林佑儒教授 | 春节旅行时的安全保护——封好信封再寄信

编者按

春节期间很多人都有返乡或出国旅行的计划,有一些很重要的网络安全知识需要大家去注意,以免陷入危险之中。人身的安全、财产的安全还有个人隐私的安全都是我们需要谨慎的。春节前夕,Kepha学院网络安全管理硕士项目主任林佑儒教授特别做了一场网络安全知识讲座,提醒大家“在寄信之前,信封一定要封好再寄信。”敬请关注并转发。

01. 260亿笔资料被偷

很少人会忘了封信封,就把信寄出去。但是很可惜的,在用网络在通信的时候,我们却常常忘记也要把信封好再寄出去。这就是我们今天要探讨的题目。

首先我们来看本周非常重大的一个新闻。你若是不在网络安全这个领域,可能比较少注意到,这是有史以来最大笔的资料被盗取了,总共有 260 亿笔资料,这是什么概念?全球也没有过。网络安全专家分析这 260 亿笔资料到底是怎么被盗的,怎么可能会有这么多笔的资料被盗?收集这些资料的人是经年累月在过去十几二十年来一直都在盗取个人的资料,那他们盗取哪些资料呢?除了你的名字、你的身份,你的地址、生日这些很普通的密码,他们还盗取了很多个人非常私密的一些东西。

这些资料的来源是在哪里?有微博,所以如果你有微博的话,你可能现在需要去更改你的密码了。然后有腾讯,在西方就有Linkin(领英),这些非常大的社交网站,用户的这些资料都被盗了,被盗得非常干净。这个新闻上面讲到研究人员去分析这 260 亿笔的资料,其中发现大概有 150 亿笔的资料是以前曾经就泄露过了,这一次又增加了 110 亿笔资料,我不知道你的资料有没有在其中。这里就牵扯到一些非常重要的问题,资料的盗取当然是跟网站的安全性有关。

02. 公共wifi隐藏的危机

可是有时候也是因为使用者个人的疏忽所引起的,使得当个人的资料被盗的时候,会引发一些你可能想象不到的危机,就是虽然你的资料被盗了,别人的资料可能借着你的资料也被盗了。这里牵扯到一些比较高深的网络安全的技术,我们在这边就不谈,但是当你在旅行的时候,有几个方法你可以好好的保护你个人的资料。

第一个就是公共的Wifi。我们在旅行的时候,可能每个人都会说我有自己的手机,我的手机上面有流量,就是有4G,有 5G,你可以用这些来上网,没有问题。你如果都用自己的,当然是非常的好,但是当你旅行到别的国家去的时候,你的 3G、4G、5G 可能就不能用了。

如果你没有国际漫游的话,那可能在机场或者在城市里面,你就会想要使用这些公共的Wifi,但是这些公共的Wifi其实隐藏了很大的危机,所以在你使用这些Wifi的时候,有几个要点你要注意。

当你在旅行的时候,如果你不需要使用Wifi或者不使用蓝牙的时候,就不要开启Wifi跟蓝牙。为什么呢?因为当你这些Wifi和蓝牙打开的时候,有时候如果你的手机或者你的电脑的设定是自动联网,当它看到熟悉的Wifi名字的时候,它可能就会自动连接。或者有时候有人想要连到你的手机蓝牙的,那个人以为这个名字是他自己的,所以他想要去连,可是却连不上。但是你的蓝牙如果实时的打开,有时候人家会用类似像airdrop,或者说 nearby sharing,他可能就会用蓝牙去传给你。

有时候人家有一些免费的东西传给你,好像图片,文章等,你就开启传给我,就接受。这个就非常危险了,你就开启了一扇门,让人家有机会进入你的电脑或者你的手机。所以不用Wifi和蓝牙的时候,应该就要关闭它。

第二个就尽量避免免费的Wifi,尤其是我们在机场,不可避免的,当你在机场你想要跟家人报平安的时候,这时候你就会想要用机场的Wifi。

但是不知道你们有没有这样的经验,当你到一个新的机场,比如说你到马德里,比如说你到法国,那些国家的文字我们也看不懂,看起来有些好像免费的Wifi,但是或不是,我们也不晓得。如果连接上,你的手机其实就处在一个非常大的危险。

