给做公益事业的人的病毒防范建议

[wanghx]

1. 提供基本技术培训很必要。不要用任何中共国程序员开发的软件。
2. 但是往往教给他们复杂的技术会导致他们依然糊涂，误以为安全而掉以轻心导致更大损失。
3. 签名主办者信箱被攻击最有可能他们的电脑已经被植入木马。比如以前胡佳，滕彪的 gmail 信箱密码被盗。所有签名者的隐私信息都被狗东西获取，并冒充主人发欺诈邮件。需要调查 google 公司内部是否有走狗，以及 gmail.com 本身是否有程序漏洞。我觉得后者可能不大，否则老早有人发现了。最大可能是中共国内的用户自己的电脑被植入太多的木马。
4. 很有必要做一套方便的可以从光盘启动运行的 WinXP，以用于对通信安全有要求的场合。Linux 可以用 gOS http://www.thinkgos.com
5. 在推广突破封锁的代理技术之后，也需要推广 S/MIME, OpenPGP (PGP, GnuPG) 加密和签名邮件。
6. 你推荐他用自己的 DNS 名，我觉得换 BSP 更重要，可以把 blogger.com 作为主站，而国内发布拷贝，克服被删贴问题。

https://www.zuola.com/weblog/?p=1286

给做公益事业的人的病毒防范建议
这几天，我和一些正直的做公益事业的人在一起交流和工作，遇到几件事。

1. 第一件，2008年11月2号，我去艾未未的 发课(fake)工作室，说服他启用 http://blog.aiweiwei.com/ 来写BLOG。我发现他用的MacBook，但安装的是Windows XP，没黑屏，但接着又发现他用Internet Explorer(简称IE)浏览器，我问他用过Firefox没有，他也用过，他告诉我之所以用Windows XP是因为有些设计用到的软件是运行在XP下。人家是大忙人，我没敢啰里啰嗦推荐他用回MacBook的麦金塔什操作系统，也没敢强烈推荐他使用 Firefox还有TOR，他甚至不能意识到GFW的存在。
   
   他那里有ADSL，不过是用自己的电脑拨号，没有WIFI，我带了电脑都不能上网，我用他的电脑PPOE拨号，IE浏览器打开了几个网页，向他介绍我如何 在短时间内为他搭建一个BLOG，但是，我从我电脑里找回密码登录 https://panel.dreamhost.com 时，死活不认我的密码，我以为是他键盘的问题导致字母和符号输入不一致，还有一次断网死活打不开网页，重启后重新拨号就能上网了，仍然没有成功现场为他设 置好BLOG，我于是教他用Google Reader订阅RSS，告诉他我回去后帮他建立好BLOG，然后通知他改一下IP指向就可以启用blog.aiweiwei.com 了。但是今天我打电话问他是否有收到改IP的邮件时，他告诉我自我那天用过他的电脑后，他的电脑就坏了，重装操作系统了。我明天再去他家找他讨论时再强烈 推荐他使用ADSL路由器和FIREFOX。有ADSL路由器和Firefox，可以减少很多风险，如果艾未未用苹果电脑原来的操作系统，又可以减少许多 风险。
2. 另一件事，一直努力关注杨佳案的刘晓原未能介入杨佳死刑 复核，前阵子有消息称刘晓原Email邮箱被盗，密码被改，但他用密码找回功能找回密码了。刘晓原还在BLOG上次称收到威胁电话要求刘晓原不要接受采访， 本来准备到传知行做活动讲“我看杨佳案”都因为传知行被国保 要求而被取消了，结果 那天是由我来讲《BLOG 、新技术与公民报道》。
3. 第三件事，我在公盟做奶粉受害者索赔法律援助团的志原者，我帮他们创立了一个Google Group用于工作进度讨论，把一个受害者家长赵联海也加进来了，结果发现zhaoli...@gmail.com冒充zhaolia...@gmail.com发过 一封邮件，并在邮件里添加了四个doc附件，还不知道是否有病毒。幸好我从来对附件都是Open as a Google document ，并且我安装的是免费的OpenOffice和WPS个人版，即便 我下载并直接打开了有Wold病毒的文档也少了些可能性。看来国安和国保的工作强度和技术应用程度不底啊，但从他们干这些下三滥的活，也不知道他们是不是 真的为了国家利益。
   对了，谁有兴趣查一下那四个DOC文档有没有病毒？在这：http://dl.getdropbox.com/u/226211/attachments.zip
4. 第四件事，特赦杨佳签名超过四千 签名邮箱被破坏更 换邮箱 ，本来签名是发签名到teshey...@gmail.com ，结果原来签名的电子邮箱遭受破坏，无法启用，用密码找回也无法找回，备用邮箱也被改了，所以特赦杨佳发起人把征集签名的邮箱改为tesheyan...@gmail.com了。 这难道又是神通广大的国家安全局的人干的吗？要求特赦杨佳危害了谁的利益？刘晓原在他BLOG上批露的种种细节表明，杨佳案不符合法律程序，政府和法院的 行为妨碍了程序公正。杨佳的母亲到现在都没露面，有传言说杨佳母亲王静梅已经死了，如果真死了，这帐肯定记在上海警方和曾经获得杨佳母亲授权的律师谢有 明、谢晋身上。
5. 第五件事，我的BLOG被黑了，但没有找到类似iframe的恶意代码，只是发现有不明身份的人在</body>前面添加了一个 ZML的文字链接，就像这个网站底部一样 http://www.dalianweiquan.com/ ，不知道是不是利用了一个Wordpress漏洞，这链接是国外的，应该不是国内的人干的，只添加一个链接，算我运气好。只加这样的国外链接，就应该不是 从我电脑里种植间谍程序偷我的网站密码，我相信我坚持使用Firefox并且只使用官方网站上的软件，应该还是比较安全的。

