如左上角所示
来源:https://challenge-to-win.fandom.com/wiki/Challenge_2_Win_Official_Idles (许可协议 CC BY-SA (3.0) (Unported))

test1 发布的最佳帖子
-
pkuanvil 有新图标啦
-
RE: 关于隐私保护的研讨帖
https://web.pkuhollow.com/##101346
很抱歉,今天身体状况欠佳,在#101288拖了半天才勉强更完。
上一个洞,主要描述了各类操作系统级的加密以及用开源软件实现加密(注:商品宣传中常见有“硬件加密”,但它有没有后门一般更难以验证);以及一些可用的防火墙——它们都比较易于使用(需要细说吗?),移动端的网络权限控制甚至直接在系统设置中即可完成。
总而言之,保护您的重要文件,有助于减少直接数据取证等可能造成的危害。(以下是大杂烩内容)
加密DNS在许多桌面浏览器都是可选的设置(见早些时候的本系列树洞),请您自行选择合适的服务提供商,专门的软件或系统级加密DNS配置等等暂且不再叙述。另外,Tor Browser的DNS查询被Tor直接代理。
DuckDuckGo是一个不错的部分开源(核心是专有的)搜索引擎,也有洋葱站点。他们宣称:“我们的隐私协议很简单:不收集、不传播你的任何个人信息。”
如前所述,保护隐私的即时聊天、翻译服务等在https://www.privacytools.io都有陈列。是否开源、支持的操作系统情况以及广告情况等都会有所标注,可以作为选择时的参考。
如果PC支持BitLocker,和其他几家的系统级加密不同,它的密钥一般并非由用户密码派生,且由TPM管理;因此,您计算机的TPM器件至少不应在中国公司生产。
现代的智能设备拥有安全启动链,正确配置它有助于防止内核后门被恶意植入。Apple设备默认情况下具有安全启动。没有恶意的Android设备在安全启动链出现问题时,将在开机第一时间诚实地显示风险警告(如亲自解锁了bootloader,则可忽略)。Windows用户在
Windows安全中心->设备安全性
查看,如未启用,请在计算机的BIOS中按照设备厂商的文档指导开启。
Linux用户在Terminal中输入mokutil --sb-state
得到结果,热门的Linux发行版一般支持安全启动。
如有意见和建议,欢迎尽快提出。写作不易,洞主已有弃坑想法,拟于近期停止批量更新。
本系列文章为洞主写作,在保留来源的前提下允许复制转载。[洞主] 祝愿一个每个人的手机不再是电屏、计算机真正为多数人服务和学习的未来!
test1 发布的最新帖子
-
RE: 要不和交大门对接
像Mastodon之类比较大的API短期内不会有(Mastodon可能有NodeBB和Discourse的官方支持:https://www.pkuanvil.com/topic/443/能否在本站开启activitypub ,不过我和交大门站长都没有自己支持的意愿,基本上就是坐等官方支持了)。
小的集成可能有,比如说我在pkuanvil做一个界面展示交大门的帖子,手动搬运或者用API自动转发都可能。
-
RE: 能否在本站开启activitypub
NodeBB 官方似乎对这个有兴趣:https://community.nodebb.org/topic/17117/what-s-next-after-v3/7 ,
而且另一边 Discourse(NodeBB 直接竞品) 甚至粗略的计划也有了:https://meta.discourse.org/t/federation-support-for-discourse/90921/87ActivityPub 不是一个小东西,还要有更加充分的技术背景考量才行。(我只是听过这个名字,并不是太清楚它具体是啥)。不过既然 NodeBB 官方已经表现出兴趣了我们跟进官方实现就行
-
pkuanvil 有新图标啦
如左上角所示
来源:https://challenge-to-win.fandom.com/wiki/Challenge_2_Win_Official_Idles (许可协议 CC BY-SA (3.0) (Unported)) -
