關於上網安全的若干問題

【明慧網2000年7月19日】 目前,安全部門對網絡的監控主要有如下幾個方面:

1、追蹤用戶的IP。
這裏的IP是指IP地址,也是上網用戶的唯一身份說明。由它可獲得用戶的上網電話及其他資料。這樣,安全部門一旦掌握你上網的IP,就非常容易查到你了。要避免暴露自己的IP,我們可使用安全的、可保密的代理服務器。

2、利用COOKIE。
安全部門另外一種常用的監控手段是利用上網用戶電腦中的COOKIE。所謂Cookie就是當你在網上登記註冊、或登錄某些網頁、或瀏覽某些網頁時,網絡管理人員或其他人員在你的電腦裏「植入」的一段小代碼,它記錄了你的電腦的配置、上網瀏覽的習慣及其相關他資料。因此,一旦安全部門通過某些方法掌握到了你上網時電腦的Cookie,也就很容易查到你了。要對付Cookie,可有三種辦法:一是乾脆禁止,這可以通過設置瀏覽器的安全程度來實現;二是定期刪除之,這可以找一些軟件來做,如:「優化大師」或「超級兔子魔法設置」等,或者乾脆手工刪去電腦中相應目錄中(一般在\windows\cookies目錄中,也有些情況IE在「Temporary Internet Files」中,Netscape在中)的所有Cookie;三是可到網上下載一些專門管理、禁止Cookie的小軟件。

3、利用ActiveX和Java等代碼。
除Cookie之外,網上有一些網頁本身包含了一些不安全的ActiveX和Java等代碼,當你訪問這些網頁時,網站管理者也可以獲得有關你電腦的更多信息,由此不難確定你的身份(比如通過你在安裝Win98時的註冊名等等)!要防止這種情況發生,也可以採取前面所說的通過設置瀏覽器的安全程度來實現。

4、監控EMAIL。
對用戶的EMAIL進行網絡監控主要有兩種方法:
①採用一些過濾軟件,對信箱的來信的發件人,收件人,標題等字符串進行過濾,這種過濾主要是針對一些特定目標來進行的,如針對國外一些著名組織或一些重要信箱等,所以,如果你用自己國內的或已暴露的信箱貿然與國外的某個知名組織的公開信箱或其他重要信箱聯繫,便有可能被監控到。
②直接抽查用戶信箱。本來各ISP商的網絡管理員使用超級帳號就可以看到所有用戶的信箱內容。但是,公安仍然信不過這種檢查,一般網絡管理員也沒有耐心去做這種無聊的事,所以從98年起,各地公安陸續開始安裝直接可以偷看所有本地用戶信箱的程序。這當然是嚴重侵犯公民隱私和基本人權的違法行徑。而對於那些難以一一察看的、面向全世界而不屬於本地的免費信箱(如:www.163.net),國內公安雖然不可能一一察看,但卻可冒天下之大不韙,必要時將免費信箱網站強行封閉。去年七月就採取了這種空前的封鎖行為,首都熱線的263,廣州電信的163,北京網易的yeah.net等中國最大的一批免費郵件服務站點被公安部門強迫關閉了幾天。

5、此外,安全部門從理論上說可能會在你的電腦裏植入「特洛伊木馬」(實際上為一種病毒)(雖然這種機會不多),一旦他們成功,你的電腦就相當於完全透明!因此也要養成定期清掃電腦病毒的習慣。

針對以上各種監控方法,我們可採取如下幾種辦法避免被監控到,從而在網上安全活動。

一、設置好瀏覽器的安全程度:

1、 IE設置:打開:tools(工具)欄,選Internet Options (Internet選項),

(1)選「safe」(安全)項,點「自定義級別」,在Cookies選項中,在「允許使用存儲在你計算機中的Cookies」中,選中「禁用」;在「允許使用每個對話Cookies(未存儲)」中,選「提示」,這主要是方便以後碰到來歷不明的人使用對話Cookies時,可選「否」,以不讓其使用。在「用戶驗證」中,「登錄」選「匿名登錄」。
(2)選「高級」,在「安全」中,可將所有的選項打勾。
(3)選「常規」,在「歷史紀錄」中,「網頁保存在歷史紀錄中的天數」選0天。

