TuskedEvening0's Blog

如何防盒(第二版)

现今的刷机圈,有可能你提个不规范的commit甚至扩大自己装的逼都会被开盒。更恐怖的是,有时候根本无法追溯或者极难追溯。那该如何尽量避免,无法避免的话如何降低损失?

开盒可避免吗?

先给个结论,不能。安全最薄弱的环节在人。

首先,开盒是依托于社会工程学存在的,而社工本身存在的基础是人对外界的信任。人毕竟是社会性动物,不可能一辈子不会与外界交流,故你在任何地方(包括网络)干过的所有事情都会不可避免地留下痕迹,只是攻击者能不能找出这些痕迹罢了。

对于企业,企业本身也是由人组成的,故即使企业的安全措施做的再好,也总会有人能发现漏洞,或者内部有人托出漏洞。

其实上面这些说的也只是盒会不会存在而已,具体开这些的人另说。

如上所述,人作为社会性动物,为安全最薄弱的环节。他们可能会主动违反安全规章,不论是出于什么目的。他们作为有意识的人,你实际无法准确预知他们要干什么及对自己的看法,所以开盒不可预知且无法避免。

我目前得到的最新消息是啥

他们可以通过手机查找功能远控手机。图中远控手机品牌为OPPO/realme/OnePlus。(平台为OPPO Cloud)

然而实际上,经过我个人测试,小米也有类似的风险(OPPO也测过了,我拿OPPO Reno搞的)。也就是说,在各大手机厂商中,几乎没有任何一个厂商会在云服务上下二次验证,尤其是找回手机服务,拥有密码等于拥有了手机的最高操作权限。

如何降低被开盒风险

低调

如上所述,人是社会性动物,减少自己的痕迹,成为所谓沉默的大多数便是。

真诚

毕竟大多数开盒的会自建关系,其中不乏有很多错误的,这时候开盒的会自动站上道德高地,其余人的声音会被忽略,例如SakuraiLH那边,ReallySnow那边的指控从我得到的消息来看,有一半不正确但也能被大肆传播,但别人的说法中有一点足以把他送进去的事情反而被忽略了。

减少对自己不擅长项目的曝光量

例如,既然commit不规范会导致开盒,那为啥不直接选择闭源呢?不公开就永远不会被发现,不是吗?什么?GPL?GPL不是规定只需要公开源码吗?直接把源码打成压缩包不就得了?直接host在一个网站上,爱下不下。网站挂了?那是网站的事,反正开过源。哦对了,如果使用Git,记得把Git留下的痕迹删掉。注释?你都开始自保了还留着干啥?

审视接触的人

尽量识别危险人士,避免反目导致自己被开加户籍三次转手到自己手里,或者被另一个危险人士连坐。

谨慎交友

你对他掏心掏肺,对方有可能会把你做成夫妻肺片。以及,你怎么知道对方有啥事情呢,对吧,有些黑暗历史甚至未成年犯罪连某厂公关甚至基层民警都没法查出来,你又能如何通过推测推出来?

如何为开盒增加难度

随机非标准化密码管理加二次验证

说起来其实挺简单的,不同平台不同密码便是,只是每个网站都不能用同一种密码这个有点难受。其实用KeePass等密码管理工具就行。

二次验证主要是保证你的密码被crack开后仍有空间保护你自己,但针对某些没有道德不听谏言甚至要求平台删帖且不提示的厂商和某些厂商共创开盒者,我个人认为不如刷机,尽早润了为好。

双社交平台并行,轻重分离

实际就是生活和学习/工作分离,使得对方即使能干涉你的生活,都不会干涉你的学习/工作,毕竟工作/学习机会难找,生活可以随意打碎重来。

放出一些需经过简单途径可获得的假信息

情报战也是盒与反盒的一部分。这个我想应该很好理解吧。有一点需要记住,就是贬低自己永远比吹捧自己要好一些。

使用CTF中各方向解题步骤武装自己

我直接拿ISCC的定义解释得了。

这里实际上MISC方向的隐写最适合用来武装,一些你需要链接的公开信息可以用隐写伪装,例如用GHex在图片末尾写上你的信息,或是用诸如PixelKnox的工具隐写东西。当然这些很容易被默认压图的平台破坏,所以你也可以在头像P上二维码去除四角或阿兹特克码去除中间的dock(实际上不去除也行)。

当然不排除其它方向也有工具可以拿来保护自己。

一平台功能分散至多平台或者干脆关闭

避免一个被破,绑在那个平台的隐私全被看光光,尤其是手机厂商的平台。

在法律足够健全,很难见到偷盗事件的今天,有些时候关掉查找手机服务也不是不可以。例如我自己实际使用Google的查找手机服务,但实际上这种连接极度脆弱(到需每天重启网络服务)。

有哪些信息你需要注意

昵称相似度

原因很简单,越相似越容易被关联。隔壁Garden Chen那边还把 @pio_wonster 和 @piowonster1 跟 @piowonster 混淆了呢。说起来,在错认这方面,MlgmXyysd的MtF朋友们算是重灾区,也不知道哪里可以通知他们。