RE: Telegram 的隐私保护指南,和信息搜索工具
转自 PKUChatBot
收到读者消息,称被强行检查手机的时候,似乎检查者在瞄准Telegram。这种情况下该怎么办 ——
如果事情如描述的这样,这听起来不像是随机的拦路检查,它更像是有针对性的搜查。比如对白纸抗议活动的镇压,如果镇压当局认为动员发生在Telegram,并怀疑您是为支持者/甚或参与者,那么对您的设备的检查就会是这样。
检查者最容易关注什么?除了没来得及阅后即焚的聊天记录之外,他们可能主要关注:
1、用户ID。这个ID是唯一的,不可更改,不论您如何改变昵称、手机号码、代理等等,这个ID不变。也不可隐藏。
2、如果搜查与案件有关,这个ID将会被放入一个数据库。
3、警察可能会查看您在Telegram上的所有联系人,收集这些联系人的ID,并在上述数据库中寻找匹配。他们还收集您给联系人起的所有名字。
4、找到匹配后就能找到社交关系,然后用于逼迫目标人交出自己的队友。同样,他们也会对他们“熟悉的”电话号码感兴趣。于是,对此,您可以做的事:
1、为敏感的政治聊天和频道设置一个单独的账户。
2、使用 Partisan-Telegram(这里是安卓版:https://github.com/wrwrabbit/Partisan-Telegram-Android ),设置一个假的密码,输入后会自动隐藏或取消敏感信息。
P-Telegram 有两个密码而不是一个 —— 真实密码和假密码。如果用户输入了假的密码,则会执行一系列预定义的操作,例如:
- 使用 Telegram 向家人和信任的联络人发送自定义的紧急求救消息;
- 删除用户所在的聊天和主持的频道;
- 在此设备上注销帐户;
- 删除除当前会话之外的所有其他会话;
- 以及其他。
外观上它看起来很像是Telegram本身,以隐藏自己。
3、如果警察要求查看Telegram,请输入那个预设的假的密码,以显示一个您没有订阅任何政治聊天/频道的“脱敏”账户。
更多建议:
1、当您要注册一个新的账户时,请关闭与手机的联系人同步功能。从此之后永远不要让TG访问您的联系人。
2、要求您的家人、朋友或熟人等使用Telegram的人,同样关闭联系人同步。至少把您的联系方式删掉。
3、如果您是抗议活动的参与者,不要使用Telegram联系您的队友或媒体;至少要定期删除与抗议活动有关的所有联系人的对话。
-
Telegram 的隐私保护指南,和信息搜索工具
https://iyouport.substack.com/p/telegram-c2e
我们一直都不推荐 Telegram 作为敏感通信工具,它的唯一优点只有频道。但也因此,它汇聚了全球消息来源,尤其是对于突发事件来说,于是吸引了极大的人气。
我们此前介绍了 Telegram 用户被去匿名化的方法,见《从 Telegram 揭露您的身份信息可能吗? — — 有中国朋友提起了这个问题。答案是:可能》;本文将首先简单梳理 Telegram 的隐私安全问题,如果您必需使用它,至少应该注意这些事。
1、电话号码和其他与Telegram账户相关的数据都会被定期收集和储存,这对SIM卡实名的国家用户来说相当不方便(所有强制手机号码注册或验证的应用和服务都不值得推荐)。此外,当您的联系人之一加入该应用时,您就会收到通知(其他所有在Telegram上并且联系人中有新加入者的人也都会收到通知)。
2、标准的 Telegram 聊天并不是端对端加密的,要使用加密您必需手动选择。telegram 群组也不加密,甚至可以通过搜索引擎找到。
3、Telegram 只对传输中的数据进行加密(在服务器和终端用户之间),但它不对静态数据进行加密 — — 已经发送的信息未加密地存储在Telegram的云服务器上,理论上Telegram的员工可以随意访问所有这些信息,或者在数据泄露的情况下被无意中作为纯文本发布。这也是此前那位俄罗斯姑娘被抓住的可能原因之一。
4、如上,Telegram 上的群组和频道也是如此,无论它们是公开还是非公开的。在那里分享的任何东西,包括文件、多媒体等,都没有真正的隐私。