2、 Netscape4.03、4.05中文版設置:

(1)選「導航器」菜單,選「工具」選項,點「安全信息」,①點「導航器」,將所有的選項打勾。②打開「口令」,點「設置口令」,設置自己的口令或密碼。③可根據需要,設置證書等其他選項。
(2)選「編輯」菜單,選「首選項」,在左框中:①點Advance(高級),在右邊的選項方框中,打上所有的勾;在Cookie中,選「禁用Cookie」;②點:「漫遊服務」,選「項目選擇」,取消「Cookie」、「歷史紀錄」的勾號。

二、 使用代理服務器PROXY

1、查找代理服務器。
我們可用「代理獵手」或其他搜索軟件在上網的時候搜索。不過搜索得到的代理服務器一是必須是國外的,二是還必須檢驗其安全性。這裏提供一些國內和國外的地址段:
202.118.208.0─ 202.127.204.255 國內
202.128.00.0─ 202.128.095.255 關島
202.130.00.0─ 202.130.249.255 國內
202.131.00.0─ 202.136.127.255 國外
202.136.254.0─ 202.136.255.255 國內
202.137.00.0─ 202.191.255.255 國外
202.192.00.0─ 202.207.255.255 國內
等等。在設置代理獵手搜索時應在國外的地址段中選擇。當然,上述地址段內有些小段可能還會有些出入。注意選用的代理服務器還必須是免費(free)且速度較快。

(1)關於搜索到的免費代理服務器的具體地址,我們可用「追捕Wry」或「Whois」等軟件進行檢驗,以確定其具體地址到底是在國內還是在國外。例如,我們先用代理獵手在地址段202.137.000.000──202.191.255.255進行搜索,得部份代理地址,然後再用「追捕」檢驗,部份結果如下:
202.141.24.20:8080@HTTP$6&2692,11596,11651,印度
202.143.135.7:8080@HTTP$6&460,3768,3788,亞洲
202.143.157.10:8080@HTTP$6&3444,13086,13114,亞洲
202.144.24.6:8080@HTTP$6&1328,4813,4867,印度
202.144.24.251:8080@HTTP$6&1476,15371,15371,印度
202.144.25.6:8080@HTTP$6&1376,13112,13126,印度
202.144.29.131:8080@HTTP$6&1338,5883,6458,印度
202.144.29.135:8080@HTTP$6&1351,5917,6477,印度
202.144.54.26:8080@HTTP$6&2029,12216,12696,印度
202.144.129.36:8080@HTTP$6&1471,9227,9840,不丹
202.145.33.118:8080@HTTP$6&323,3185,3636,台灣

202.145.90.222:8080@HTTP$6&850,3520,3520,台灣
202.145.123.130:8080@HTTP$6&3238,5301,10005,台灣
202.145.123.131:8080@HTTP$6&275,5621,7042,台灣
202.145.123.139:8080@HTTP$6&989,3297,10275,台灣
202.145.123.140:8080@HTTP$6&1051,6341,6341,台灣
202.145.123.141:8080@HTTP$6&915,3288,7591,台灣
202.145.123.145:8080@HTTP$6&3212,9765,11622,台灣
202.145.123.147:8080@HTTP$6&3605,8475,9807,台灣
202.145.127.18:8080@HTTP$6&181,4076,4076,台灣
202.145.161.65:80,台灣
這裏要特別注意名為「亞洲」的代理地址,如不能另行確定,還是不用為好,以免為國內地址。