灵堂号

这个我想我不需要多说。一般它们所属于恶俗圈,例如 xiaozhan.sb 及其GitHub帐号实际上源于 @realnewesu 。

你自己的项目

你的朋友关系

你永远无法确定内鬼是谁,我和岛主和笨蛋ovo都遇见过。唯一方法就是理逻辑链织成网向上追溯。

现存泄漏信息中的错误部分

它们可能是溯源突破口,结合社会工程学和各安全媒体追起来更快。

被开盒后你需要干些什么

首先,保持冷静:在手机实名化加贷款+86化的今天,拿盒撸贷款的风险对开盒者本身风险极大;器官捐献申请需要手机号验证(感谢港毒把一些esu圈常见的事情摆在台面上倒逼平台封堵漏洞);短信轰炸API(本质上是各平台的注册/找回密码API集合)也不会放任被DDoS后DoS同一手机号……总之,开的盒到现在作用已经极其有限。

第二,寻找错误同时报警。报警这个不用说,寻找错误这个拿岛主那边开的我的盒为例,对方开错某信息了,但其它信息正确,这说明他们可能是从那个正确信息反推出来的错误信息。对外你可以当做是全部正确或是拿错误信息当梗玩。

第三,审视关系,看看自己惹过哪些人。还是拿岛主盒为例,我有个前管理因政治观点不相容关系破裂了,而他是某国内平台那边引入的。

当然,如果可以,直接用小号去对方群视奸摘取证据。拿到证据后记得给警察看,警察可能会要求你导出聊天记录或直接登录帐号。

第四,整理成逻辑网,将猜想转换为固定证据。你拿到的截图证据也可以转换成文字填进图里。

Maltego

这时候告诉下警方你的个人猜想,为对方提供证据。

需注意,以上任何步骤均不可以使用社工库辅助,原因是一旦你自己也开盒,任何的优势都不会在你身上了,你自己也会陷入到理亏当中。

当然,如果你想再干些啥的话,你可以执行以下步骤。

第六步,查找开盒人的牵扯项目。例如隔壁开手机号维护社区环境的ReallySnow,他同时作为PixelExperience和ArrowOS的机型maintainer。

第七步,写英文邮件发abuse给对应项目。

Evolution

当然对方大概率不会回复,但肯定会通知一下对方。对方最大可能是销毁证据,例如销毁小号。这个我个人建议是录屏记录UID等固定ID证据。

第八步,进群说明毁掉项目信用。毕竟谁会对一个纵容开盒的平台报以怜悯之心呢,即使强依赖如微信,张小龙都不知道死了几次妈了;即使公关如拼多多,谷歌也把它下架了,卡巴斯基还顺带带了波热度。当然这样风险很高,所以这个不推荐。

第九步,自己贡献项目自己带热度说明事件。毕竟你对社区做出了贡献,既然用户群把你ban了你可以把那些事写进ROM描述啊,XDA等还会删你帖子不成?不要被封锁禁锢思维。

被开盒后如何避免下一次开盒

很简单,哪里薄弱补哪里,顺便放点假消息。关系链开盒最好办法是筛选人士,使用Anti-Doxxing(反盒)名义提前封禁前科人士。我个人倾向于反盒和广告等联盟分离管理,私人封禁直接用ban而非fban避免伤及其它群。

这个话题我将会以岛主和FlyOS为例,毕竟岛主是一步步作到完全失去圈内信用导致任何形式的澄清全部无效使得esu可以随意炒作的人;FlyOS作者是我目前见到的因违反GPL v3和装逼的被炒作的最为严重的人。

首先最不能干的事情,就是附和esu圈来的任何信息。它们的目的就是炒作让被攻击人失去现存声量使其最终成为充气娃娃,而附和会让那些人确认自己方向正确。

第二,关注舆论,谨慎发声。SakuraiLH的崩塌源于被炒作所谓的“家里有权”;FlyOS的崩塌来源于被炒作其对于操作系统等概念本身的一知半解;岛主的崩塌来源于其对于舆论掌控程度的高估。记住,面对esu最不该干的就是恐吓,因为那些人平均学历根本不允许它们理解这种恐吓。

第三,完全打碎,重建体系。这时候圈内应该已经知道了你干过的事情和你没干过但被别人炒成了你干过的事情,但他们对目前所有的思想局限于你脑袋上挂着的昵称。你应该做的是尽量避开圈子,最极端的做法是只混外文非科技圈,等安全了再逐渐向中文机圈靠拢。圈内对你的热度会逐步降低,直到仅剩余几个与你相关的用于炒作的项目,如对应FlyOS的FuckOS。

第四,适时回去。这样的话基本没人会发现你了,除了某些情况你闹的事情实在太大,导致有人发现了你是承袭自另一个出名的人。

基本上到这里,你已经完成了对原先盒的脱离。

其他想说的

对用户

希望你们永远也不会遇到这种操蛋情况。

对社区声量较大的人,甚至社区环境维护者

放弃以开盒为辅的纠正手段。你们的行为最终会让整个社区的新人逃离。如果你试图靠润解决问题,我想那边民风彪悍加衰落贫穷的现状会狠狠地教育你。

我之前做过一个关于GPL遵守现状的问卷,目前共收集了30份,如下为结果。

第一次更新

该更新被零星分散在各部分。


发布于

分类:

, ,

标签:

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注


许可协议