5、在对内容进行加密时,Telegram使用的是 MTProto,这是它自己的加密协议,也就是说没有其他人使用。虽然到目前为止还没有任何令人担忧的报道(MTProto毕竟是开源的),但这有可能成为问题,因为众所周知,专有的/晦涩的协议中的安全缺陷比被广泛使用的协议更难被发现。
如果您不得不使用 Telegram 并且担心自己的人身安全和隐私人权,唯一方法是为一对一的交流启用端对端加密。群聊就算了吧,真的不推荐。
请注意,端对端加密的聊天只能在移动设备中进行,不支持桌面版。
您可以在这里选择更安全的通信工具。
建议所有中国用户务必做到以下这些措施中至少90%;敏感用户建议做到100%。Telegram多年来都是中国当局的重点盯防目标之一,您可能也知道这件事。
1、位置隐私 —— 确保 “附近的人” 功能被关闭(进入 “联系人” > “查找附近的人”)。这项功能应该是默认关闭的,除非您出于某种原因将其打开了,不要打开。不要用它来找朋友!在抗议现场的人们建议使用 Briar 或 Berty 等。在这里看到更多。(最理想的状况应该是您在自己的团队中提前部署这些设施;最差的情况是在抗议现场紧急组织并部署这些设施,以绕开镇压者的渗透。)
2、电话号码隐私 —— 进入Telegram设置 > 隐私和安全 > 电话号码。在那里,关于谁可以看到您的电话号码 > 选择 Nobody。不论您注册用的号码是否实名,都建议选择隐藏。
3、在线状态隐私 —— 转到 Telegram 设置 > 隐私和安全 > “最后出现&在线“,在这里选择 Nobody。这可以让您对其他用户显示为永久离线。(这点很重要,加密货币爱好者可能更了解这一安全措施?如果您尚未了解并且感兴趣,我们可以在未来更详细解释。总之,这里先选Nobody。)
4、头像照片隐私 —— 进入Telegram设置 > 隐私和安全 > 头像照片。在那里,选择 “我的联系人”(很遗憾这个地方您无法选择对所有人隐藏,所以,请特别注意不要随便添加联系人!确保只添加您认识的人!在这里看到伪装您的熟人这种手段如何成为对您去匿名化的攻击形式)。
5、通话隐私 —— 进入Telegram设置 > 隐私和安全 > 通话。在那里,选择 Nobody。
6、消息隐私 —— 进入Telegram设置 > 隐私和安全 > 转发的消息。在那里,选择 Nobody (注意,在下面您可以添加个别例外。尽可能不添加比较好)。
7、群组添加隐私 —— 进入Telegram设置 > 隐私和安全 > 群组和频道。从那里,选择 “我的联系人”。这将防止随机用户将您加入群组和频道。
8、双因素身份验证 —— 进入Telegram设置 > 隐私和安全 > 开启2FA。
9、额外的安全 — — 对于那些有额外安全意识和/或需求的人来说,以下两个额外的功能可以利用:
a) 禁用数据和存储设置中的后台下载选项 Background Download —— 这将阻止应用程序自动下载媒体文件,让您可以更好地控制您想下载什么文件以及从谁那里下载。
b) 启用链接预览设置 —— 进入Telegram设置 > 隐私和安全 Privacy and Security > 数据设置 Data Settings > 链接预览 Link Previews。这将允许您在点击链接之前进行预览,以便减少钓鱼攻击的可能性 — — 建议拒绝所有缩短链接!在查看到原链接之前不要直接点击!查看原链接的方法在这里。
昨天我们提醒了 接下来更可能出现的局势 — — 不仅有“秋后”,还包括信息战,统治者将使用大量歪曲的信息污染抗议战略,分化抗议者、恐吓支持者,旨在扑灭那些已经燃起的火焰。
这种情况下后勤人员需要发挥作用:搜集信息、验证信息,即 开源情报。准确说是社交媒体情报。我们发布过非常多开源情报工具集(有一整个系列)但现在您可以不容易找到最想要的工具。于是以下内容我们将总结一些针对 Telegram进行搜索的基本工具。
强调,建议参与这项工作的朋友为 Telegram 安装一个桌面应用程序,这里是下载页面的官方链接,这样可以简化搜索,并允许您绕开移动应用环境的限制对URL进行操作。
