安全使用国产软件

前    言

 

国产软件纷繁复杂,良莠不齐,在本章里,我们将围绕安全的目的,介绍使用国产软件的原则及边界;介绍一些恶意软件的手法;讲解使用不良软件可能造成的后果及必要的防护措施。

在具体的操作环境里,使用者还需要通过自己的观察和体会,持续改善、提高自我安全防范意识。

 

一、关于国产软件

 

(一)好软件的特征及国产软件的现状

一个好软件,除提供专有的功能外,还应该提供良好的用户体验,提供对用户信息和隐私的必要保护,并符合以下特性:

● 干净安装。指在安装的过程中,不会携带其它软件,也不会试图修改用户已有的一些配置,比如修改用户浏览器首页等;

● 容易卸载。首先是能够卸载,并且在卸载的时候不会提一些繁琐的问题并试图误导用户做一些无益的操作;

● 不会收集用户隐私;

● 不会与其它程序发生冲突;

● 不携带炫耀醒目的广告。

互联网发展到今天,各种软件/网站已逐渐变得扁平化、国际化,例如许多国际上流行的软件/网站都支持多语言版本。但大多数中国人,或许受使用习惯的影响,往往喜欢选择国产应用软件。

人们在现实的环境中,既需要与各种背景、各种目的的人打交道,又需要防范来自互联网的各种风险。那么,有一些知识就需要学习,比如中国软件生态环境,应用软件受污染的应对措施等。

国产软件也分很多种情况,有些虽然有广泛的用户,也运行久远,但大多没有很好的顾全用户体验,甚至误导用户进行各种不必要、不适当的操作,在给用户使用带来困惑之外,还埋藏了种种安全隐患。

因此,在使用国产软件的时候,应该遵循一些原则并设定必要的边界。

(二)使用国产软件的原则与边界

● 在没有国外替代软件的时候才使用国产软件;

● 尽可能从官方网站下载;

● 使用前要确认这个软件是可信任且没有不良记录的;

● 在安装的时候,不要一路“下一步”点下去,要注意安装过程中一些默认选项是否引导你安装其它软件,取消不必要的选项;

● 知道如何卸载;

● 尽可能在不做重要操作的电脑中运行可能有风险的软件;

● 如果必须在有风险的情况下使用软件,要清楚的了解可能存在的风险。

(三)如何找到好的国产软件

要避免去国内一些专门下载网站下载软件;去下面这类信誉好的网站找到符合要求的软件:

● 善用佳软 http://xbeta.info

● 心海e站 http://hrtsea.com

● 小众软件 http://www.appinn.com

 

二、部分国产软件的安全性

 

(一)盗版微软视窗( Windows )系统的安全问题

操作系统是人们首先需要使用的软件,严格来说不应该把Windows 列入国产软件,但现在大量电脑使用的是经中国人自己处理过的盗版 Windows,本着实事求是的态度,我们也把操作系统的安全问题列入本章。

盗版 Windows 分为两种情况,一种是直接使用正版的复制品;一种是正版系统经过所谓 “易用性”、“方便性” 的改造后的集成品。

第一种是正版的复制品,在大多数情况下,它与付费的正版软件没有太大区别。安装过程也是全程Windows界面。

现在更广泛使用的是第二种盗版Windows ,就是在正版软件的基础上做了很多外在的改动,比如更容易安装,集成了更多补丁,去掉了不常用的系统部件等。更重要的是,提供了所谓的 “方便性” ,也就是在服务用户的口号下,实际上为了商业目的而夹带了很多用户不需要的垃圾,甚至隐藏着安全隐患的软件。安装时基本都是通过一个 Ghost (克隆软件)实现;并且安装完成后会携带各种国产软件。

现在市面上很难找到干净的第二种盗版 Windows 系统。如果一定要用的话,就选一个比较有名的。也许更有名意味着获得更多的使用者监督而更安全?反正是盗版,又有谁能为这种 “品牌”提供担保呢?好在盗版的种类繁多,比如去这个网站 http://www.xpghost.com/ 选一个操作系统。

在安装的时候要注意,一般盗版 Windows 系统都有以下操作:

1、锁定浏览器的默认首页;

2、 修改默认搜索引擎;

3、 预装媒体播放、IM、文字编辑以及一些小系统工具软件等;

4、暗藏木马或病毒。

针对以上问题,在安装完成后应做相应处理:

1) 更换浏览器默认首页,或直接安装新版的 谷歌浏览器;

2) 修改浏览器默认搜索引擎为,比如谷歌;

3) 删除全部预装的应用软件,更新为你熟悉的安全软件;

