2014年9月15日 星期一

黄琦:与无权、无势、无名的弱者同行

1998年12月4日,天网黄琦等解救7少女,开始了大规模人权工作。
1998年10月,黄琦和曾丽等创立了中国第一家专业寻人机构[天网寻人事务所],99年创办中国第一家寻人网站[天网寻人],该站也被称为六四天网、天 网呐喊网站。在不长的时间里,帮助两百多个离散家庭得以团聚.黄琦冒着生命危险亲自带队解救王某某等7位农村被骗少女,并为维护七少女合法权益不懈努力。 [天网]的大量事迹被人民日报、中央电视台、新华社、CNN,BBC,ABC,RFA,纽约时报、美联社、路透社、法新社、华盛顿邮报、法国电视台、德国 之声、法兰克福评论报等数千家海内外著名媒体广泛报道和高度赞誉。人民日报称赞天网 "链接了千万人的情感", 北京青年报称这是中国《1999 九大网事》,华西都市报称《[天网]寻出人间真情》,深圳商报称《寻人事务所:用爱和泪水来经营》,深圳特区报称《天网寻人,圆万家团圆梦》,四川公安厅《警苑》称《万家团圆是我的心愿》。

早在1998年,天网便开始了服务社会的免费维权活动,拥有无数个维权成功案例,受益者遍及大江南北。天网还刊登了大量反腐败文章,率先在中国大 陆公开揭露江泽民亲属诈骗案、厦门远华走私案、公安部副部长李纪周案、率先公开呼吁保护法轮功人士的基本人权、呼吁释放反腐败人士安均、贵州诗人马哲等大 陆异议人士。天网不仅被许多大陆媒体认可为中国第一家为老百姓服务的维权网站,更被国际记者保护协会、人权观察、大赦国际等国际权威组织认可为中国第一家 人权网站。
天网2000年民间维权中缴获的国安战利品见证中国最大的民间维权案件

1999年底,天网率先披露了《巴蜀万名船员阑尾被切》事件,国内外媒体广泛报道,朱总理做出批示,立即制止了这一切除国内20多万农民人体器官 的恶举,并彻底杜绝了此类事件的再度发生,保护了之后出国的数百万海外务工农民.迄今为止,该事件被认为是中国上世纪末最大、最成功、速度最快、受益人数 最多的民间维权案例.

2000年2月,原四川省国安人员卜列平等人为了保护涉嫌腐败的上司,前往天网寻人事务所与黄琦发生冲突,黄被打伤。随后,冒着巨大风险,于 2000年3月22日在天网的重点栏目[冤闻联播]中,以《北京:目击死亡!》为题,第一个在国内公开报道了法轮功练习者陈子秀确系被迫害致死,黄琦还在 该文的评论中公开声称:“反对任何侵害人权的违法行为。”

2000年3月31日,中国当局查封了天网网站。4月15日,在一家美国网络服务提供商的帮助下,天网网站重新开张。在继续开展寻找走失人员和为 弱势群体维权呐喊呼吁的同时,还公开呼吁平反六四、呼吁停止侵犯人权和进行政治体制和司法体制改革的文章。2000年4月28日,在接受美国记者 MICHAEL DORGAN赴成都专访时,黄琦说:“我完全清楚我的未来,不是地狱,就是监牢。”

2000年5月31日,六四天网经过半个多月的认真准备,率先在国内刊登了第一篇公开呼吁保护89死难者人权的文章——《11年来,孩子依旧半睁 着双眼看着世界、看着我们、看着他们》,此文和年仅15岁的死者89死难者周国聪惨不忍睹的照片在海内外影响极大,时至今日,依旧刊登在天网。同时,天网 工作人员还在黄琦入狱前为孩子母亲筹划了进一步的索赔方案;最终,在朋友们共同帮助下和多年努力下,89死难者周国聪母亲唐德英终于完成了中国第一个89 死难者成功索赔案的第一步工作!
天网,总是在严酷打压中茁壮成长黄琦出狱后照片首次曝光

2000年6月3日即六四事件周年的前一天,警察以“为六四鸣冤、为民运呐喊、为法轮功叫屈”为由将黄琦逮捕。在黄琦要求对方取拘捕证的空档中, 他在网上发出了最后的呐喊:“路还很长,感谢大家,感谢为中国民主努力的人们。他们来了,告别了。”2003年5月9日,成都市中级人民法院以煽动颠覆国 家政权罪判处黄琦有期徒刑5年,二审维持原判。
黄琦入狱后,曾丽继续带领全体义工服务社会、为民呐喊,得到中国主流社会的广泛支持.2000年6月5日,中央电视台专程赶往成都《天网寻人》事务所,专访曾丽,并做出正面报道,大力宣传《天网寻人》事务所。