给所有NGOer和看我BLOG的人的建议：

1. 你必须接受培训，懂得更多电脑知识才能免于恐惧；
2. 关掉并卸载你的防病毒软件，去掉对“警察”的依赖，自己用良好的操作习惯来保护自己才是正道。在防病毒软 件的保护下，你会增加很多危险行为让自己暴露在危险下，却以为防病毒软件能帮你应付危险，如扫描病毒后就放心大胆地安装非官方软件，这是很危险的。
   实际上，防病毒软件并不知道新病毒和新间谍软件的特征，对多数人来说，防病毒软件能给人安慰。
3. 开始使用Firefox浏览器。大多数病毒和木马程序通过网页和EMAIL传播，网页木马只针对 Internet Explorer，对开源的Firefox无攻击效果；
4. 慎重下载邮件附件。最好是开始使用在线的EMAIL程序，如Gmail。病毒和木马针对OutLook设 计，改用在线EMAIL，可以减少风险，我认为Gmail足够好了。对于别人发来的Doc附件，建议用Google docs来打开。
5. 开始使用ADSL路由器和无线WIFI的AP。ADSL路由器可以帮你完成PPOE拨号，还可以成为你的 网关，所有针对电脑的漏洞扫描和攻击都会被一台小小的ADSL路由器挡掉，ADSL路由器是你的防火墙，也是你的盾牌，让你免于被恶意攻击。
6. 使用Vista操作系统或关闭XP操作系统的autorun功能，可以防范多数U盘病毒。通过在U盘里生 成一个autorun.in 和desktop.ini来传播是最主要的U盘病毒传播方式。
7. 离开电脑要锁屏，用ctrl+alt+del，然后选择锁屏，或用windows键+L来锁屏。防止同事 在你不在的时候用你电脑。同事可能会故意放木马在你电脑，同事也可能是不故意的情况下，用Internet Explorer浏览网页导致你的电脑被网页木马入侵。

