异见人士工作的办公室。
遇到这一类威胁,你也不必购买昂贵的软件来保护自己。免费开源软件(FOSS)可以随时获取和更新,供大家免费使用。免费开源软件工具通常被认为比私有软件更安全,因为它们的源代码是公开的,并且可以供独立专家进行检查,识别问题,提出解决方案。这种透明的开发方式还使得其更难隐藏系统后门,让不法之徒难以暗地里访问你设备的重要部分。
免费软件是可供免费使用的软件,但不一定向公众开放其源代码。虽然外部专家无法检测其代码是否包含系统后门,但它可能仍然比未经许可或“过期”的私有软件更安全。
如果你依赖于某私有软件,请尝试使用免费开源软件替代之。如果你找不到可用的免费开源替代品,请尽可能地使用免费软件替代品,不要继续使用未授权的软件。
用来取代私有软件的免费开源软件可能与私有软件类似或兼容。即使你的同事仍在使用私有软件,你仍然可以用免费开源软件与他们交换文件、共享信息。请尝试用LibreOffice替换微软Office办公系统来入门。
Windows和macOS操作系统也有免费开源的替代品。Ubuntu Linux是其中最流行且最易于使用的一种。你可以下载Ubuntu的live USB版本试一试,将系统安装到一个U盘,将这个U盘插入电脑中,然后重启电脑。系统加载完成后,你的电脑将运行Linux,你可以尝试操作一下再做决定。从live USB启动的系统不会永久更改你电脑本来的操作系统或其他软件。当你尝试完以后,只需关闭电脑,移除Ubuntu live USB,即可返回本来的操作系统和应用程序。
如果你的电脑版本太旧,无法更新操作系统(如微软Windows或macOS系统),Linux也不失为一个替代良策。这种情况下,你可以考虑适用于旧电脑的轻量级发行版Linux系统,如Lubuntu和Xubuntu。