4) 如果安装的新系统是以前没有使用过的,应该用杀毒软件做一次全面的病毒检测。

一般情况下,高版本的操作系统比低版本的操作系统漏洞更少,对病毒或攻击的防御更好,也更安全,但高版本的操作系统对硬件的要求也更高。因此,在硬件配置足够的情况下,应该尽可能安装高版本的操作系统。

(二)聊天软件

建议使用谷歌环聊,不要使用有泄露用户聊天信息前科的 QQ,和中国版 Skype 。如果不得已必须使用时,请使用在线版QQ ( http://web.qq.com ) ,避除安装过程中夹带不必要的软件。

注意:使用语音聊天的在线版 QQ 仍然会在浏览器中安装一些插件。因此,使用完毕后尽量卸载或禁用这些插件。方法是:在谷歌浏览器地址栏输入:chrome://plugins/ ,然后停用QQ开头的插件。如果你只是一次性使用在线版 QQ ,请彻底删除这些插件。方法是:在 chrome://plugins/ 页面点“详细信息”,在你要删除的插件“位置”中,找到插件文件的实际路径,然后删除此文件。

应该从Skype 国际官方网站 (http://www.skype.com/)下载原版,不要使用为中国用户定制的中文版。但目前 Skype国际官方网站被 其中国代理光明方正网站劫持,会自动转到http://skype.gmw.cn ,发生这种情况时,需要翻墙,去Skype 国际官方网站下载。

此外,在使用微信、易信等软件时,要避免谈论敏感内容。

(三)输入法

输入法本来是安静的小工具,但在个性化需要以及云方向的驱动下,输入法成为一种在线应用,既会下载常用词汇方便输入,也会上传用户词汇方便移动使用。在国产软件普遍缺乏规范引导的现状下,输入法也可能被恶意使用,比如有可能上传用户输入的文本内容到开发者网站,造成用户信息泄露。这是关于搜狗输入法泄密的披露:http://www.wooyun.org/bugs/wooyun-2010-024626 因此,在使用国产中文输入法的时候,应关闭输入法与服务器同步用户词汇的功能。比如使用搜狗输入法时,应在“设置”中关闭搜狗用户账户或关闭 “自动同步用户” 。这有可能影响你的输入习惯,但这绝对是一个安全的办法。

搜狗输入法检查办法:

把鼠标移到搜狗输入条上方,点右键,选“设置属性“ – ”账户“ ,查看右上方“账户登陆” 。如果显示“当前账户” 为公共账户,并且右侧显示”登陆输入法账户“ ,就说明用户没有登陆,是相对安全的状态。 如果“当前账户” 有电子邮箱地址或用户名,就是已经登陆。这种情况下,可以点搜狗输入法输入条上面中间的小人图标,在新出现的小窗口点”注销“退出账户; 如果只是要禁止上传数据,可以在 “账户” – “用户词库” ,把“自动同步用户词库” 前面的对勾去掉。这样,就在程序中关闭了同步用户数据的功能。

(四)国产电子邮箱

电子邮箱是重要的信息沟通工具。但国产电子邮箱,不仅可能被服务商用来获取信息,还可能会被有关部门非法利用。除非你使用的国产电子邮箱要收、发的邮件内容不重要性,或不介意被破坏,否则建议不要使用国产电子邮箱。

安全使用国产电子邮件的方法就是不使用它们。

(五)云存储

推议不要使用百度云盘等服务。有用户曝光百度云盘除了存储空间受到监视和删除,还有个人信息被泄漏。如果要使用国产的云存储,推荐使用云诺硬盘 https://www.yunio.com/ ,他们的服务团队背景比较国际化,相对比较可靠,目前也有一些跨国公司使用他们的服务。

但是无论如何,使用国内的云存储服务应当尽量小心,根据目前的网络环境,我们认为所有的国产服务端都内容审查(虽然各个服务的审查状况不同)。 如果你要与其他人分享大文件,应该把文件名修改为双方都理解的,但又不明显的英文或拼音。最好先把文件做加密或压缩处理,以减少在服务端被“盯上”的机会。

(六)其它推荐或建议

1、浏览器,尽可能使用谷歌浏览器或火狐浏览器;不建议使用国产浏览器;

2、下载软件,可以用 QQ 旋风代替迅雷。迅雷曾有携带病毒的报道,迅雷软件还会造成用户数据泄密;

3、 尽可能不在重要的电脑上使用国产软件。如果有些国产软件必须使用,请在一台不重要的电脑上使用。

发表评论

邮箱地址不会被公开。 必填项已用*标注