(2)關於搜索到的免費代理服務器的安全性。一般情況下,PROXY都可對外隱藏你的IP,但是如果有人刻意(如在論壇上)安裝一個小程序,還是能取到你的上網IP,只有少數PROXY能將你的IP完全保密。故檢驗代理服務器的安全性非常重要。我們可用該代理服務器上到一個代理服務器論壇http://cachenow.virtualave.net/forum/index.html ,用其中的代理服務器檢測工具進行檢測,如果所有的CGI環境變量都沒有包括自己的IP地址,則該代理服務器就是安全的。例如:我們對前面搜索到的代理地址202.145.161.65:80進行驗證,結果如下:
CGI Environment Variables(CGI環境變量)
HTTP_VIA=1.0 ACC_SERVER
DATE_GMT=Tuesday, 18-Jul-2000 16:25:54 GMT
DATE_LOCAL=Tuesday, 18-Jul-2000 09:25:54 PDT
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword,
application/x-comet, */*
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=cache.virtualave.net
HTTP_REFERER=http://cachenow.virtualave.net/forum/index.html
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)
LAST_MODIFIED=Friday, 05-May-2000 00:41:12 PDT
QUERY_STRING=
REMOTE_ADDR=202.145.161.65
REMOTE_HOST=
REMOTE_PORT=3766
REQUEST_METHOD=GET
REQUEST_URI=/env.html
USER_NAME=daili
GET or POST_DATA=[]
上面所有的環境變量都沒有包括本地IP地址。特別注意環境變量REMOTE_ADDR=202.145.161.65,即遠端地址仍是代理服務器地址。故代理地址202.145.161.65還是比較安全的。

當然,這樣的安全代理只能說明它可以對外隱藏你的IP,卻不能完全說明它本身就是安全的。因為僅憑這些我們還是沒辦法知道該網站本身是否就是黑客開設的或它本身是否就在搜集你的IP及其它資料。所以,一般我們應儘量使用那些大家常用、比較公開化的、有較好信譽的那些免費代理服務器,而且一個代理服務器也不要使用太長時間,要經常更換。另外,需要注意的是,許多免費代理服務器由於種種原因隔一段時間會自行關閉或不再免費,因而會出現再不能連通的情況,此時就應更換代理服務器。

獲取代理服務器還有一個方法,就是經常瀏覽一些代理服務器的網頁或論壇,從中得到另外一些代理服務器,特別是得到一些可以自動設置的、安全性較高的代理服務器。例如,瀏覽www.spaceproxy.com時,就可得到可以自動設置的代理服務器地址:http://www.spaceproxy.com/proxy.pac,到時可在瀏覽器代理服務器的設置欄內──自動設置代理(Automatic proxy configuration)的地址欄中填入該地址即可。採用這種方法設置的代理服務器安全性也較高,建議大家首選。

2、設置代理服務器。
(1)普通代理服務器的設置:下面以202.145.161.65這個Proxy為例, 說明如何在瀏覽其中設定普通代理服務器Proxy。
①Netscape4.0以下版本的設置: 打開「Options(選項)」菜單,選「Network Preferences(網絡首選)」,選擇「Manual Proxy Configuration(手工設置代理)」,並按下View(察看),在 FTP/Gopher/HTTP Proxy: 中填上202.145.161.65,在相應的 Port:(端口)填上80。最後按「OK確定」退出。

②Internet Explorer 3.0(中文)設置:選「檢視」,選「選項」,選「連線」,在「透過Proxy 服務器連線到Internet」上打勾並按下「設定值」 按鈕,分別在 HTTP/FTP/Gopher 的Proxy 位址填上202.145.161.65,並在「連接埠」中填上80。最後按「確定」退出。

③Netscape 4.0x版本的設置:選擇「EDIT(編輯)」菜單,選擇「Preferences(首選項)」,在左框中選擇「Advanced(高級)」,選擇「Proxies(代理)」,選擇「Manual proxy configuration(手工配置代理)」,打開「View(察看)」,除socks欄外,其餘欄中都可填入202.145.161.65,在Port(端口)中填入80,按Ok(確定)鍵退出。如果要取消使用代理服務器,只須選擇Direct connection to the Internet(直接連接到Internet)即可。

④IE(Internet Explorer)4.0以上中文版本的設置:選「工具」菜單,選「Internet選項」,點「連接」,如果是撥號上網,就點撥號設置旁邊的「設置」(如果是局域網,就點下面的「局域網設置」);如是手動設置,就在「代理服務器」下的「使用代理服務器」前面的方框中打勾(如果是自動設置,就在自動配置下面「自動檢測設置(A)」和「使用自動配置腳本(S)」前面的方框中打上勾,並在地址欄內填入自動設置的代理服務器地址),並在下面的地址空欄內填上202.145.161.65,在端口欄內填上80;點「高級」,在最上面一欄Http(H)內,填入202.145.161.65,並在Port(端口)中填入80,然後,在下面「對所有協議均使用相同的代理(U)」前的方框中打上勾。最後按「確定」退出。