什么样的危险呢?是因为这个Wifi是提供你信号的一个机器,但这个机器它本身其实是一台电脑,所以有心人可以在这台电脑里面安装一个中间人程序,你要传送什么一定要先传送到这个Wifi的发送机。它就会去把你所传送的东西解密,然后就盗取了你的资料。所以如果可以的话就尽量避免使用这些好像是免费的,其实有时候免费的东西是最贵的。

若是非要使用这种免费的Wifi的时候,最好的方法是去确认你所要联网的这个Wifi,它是不是就是它所宣称的是这个机场或者是火车站或者是旅馆提供的Wifi。有时候有一些有心人,他们会用非常类似这个Wifi的名字,比如Free Wi Fi, free LA airport Wi Fi类似这样子的名字,那你第一次到那种机场,或者你常常去,你怎么知道这个Wifi的名字有没有改过呢?那这就让我们自己在危险当中。

然后就是在旅行的时候,尽量要更改你的手机的设定。我们现在的手机、电脑都有自动联网的功能,所以你连过这个Wifi,下次他看到相同名字的Wifi,它就会自动去连。这时候如果你要到一个不熟悉的地方的话,最好的方法就是把这个功能给关掉,因为有时候它自动连接的时候,你都不知道它已经连接了。有的人就用那些很常见的名字来当作这个免费的Wifi的名字,你的手机不知不觉就连上了这些有心人的Wifi,就让你自己暴露在危险当中。

还有一个很重要的地方就是不要任意放置你的设备,不管你的电脑或者是你的手机,在欧洲可能就比较危险,在美国,尤其是美国南方是非常的安全,在亚洲某些国家也非常的安全。有时候我跟我太太去百货公司,或者说去一些公共场所,我们因为在一个安全的环境中习惯了,比如说要上厕所,手机就放在桌上,然后人就走了,那这个其实也让我们在危险当中。有时候当你把手机放在手桌上,你又忘记要把电源先按一下,因为当你按了电源,再开启的时候,它就问你密码,当然有的人是连密码都没设的,但当你放任意放置你的设备的时候,第一个你的设备可能会丢掉,但是你如果说是使用有那种追踪的装置的话,可能我们就比较放心。但是你有追踪的功能,你却没有开启,或者你有追踪的功能,但是你却没有设密码。

你不要说哪有人手机不设密码的?我妈妈就没设密码,因为她就懒得设密码。我相信有很多人也是没有设密码的,那这样你存储在你的手机里面的那些很私密的东西,比如说你银行的账号,你的照片什么的,就有可能会被人家偷走。所以要注意,不要随意的放置你的设备,一定要盯着,或者请旁边的人盯着。

另外就是当你到一个新的场所、新的城市或者是旅馆的时候,尽量避免使用公用的电脑。公用的电脑里面装了什么东西我们都不知道,那就尽量不要用。非用不可的时候,你记得当你打开浏览器的时候,你要使用这个private mode,或者就是私密的模式,它不会储存任何资料在这个公用电脑上。但是这个也很难说,因为你使用公用电脑,就算你开启了这个私密浏览模式,它还是有可能去盗取你所输入的东西。

有些电脑里面有这个 key logger (按键记录器),就是说你在这个公用的电脑上面所打的任何东西,其实在一些公司或者在一些机构里面也有这样子的程序,这个是合法的程序,就是它会记录你所输入的所有的讯息,这样的话你的资料就被偷了,不管你这联网是不是有加密都会被偷。

若是这些都不可能的时候,那最好的方法就是使用VPN。我知道在某些国家 VPN 是不准使用的,那在其他的地方 VPN 是广泛的使用。我现在旅行当中,所以我要连我们在美国的学校的这个邮件私服器的时候,我就需要使用VPN,这个 VPN 就可以保护我们的资料,我们所有传送出去的资料全部都是加密的。所以如果你传送的资料没有加密的话,就好像你寄信没有把信封起来一样,那这很容易就可以看到你到底寄了什么东西。

03. 如何封信封

在我们的Kepha MACS 网络安全硕士项目的课程里,就会教学生怎么样去看这个封包的资料。你如果上我的第一门课的话,第二个礼拜我就会教你怎么去偷这个封包,不是偷,就是怎么记录在网络上流传的封包,然后你就可以看到它里面到底存了什么东西,大家在传送什么,立刻就可以看。你如果有心的话,你自己去简单的搜寻一下,就可以知道了。所以你就发现当你在网路上传送的东西没有加密的话,那危险性是非常大,就好像你寄信根本没有封你的信封一样。