对了，艾未未和许志永都被我说动参加网志年会了，届时可以在广州的星坊60看到他俩。我会在网志年 会主持一个《无墙电脑—无障碍访问互联网》的议题，时间在2008年11月15号下午，我会分享一些计算 机使用经验给大家，包括但不限于无障碍访问互联网和网络安全。欢迎大家发邮件报名参加我主持的小会议，没报名的人不能参加这个小会议。参加我主持的小会议 的人都可以得到一件从美国寄来的Tor的T恤，还有机会得到我 设计的T恤。

[wanghx]

关于 gmail 的漏洞，google: gmail vulnerability

Gmail HTTPS Doesn't Protect Account, New Setting Does | Threat Level
from Wired.com
http://blog.wired.com/27bstroke6/2008/08/gmail-https-doe.html

平时总是用 https://mail.google.com 访问 gmail 全程加密连接，中恶意代码的
可能会低一些，拒绝一切不安全连接。但是恶意的钓鱼邮件，广告，浏览的一些恶
意网站依然可能导致问题。

3721实名，360安全卫士，上网助手, QQ 之类流氓软件绝对不要用。暴风影音这类
国产软件曾经捆绑恶意软件，现在也难说是否潜藏木马代码，未确认。推荐用
k-lite mega codec pack 代替。flashget, 迅雷这类中共国人做的下载软件也无
法保证安全，并且有隐私泄露问题。替代可以用 free download manager。orbit
downloader 功能不错，也是中共国程序员做的，曾经捆绑广告软件，安全性未
知。mediacoder 是中共国程序员做的，因为是 opensource 的，可信度高一些。

http://www.virustotal.com/
http://virusscan.jotti.org/
http://virscan.org/

可以把文件上传到这些网站，它会用几十种杀毒软件查，显示结果你拿到有疑问的
小软件，就可以这样测试。

系统诊断修复太费时间 所以不能轻信杀毒软件。
做个安全系统光盘，需要安全通信的场合，从光盘启动运行系统。参考：

[1] DriveImage XML
http://www.runtime.org/dixml.htm
类似 Norton Ghost 的功能。免费。

[2] Bart's Preinstalled Environment (BartPE) bootable live windows CD/DVD
http://www.nu2.nu/pebuilder/
制作启动可运行 Windows 的光盘。免费。

[3] UBCD for Windows
Windows 启动运行光盘工具。免费。可用于诊断，修复系统。http:
//www.ubcd4win.com/

[4] Ultimate Boot CD http://www.ultimatebootcd.com/

推荐 avast! antivirus, free 的，或者 AVG anti virus 都是捷克的公司做的，
有免费版本。网站上可以下载。捷克的社会相对俄罗斯更正常一些，所以我不相信
俄罗斯做的 kaspersky，宁愿用捷克的。kaspersky 和中共国的公司合作很多，难
免会搞鬼。升级病毒库，然后全面检查机器。断开网络检查。

然后，下载安装 google pack 英文版里面提供的两个免费的 spyware scanner：
http://pack.google.com/intl/en/pack_installer_new.html?hl=en&gl=us&ciNum=11
spyware doctor, norton security scan 全面检查系统。

另一个口碑比较好的反间谍软件的免费软件：spybot s&d:
http://www.safer-networking.org/en/index.html 。

进一步，还要用检查 rootkit 的工具清查系统可能的隐藏木马。这个比较罗嗦，
需要熟悉电脑的人容易做到。你应该找一个近的，高度可信的技术人员定期检查你
的电脑。这个人要绝对可信，如同你对自己一样信任。

检测 rootkit:
http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx
http://www.pcsupportadvisor.com/rootkits.htm
http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html 这个
免费工具，我没有试验过。
http://free.grisoft.com/doc/download-free-anti-rootkit/us/frt/0 推荐你先
试验这个检查是否有 rootkit trojan
http://free.grisoft.com/doc/20/us/frt/0 这个 antispyware
http://free.grisoft.com/doc/2/us/frt/0 这个免费的反病毒。现在 AVG
anti-rootkit 和 antispyware 合并到 antivirus 里面了。

avast antivirus 家庭版免费
http://www.avast.com/eng/home-registration.php
http://free.grisoft.com/ww.download
http://free.grisoft.com/ww.download?prd=afe