(2)使用二次(多重)代理服務器。即在瀏覽器中設置一般安全代理服務器之後,打開以下其中的一個網頁(也可將其設為主頁,以便每次打開瀏覽器時自動打開這些網頁),並在網頁提示處(Surf後面的框中)輸入所要瀏覽的地址或直接使用下面提供的方法,這樣可獲得進一步的安全保護,加大安全係數。可用作二次(多重)代理的服務器地址如下:
①http://www.siegesoft.com/
CGI代理,需要在頁面填入要去的網站地址。可提供SSL加密,速度也不錯,可作二次代理首選。
②http://www.noproxy.com/
速度不錯,自動選擇提供一個CGI代理服務器,提供url加密,需要在頁面填入要去的網站地址。
③http://www.mokichi.com/
一個日本網站,速度不錯,使用方法:
http://www.mokichi.com/test/nph-proxy.cgi/000/http/你要去的網站地址
④http://www.rewebber.com/
提供三個網址,其中有SSL加密(!),要求打開JavaScript選項:
https://www.rewebber.de/surf_encoded/http://你要去的網站地址
http://www.rewebber.de/surf_encoded/http://你要去的網站地址
http://www.rewebber.com/surf_encoded/http://你要去的網站地址
⑤http://www.anonymizer.com/
速度有延遲,使用方法:
http://invis.free.anonymizer.com/http://你要去的網站地址
http://anon.free.anonymizer.com/http://你要去的網站地址
http://anon-regulus.free.anonymizer.com/http://你要去的網站地址
⑥http://proxy.spaceproxy.com/
速度不錯,提供的服務比較完善。
使用方法:http://proxy.spaceproxy.com/-_-http://你要去的網站地址
也可將上述的網址添加到「收藏夾(IE)」或「書籤(Netscape)」中,以便需要時在一般安全代理的基礎上直接點擊這些網址就可以了。

當然,我們還可以在上述二次(多重)代理後再填上一個二次代理地址,這樣就可得到三次代理服務了。如在使用普通安全代理(瀏覽器中設置)的基礎上,再使用:http://www.rewebber.com/surf_encoded/http://www.spaceproxy.com(已檢驗可行),並在框中填入所要去的網址即可。當然,並不是每一種配對都可行,網友不妨多試一試。也有網友將單獨使用上述提到的二次代理服務器(如:http://proxy.spaceproxy.com/-_-http://你要去的網站地址)叫做二次代理服務,將使用「普通安全代理+一般二次代理服務器」叫做三次代理服務,如果是這樣的話,我們上面所說的三次代理服務就應該叫做「四次代理服務」了。

注意:從理論上說,即使選擇了絕對安全的代理服務器,安全部門還是可以通過直接分析你上網數據流的方式找到你發表文章的證據,因為現在MODEM上的數據流還是可以被監控、攔載。尤其對那些已經上了安全部門「黑名單」的網友來說,你們用常用的上網電話肯定已被監控,只要你一撥號上網,安全部門就可以從ISP處得知然後全程跟蹤,那時你的電腦同外界每一次通訊的數據紀錄就會被記錄在案並分析出具體內容。當然,被這樣監控的人全國也不會有多少個。若是此種情況,則最好是到外面的網吧上網,當然,仍要使用上述的安全代理方法。另外,安全部門也會有意識地監控一些海外代理服務器,只要你訪問這個代理服務器,安全部門就會馬上從ISP處查找、記錄下你的上網電話然後跟蹤。要防止自己的上網數據被跟蹤、被記錄,最好的辦法是要保證你的電腦同ISP間的數據通訊被全程加密!其實加密的辦法很簡單,上面給出的使用「普通安全代理+二次(多重)代理」的代理方法多數就可以獲得這樣的加密服務,這在其網頁上會有說明。如果是用加密方法訪問其他站點則會看到瀏覽器下面會出現一把鎖的圖案,此時你的電腦和訪問站點間的通訊就完全是SSL或URL加密的,這種加密即使安全部門也無法解密。使用這樣的代理上網方法,就不用擔心電腦被24小時「監聽」了。不過,這樣加密後,會有較大的侷限性,許多站點就可能再不能瀏覽了,特別是不能上貼了,但為了安全還是值得的。而且,也要注意並不是每一個普通安全代理都能與某個二次(多重)代理成功配合使用(有時需要「刷新」或「重裝入」幾次)。前面提到的普通安全代理http://www.spaceproxy.com/proxy.pac(自動代理配置)、202.145.161.65:80(手工代理設置)與二次(多重)代理http://www.noproxy.com/、http://www.rewebber.com/、http://www.siegesoft.com/等可成功配對使用,其他配對使用的情況大家可多試一試。