所以如果你要保护自己的隐私,最好就是用加密的密码,或者常常更换你的密码,所以一开始的时候我就讲到了有 260 亿笔的资料被偷,这 260亿笔都是包含使用者名字跟密码的。这里就隐藏了一个很大的危险,如果你的密码数十年来从来没有更改过,你就很有可能会暴露在这种危险当中。

有的人会说,我一天到晚都要更改密码,我怎么可能会记得住所有的密码啊?我们在前几次的分享中,就讲到了怎么样用很简单的方法来加密。比如说你要设密码,设一个简单又容易记得住的密码,比如说 apple 是你的密码,APPLE,这个太容易猜了,很容易记得住,别人也很容易猜你的密码。那我们怎样保护自己呢?你可以用我们上次所讲的那个方法。(编注:此处林教授现场演示如何制作加密密码,详情请观看视频。)

我们可以用另外一种方法,就是使用位移,让你普通的密码变成非常复杂的密码,比如说APPLE,我想到说我的位移是123,这个意思就是你第一个字母位移1,第二个字母位于2,第三个字母位于3,然后就这样一直重复。所以你的 apple 就变成什么呢?位移1就变成b,对不对? a 加1就是b,第二个 p 位移2,那就变成r,第三个 p 我们要位移3,所以再加一个3,就是S,第四个l位移1就变成m,最后一个字母E为位移2 就变成g,你的密码就变成brsmg,就变得非常的好记,又不容易被偷。

这种更改密码并没有真正的更改,只是你改变了你的位移。下次再更改密码,你就用 2、3、4 或者2、2、2。2、2、2就不好了,你最好是都用不同的数字,比如5、6、7 ,这样你的密码每隔半年更改一次,用不同的位移,最重要就是记得你自己的位移。你也不一定只要用 3 个数字,你可以用 5 个数字,像APPLE,你若用 5 个数字 1、2、3、4、5 就变得非常非常难破解。

如果说你的密码更长一点,比如i like apple,你用位移1、2、3、4、5、6、7、8、9,你如果用这样子的密码,基本上就非常非常的难破解,但你还要加上句点,或者说问号,或者说惊叹号,星星前面加个星星,后面加个星星后面加个惊叹号什么的,加上这些东西,或者在每个字的中间加惊叹号,类似这样子的话,那你的密码基本上非常难破解,是就算这些有心人想要破解密码,他也是懒得去破了,因为他要花太多的时间。为什么他不愿意花这么多时间去破解你的密码呢?因为还有其他很容易破解的密码,他干嘛要花时间去破你的密码啊?

那如果说连这个你也不想做,或者说你已经做了,但是你想要让自己的讯息更为保密的话,那有一个很好的方法,那就是用相同的方法把你要传送的讯息加密,然后再寄出去。比如说 meet me at Starbucks,类似这样子,这是我们的密码,这是我们要传送的讯息,meet me at Starbucks。然后你就用这种简单的位移 9、8、7 当作位移,每个字就位移这样子的数字再传送出去。当然你的接收者也需要知道你的位移是什么,然后他用相同的方法再把它解密过来,就变成一个非常简单保护加密你要传送的讯息的一个方法。

如果说你在我们的网络安全项目里面学习的话,我们还会教你怎么样写一个非常简单的程序,就可以来做这种非常复杂的事情,用最快的速度达到最大的效益,马上你就会做。这个是我们Kepha网络安全项目要教会学生的目标之一。我们的学生在学习一半的时候基本上都会了。可以很简单地写一些脚本就把这些做完了,前后大家不用花 10 分钟的时间。

04. 如何充电

旅行的时候,我们的设备都需要充电,手机需要充电,电脑也需要充电,那你是怎么充电呢?很多人会说要看哪里有插座,我就把它插上去就好了,其实这也是一个不对的观念。在美国有一个机构叫FCC,就是管理通信方面的组织,这是政府设立的组织,它最近就发布了一个消息,警告所有在外旅行的人,就是美国或者是欧美、西方,我想中国应该也有,全世界各地大部分都有,就是这个juice jacking。