如果有重要的通信事务，必须用可靠的光盘启动运行的系统来做为好。因为平时使
用机器几乎无法避免不中招。
安全的专用光盘系统可以用 bartpe 做，网上也有一些，需要懂电脑的帮你定制。
把需要用的软件包括进去。
http://www.ubcd4win.com/contents.htm 这个是可以光盘启动运行的 windows

gos 原先预装 google app，现在变成 myspace 了 我还有以前的 google app 的
gos 版本光盘，但是估计用 windows 的更便利。我准备做一个 windows 的启动运
行系统来用。

还有种方式是采用虚拟机软件运行一个干净的临时系统用于安全通信。可以用免费
的虚拟机软件 microsoft virtualpc, vmware, virtualbox etc.但是占资源多一
些，技术复杂些。
http://www.reatogo.de/REATOGO.htm 这也是一个光盘运行系统。

norton antivirus corporate edition (navce) 有免费可以用的版本，不知道是
否盗版，网上可以下载到。
其漏检比率较高。所以我建议用各种不同的都检查看看。但是问题在于同时装多个
杀毒软件相互可能冲突。
所以可以装上以后，升级病毒库，全面检查查完了以后卸载掉。

如果你检查发现有木马了，那么基本上应该考虑重新安装系统。木马病毒现在变种
极多，根本无法杀干净。
但是要看病毒木马是否在关键位置发现。如果是在你下载但是没有运行过的文件里
面，就没关系。删掉那些文件即可。

如果在 windows 系统目录，system32, program files 之类目录下面，那么系统
肯定中毒了，最好重装。
如果在 temporary internet files 目录下面，也可能被浏览器运行了，估计也中
毒了。

http://www.grisoft.com/ww.download-trial 你也可以试验 avg antivirus 的商
业试用版，装上检查，查完了卸掉就是了。总之不要用中共国内杀毒软件

为了安全，你可以建一个没有管理员特权的普通用户，平时用这个用户上网浏览。
这样会相对安全一些。但是麻烦在于需要安装软件的时候要用 runas
administrator 方式。

如果要用到一些无法确认是否安全的软件，比如 keygen 破解之类，最好放到在线
多引擎查毒网站上扫描检查一下 [1]。

防火墙一般用 winxp 自带的也可以，要细致监视网络异常行为的话，那么就要用
控制能力更强的防火墙软件，比如 Tiny Firewall

老版本 Freeware ：
http://www.oldversion.com/program.php?n=tp*firewall*

6.5 试用版
http://www.download.com/Tiny-Personal-Firewall/3000-10435_4-10266527.html

评价
http://personal-firewall-software-review.toptenreviews.com/tiny-firewall-review.html

Tiny Personal Firewall 卖给了 Kerio，改名 Kerio Personal Firewall
http://en.wikipedia.org/wiki/Kerio_Technologies

然后又卖给了 Sunbelt，成了 Sunbelt Personal Firewall，提供免费版本
http://en.wikipedia.org/wiki/Sunbelt_Personal_Firewall
http://www.sunbelt-software.com/Home-Home-Office/Sunbelt-Personal-Firewall/

Tiny Software 继续开发 Tiny Firewall，然后卖给了 CA，成了 CA Personal
Firewall
http://en.wikipedia.org/wiki/Tiny_Software

CA Personal Firewall free trial:
http://www.webmasterfree.com/CA_Personal_Firewall_d7637.html

中共国做的天网防火墙，瑞星防火墙，虽然也提供细致的监视控制功能，我不信
任。需要注意：安全软件是最不安全的。

计算机安全学界关于“security software”的定义是：那些能威胁你的系统和数据
安全的软件。

[1] 木马病毒 在线查毒 光盘备份恢复系统
http://groups.google.com/group/Chinese_TUDelft/browse_thread/thread/5e7a5c4ee9b5dc04