三、安全使用EMAIL

由前面所述對EMAIL的監控方法可知,使用EMAIL最安全的辦法,還是使用國外免費信箱。國外免費信箱收信有兩種用法,一種是用自動轉信,將所有的信轉回國內的信箱收看,這樣的辦法其實還是不安全,雖然你對外界隱藏了你的身份,但是,安全部門還可能在國內信箱上守株待兔找到你。所以,最安全的辦法還是直接在國外免費信箱上用POP3方式收信。這樣的收信速度比較慢,但為了安全,也只好忍受。POP3收信也有兩種,一種是將信從你的舊信箱收到WEB上看,這樣在線時間長;另一種是將國外的信件用POP3方式收回你的郵件程序裏看,就是我們常用的收信辦法。建議還是採用直接用POP3方式在WEB上收發信件的方式,這是因為,首先一般郵件程序的設置比較麻煩,其次並不是每一種郵件程序都安全,有些郵件程序收發信件時並不能隱藏IP。

有關免費POP3方式收信,我們可以用POP3和free?mail這些關鍵字串在
http://www.yahoo.com/
http://guide.infoseek.com/
http://www.lycos.com/
這些搜索引擎上查找。下面是一些搜索到的POP3國外免費信箱:
http://www.netfreebies.net/free/email.shtml
http://www.1netcentral.com/free_email_directory.html
http://www.asiancityweb.com/network-c.html
免費信箱還有一種轉信功能,也是有用的。例如,在你給國外發信時,不直接往其公開信箱投信,而是先申請一個國外的免費轉信的信箱,並將這個信箱的轉信地址設成所要投遞的信箱,然後將所要發的信發往自己申請的這個信箱,信就自動會轉給所要投遞的信箱。由於免費信箱是在國外再轉給刊物信箱,所有的國外路由國內公安都不可控制到,所以安全性大大提高。當然國外刊物要注意回信時不要引用來信者的原文。有關免費轉信,可以用上面那些搜索引擎找關鍵詞。以下是在www.yahoo.com上用free?forwarding(免費轉信)作查詢字串所查出的一少部份免費轉信網站。我們可先在這些網站上申請一個免費信箱:
http://www.callsign.net/
http://www.elvismail.com/
http://www.findmemail.com/
http://www.graybook.com/
http://www.iname.com/
http://www.mailzone.com/
http://www.navy.org/
http://www.army.net/
http://www.netforward.com/
http://www.usaf.org/
不過,上述電子郵件使用方法還是不夠不安全,因為郵件裏會含有你的真實上網IP,萬一收信人如果是個公安或被公安查到,即使是用免費信箱,即使你用了國外的SMTP,也仍會暴露你的本地上網IP。那麼,怎樣才能在EMAIL中避免暴露自己的IP呢?有三種辦法:

1、使用有加密功能的、可用WEB方式發信的免費信箱。例如http://netaddress.usa.net/。先在該郵局申請一個免費郵箱,然後使用「普通安全代理+二次(多重)代理」的方式連接到該網頁:http://netaddress.usa.net/,再登陸進入自己的郵箱,在左框中點「Write Mail」(撰寫信件)(有的網頁也用Compose表示「撰寫郵件」),在「TO」後面的框中填上要發往的郵箱地址,在「Subject」(主題)後的框中填入信件的主題(也可不填),在最下面的大框中即時編寫信件,或將編寫好的信件內容複製到框中,最後,點擊「Send Mail」(發信),就可將寫好的信件發出去了。這裏要注意的是:①並不是每一個可用WEB方式發信的免費信箱都能隱藏IP,如www.hotmail.com和www.yahoo.com等,就不能隱藏IP。②有些可用WEB方式發隱藏IP的免費信箱的網頁並不能用「普通安全代理+二次(多重)代理」的方式連接,可能要多試一試。③使用這種方式發信,先要申請一個郵箱,並要填寫一些其他相關資料,有一點麻煩。

2、使用匿名郵件程序,如www.anonymizer.com。具體使用方法如下:先用普通安全代理方式連接到該網頁,在其主頁上點擊「Services」(服務),再點擊「Email」(郵件)或「Anonymizer Email」(匿名郵件),注意此時出現的網頁還不是安全狀態,瀏覽器的下端還未出現一把鎖的圖案;此時網頁下端「TO: 」上面有一句話「This form is insecure. This means that someone can monitor your connection to Anonymizer. Click HERE to use the secure form.」,此時應該再點擊「HERE」。進入下一網頁後,瀏覽器的下端會出現一把鎖的圖案,這說明已進入安全連接狀態了,此時我們就可以在TO:後面框中填入對方的收信地址;在「Subject」(主題)後的框中填入信件的主題(也可不填),在最下面「Message」(信件內容)下的大框中即時編寫信件,或將編寫好的信件內容複製到框中;最後,點擊「Send Anonymously」(發匿名信),就可將寫好的信件匿名發出去了。注意:①這種發信方式簡單、易用,無需申請郵箱,也非常安全,建議首選使用。②這樣發出的匿名信,一般對方要一、二天後才能收到;③關於匿名郵件程序,我們可以用關鍵詞「anonymous?email」在搜索引擎或者下載站點搜索、查找。例如我們可用這種方法查到其他一些匿名郵件程序網址:www.loveemail.com、www.worldsinglenetwork.com、www.trafficgems.com等。不過,有些還需要填一些資料、申請一個免費郵箱,有些可能不是免費的,大家有時間的話不妨多式一試。

3、使用郵件炸彈程序,將其中的轉發信設置打勾後,就可隱去你的上網IP,當然,郵件炸彈程序使用時要將發信量設為「1」,否則那就真成了炸彈了。這些程序,也可以用「ghostmail」;「emailbomb」等關鍵詞在搜索引擎或者下載站點查找,非常多。不過,使用前,一定要先給自己發一封信做試驗,看看IP是不是真的隱去了。

總而言之,要做到安全上網活動,我們必須注意到如下幾點:
1、設置好自己的瀏覽器。主要是將安全程度設置到較高狀態。如禁止Cookie、ActiveX、Java,匿名上網,不讓瀏覽器保留歷史紀錄,清除書籤或收藏夾不該保留的網址等。

2、使用代理服務器上網,且最好是使用「普通安全代理+二次(多重)代理」的方式。在這種方式下,如是一般瀏覽,可不必使用SSL、URL加密方式,只使用一般普通安全代理或一般二次(多重)代理即可;但如果是在論壇或BBS上發表言論或文章,則一定要使用上述加密方式。若是使用這種加密方式不能上到某些論壇或BBS,則就不應發表言論。

3、收取EMAIL,應使用「普通安全代理+二次(多重)代理+WEB方式免費信箱」的方法;發送EMAIL則既可採取「普通安全代理+二次(多重)代理+WEB方式免費信箱」的方法,也可採取「普通安全代理+匿名郵件程序」的方法。

4、平時也應養成注意安全的好習慣。如不要在電腦中存放敏感性的文章和圖象;及時清空瀏覽器的臨時文件夾和瀏覽歷史文件夾;在論壇或BBS上發表言論或文章時,要注意自己的筆名、信息、密碼、風格等,切不要與平時的真實身份有任何聯繫!

本文參考或引用了其他網友的部份資料,在此表示衷心的感謝!本文不保留版權,請各位網友不斷修改、補充和完善。