Juice jacking什么意思呢?就是说有心人士会使用这些公用的插座,比如说 USB 的充电插座,或者说是可以让你补充电力的插座,他在这个插座里面安装一些设备,这些设备非常的简单,大概就 150 块美金。我用过,非常的容易。它看起来就像普通的充电的插座。然后使用的人就把线插上去,接上自己的手机,接上自己的电脑,然后它就开始从你的手机里面盗取资料,这个叫做juice jacking。所以如果可以的话,尽量避免这种免费的操作,这非常的危险。

最好的方法就是自带充电电池,可是有时候自带充电电池也不够。比如说长途旅行,有时候从美国回到亚洲,飞行时间 24 小时、 27 小时,我带再多的充电电池都不够,但是就是尽量的,如果能够带电池就用自己的充电电池。如果连自带充电电池都没办法的时候,那么要防止juice jacking最好的方法就是只带能充电的电线,也就是说不能给做资料传送的,只能够充电的,这样子的电线是可以的,这样就可以保护你的装置,可能这个是最简单的方法。

还有当你在充电,或者是不管任何时候,有时候我们手机用一用会突然跳出一个讯息,说你要不要充电?如果你要充电的话,按下这个按钮,我们不但帮你充电,还可以给你折扣什么的。世界上没有这么多免费的午餐,所以不要随便的就信任这些跳出来的信息,然后就接受。这个可能是 juice jacking 中的一个步骤。

05. QR Code的危险

另外就是我们在旅行的时候,有时候就比较放松,没有那么警觉,看到一个地方,比如说这个餐厅门口贴一个 QR code,说如果用我们的 QR code 的话,我们就给你 10 percent 的折扣,那你就很高兴地用你的手机去扫这个 QR code,然后就按连接,然后你就得到免费的 10 percent。

可是你真的不知道,这个 QR code 后面连接的这个网站的真实性有多少,可能大家不知道,但是你如果是学过网络安全的话,你就知道有些网站你只要一连上,他立刻就在你的手机里面植入木马,植入病毒,植入一些他们自己设定的一些脚本,那你的手机的资料,你的密码可能就被偷了,所以不要轻易的相信 QR code。有些人说免费的,你扫这个 QR code,我就给你什么,为什么有这么多免费的好事?这个是我们在旅行的时候要注意的,不要随便的去扫人家的 QR code。

06. 网络订房的危险

因为现在非常流行自助旅行,就是自己设定自己的旅程,自己订机票、自己订房,全部都透过网络来做。但是我想有些人,像我们家,我们每一次要出去旅行的时候,要订机票的时候,我们不会去找旅行社,我们不会去找代理的人,会自己去定,会去找一些最便宜的机票,或者最便宜的订房。

如果说这个订房的网站你不熟悉,你在网络上可以看到千千万万个各式各样的订房的服务、机票的服务或者旅游的服务,这些网站你都要特别的小心。你要先去认证提供服务的这些网站到底是不是合法的,到底是不是有危险,你再去订房,不要只看到便宜就买了。

订房或者订机票的时候,你要输入你自己的身份,你的名字、出生年月日、护照的号码,全部的东西你都要给他,连你的信用卡的卡号后面的那些认证码全部都要给他,你想有多危险?如果你订房的这个网站是不安全的,那你个人的资料就完全被偷了。

07. 更新手机系统

在旅行之前记得要更新手机系统,更新到最新,要查看你的手机有没有最新的更新。去年有很多的人非常的生气,因为在美国有很多人的苹果手机不知道什么原因被盗了,手机被偷是一回事,更重要的是手机被偷了之后,他们跟苹果相关的所有的账号密码全部都变成不能使用。而且不只是这个样子,使用苹果的人喜欢在苹果的手机上面记录自己使用各个网站的密码,比如说银行网站的密码,甚至很重要的资讯都会写在 notes 里面,所以当你的手机被偷了,而且很不幸的密码也被偷了,那么你写在这上面的东西全部都一并被偷了。

所以去年中到年底在美国发生好几起手机被偷之后,个人在苹果上面的资料也全部都被清空,而且两分钟之内所有的密码,个人的资料全部都被清空,这是怎么做到的呢?原因是当我们在旅行的时候,我们比较放松。