聊天记录导出功能也只限于Telegram的桌面版。可以通过在桌面应用程序上打开感兴趣的聊天,并点击右上角的三点图标来找到它。您可以选择您的聊天记录导出偏好 — — 以及选择下载文件的大小限制(目前最大为4GB)。
Commentgram — 谷歌为Telegram频道中的评论定制的搜索引擎。
Lyzem — 被宣传为 “专门为Telegram和Telegraph平台创建的独立搜索引擎”。是搜索关键词、频道和公开组的可靠工具。包含一个允许用户对帖子进行索引的综合服务 — @IndexPost_bot。
Telegago — 专为Telegram的谷歌定制搜索引擎。
Telemetrio — 按评级、人气、国家等排序的Telegram频道的巨大列表。
TGStat — 包含大量的可搜索目录和特定国家的频道指标。
Tlgrm EU — 按类别分组的各种频道列表。这个网站维护着一个频道目录,如果您有自己喜欢的频道,可以通过填写一个小表格后将您的最爱加入该目录。
还有其他 Telegram CSE,很多开源情报爱好者都在开发自己的小工具,搜索结果可能有所不同,取决于它们索引的来源,也取决于这些来源的更新程度。比如这里是一个可靠的 Telegram CSE 的例子(作者不详)。
关于信息验证方法,见我们的列表-5中 “开始调查”板块。
就是这样!希望所有抗议行动的参与者和支持者都能顺利平安。
这两天来IYP回答了非常多的提问,很多中国朋友提出了重要的和值得深入研究的话题,令人兴奋。预告:接下来的时间里,我们将对这些问题进行仔细整理,并逐一发布我们的详细分析,最终汇总它们。因为这是一个非常好的机会可以提升各位有志之士在各方面的能力。此刻的工作要点,保护安全!保存实力! 晚些时候见。
️
-
RE: 关于隐私保护的研讨帖
@kgdjcb46158 无限注册的似乎只能在 i2p 上使用,能在 clearnet 上使用的都需要已有的邮箱收验证码 torrent 服务倒是有,不过 i2p 这个网速稍微大一点都没法下载
-
RE: 关于隐私保护的研讨帖
https://web.pkuhollow.com/##106858
#106841
以下是一些可供参考的外部链接,有助于一般学习:
Privacy Tools Guide——这里有很多保护隐私的即时聊天、翻译服务等,是否开源、支持的操作系统情况以及广告情况等都会有所标注:
https://www.privacytools.io/
类似Privacy Tools Guide的PRISMBREAK:
https://prism-break.org/en/
一个不知名博客:
https://program-think.blogspot.com/
《数字极权时代生存手记》——基本的数字移民或数字行动指南,包含社会工程学层面匿名导论:
https://reconsidera.github.io/#/
Digital-Privacy——特别全面的手册,对于个人敏感信息查询,保护措施,开源信息收集(OSINT)对抗:
https://github.com/ffffffff0x/Digital-Privacy/
现代隐私保护指南——提供一套较为完整的隐私保护方案,侧重于匿名:
https://archlinuxstudio.github.io/ModernSecurityProtectionGuide/#/
Anti-1984,抵抗国家机器对公民的监控(但是作者的”权证金丝雀“似乎”飞走了“):
https://gitlab.com/mdrights/digital-rights
以上参考链接仅因在技术方面各有所长而得到推荐。
对于其中的技术建议,宜量体裁衣;读者应独立思考,有所扬弃,明辨是非!
(2-10 0:41:39 35关注 5回复)[Alice] 虽然我大概操作不来,还是码一下
[洞主] Re Alice: 不急不急,日积月累嘛
[Bob] Good find!
[Carol] 建议转载tp洞
[Bob] 我也是这方面爱好者,但是没学过计网和操统,感觉很多基本模型不清楚,还是要学习一下