后来那个人被抓到了,他说苹果手机是被公认最安全的手机,使用的人反而过于疏忽了。所以当我们在旅行的时候,当我们放松了的时候,我们在打开手机要输入密码的时候,一般的人或者我自己就是摆在我的脸的前面,我们都很少去注意旁边有没有人在看。

被抓的那个人才 32 岁,他是很厉害的小偷,所以他在偷的时候被偷的人都不知道。可是更厉害的是,当他找到目标的时候,他就跟在那个人的身边,等到那个人把手机拿出来开始打入密码的时候,他就把他的密码给记录下来。当他一知道这个密码,拿到手机之后,他说10秒之内我就可以把这个手机主人的 apple ID 全部都更新,第一个就更新密码,第二个就更新这个使用者,10 秒钟之内就算你的手机有tracking,就是说可以追踪你的人的所在,可以追踪你的手机的位置,可以远端清除,他在10秒钟之内全部都能把它变成不能使用,手机马上就变成他的。

他说当他愿意的时候,一周可以赚大概 100 万美金。这 100 万美金怎么来的?就是把这个手机的使用者的银行账号里面的钱全部都搬空,还不只是这样,手机银行的钱搬空之后,他不留下这个手机,他把它全部重置,然后在网络上卖这个手机,又赚了另外一笔。

但是很幸运的是,苹果在前几天终于把手机的密码更新系统全部更换。所以现在当你在旅行的时候,苹果系统就知道你在旅行,如果你要更改密码,一个小时之后才会让你更改密码,而不是像以前立刻就更改, 10 秒钟之内就更改。

所以更新手机的系统非常的重要,因为他们会有及时的安全上面的这些更新,使得这些旧的手法就不能够应用在新的手机的系统上。所以旅行之前记得更新手机,尤其是如果你是苹果手机的使用者,请更新到最新的系统,这个可以保护你,非常的重要。

08. 鸡蛋不要放在同一个篮子里

刚刚讲到手机被偷,我们有时候真是没有办法避免东西被偷,要防止这样的事情的发生,最重要的就是你不要把鸡蛋都放在同一个篮子里。这是什么意思呢?就是如果你那些私密的东西,公司重要的东西、个人重要的东西,你不要把所有的那些极端机密的东西都放在同一个装置里面。你可以手机放一些,电脑放一些,有些就写在纸上,不要把所有的东西都放在同一个装置里面。

还有这些东西都应该要分开放,有些放在你的口袋,有些放在背包里,有些放在小的背包或另外一个行李里面,不要全部都放在同一个地方。因为当你东西被偷的时候,如果说刚好你所有的资料都放在同一个包包里面,虽然你用不同的装置去装那些机密的资料,同一个包包全部被拿走了,那你所有资料也都被拿走了。所以有些随身带,有些放在手提袋,有些放在旅行箱,有些放在不同的地方,这样子你就不会一次所有东西全部被偷了。

09. 有时纸本更安全

刚刚我还讲到,是不是有些东西你可以把它记录在纸本上?我们现在是在一个很进步的社会,我不知道你上次拿起笔来写在纸上是哪个时候,但是有时候纸本可能是更安全。但是很重要的一件事就是有些人有个习惯,把密码写在纸上,这样就不太安全,或者你就可以用我刚刚所讲的方法,你的密码再加密一次。这样虽然被偷了,他也没有办法使用那些密码,除非他知道你加密的这个移序,所以有时候纸本更安全。

而且重要的资料应该要写在纸本上,在你旅行前。比如银行的通信方法,比如说他们的电话,他们的联络的方式,银行的账户,银行的密码,账户的号码,密码,信用卡的密码,信用卡的公司,还有到期日,有时候你要有一些备份,写在一个安全的地方,写在纸本上,随身带着,这样会比较安全。

注:文章中涉及的立场,仅代表嘉宾的个人观点,不代表本学院的立场和观点。

作者简介
网络安全硕士项目 客座教授
  • 美国佛罗里达大学电机电脑博士
  • 创建 Kepha 学院网络安全硕士学位课程,现任主任
  • 目前在查理司顿南方大学担任 MSCS 硕士主任,创建查理司顿南方大学网络安全相关学系课程
  • 专长于电脑网络通信、加密技术以及网络安全
  • 具有 20 年的面授、网络教学经验