2000年12月23日,中国党和国家领导人在人民大会堂授予曾丽“中华爱国之星”的崇高荣誉。
2000年12月23日,黄琦妻曾丽在北京人民大会堂获“中华爱国之星”

黄琦被捕后,引起世界广泛关注,美国国务院及美国科学进步协会、记者无国界组织、人权观察、美国保护记者委员会、全美学自联数百家国际组织发表公开声明和多次致函江泽民、胡锦涛要求中国政府释放黄琦。而海外华人社区开始用“中国维权运动”一词,形容这类社会行动。同时,中国国内大批人士也公开呼吁立即释放黄琦和停止对天网的封杀.北京女大学生刘荻等人曾因在《柿油派网虫集体向党和政府投诚》中,公开表达"与黄琦共进退的决心"而受尽迫害.中国驻美国、加拿大等国海外留学生和一大批真正关心中国民主人权的世界友人也设立了Help Huang Qi 援助难搏BBS,从经济上和道义上支持入狱的黄琦和家人达5年之久.

美国记者保护协会CPJ于2000年发表特别年度报告称赞天网为中国第一家人权网站;2003年4月“电脑自由及隐私年会”上,来自全世界各地数 百名电脑专家,呼吁关注黄琦;2004年6月,国际人权组织记者无国界称:“我们认为,黄琦是为中国公民争取更多言论自由的象征。黄琦非常勇敢,他是中国 网络异议人士的一个典型代表。”并与法兰西基金会联合授予黄琦“自由奖”。
旅法中国学者张伦代表黄琦接过《无国界记者》的"互联网自由"奖
2005年6月4日,黄琦刑满出狱。在接受BBC、自由亚洲、德国之声等采访时,黄琦讲述部分内幕并誓言恢复天网网站。因黄琦在狱中长期遭受残酷的毒打和虐待,造成脑积水、脑萎缩、风湿性心脏病等多种疾病。黄琦还在病情恶化的情况下继续为大陆异议人士呐喊和揭露贪官污吏。
  
2006年4月19日,记者无国界负责人再赴中国会晤黄琦并预祝天网重开。4月28日,六四天网公布了上世纪由黄琦率领天网同仁拉开的89死难者周国聪索赔案取得初步成功的重大消息。 2006年6月4日,天网负责人黄琦荣获中国人权青年奖。
2006年12月31日,改组六四天网为中国天网人权事务中心CTWHR,创办了中国大陆第一家综合性人权组织。台湾中央广播电台称:这是中国人权的一大步。2007年初,黄琦获赫尔曼-哈米特奖,2007年底,获中国自由文化奖之新闻自由奖。
自1998年以来,天网取得了《星夜营救受害7少女》、《见证中国最大的民间维权案件》、《中国第一个89死难者索赔成功》、 《中央下令关闭花垣矿井 公安严查30条枪》等数百人权案件的成功。

2008年6月10日,黄琦因揭露汶川5.12豆腐渣工程,遭当局抓捕,后判处徒刑三年【中国NGO第一人:黄琦和他的天网】。
2009年,正在四川省第三监狱服刑的黄琦获第六届“魏京生中国民主斗士奖”。2011年6月10日,黄琦出狱,6月13日,应多地民众之邀,前往成都第三次重建天网【民众邀天网创始人前往成都】,并再次开始大规模人权工作【北京之春:黄琦还是那个黄琦】。2012年12月,黄琦再获赫尔曼-哈米特奖。
毫无疑问,上万成功案例和海内外媒体共同记录了这一事实,14年天网是曾得到包括中国政府在内一致认可的中国第一家综合性人权组织;也是当今中国成功案例最多、受益面最大、影响最深远、义工入狱劳教人数最多的人权组织。
2013年8月15日,黄琦获“推动中国进步奖”
●English
【About CTWHS 关于我们】 
[time:2013-10-10 13:36  Author:CTWHR   Translator:Esther  souces:64tianwang]

2014年9月14日 星期日

中国境内和境外的“反华势力”终于曝光 (图)

中国茉莉花革命‎集会地点 JasminePlaces: 境内和境外的“反华势力”终于曝光 (图)





境内的反华势力已潜伏党中央多年,坏事做尽,作恶多端,很遗憾,直到现在只有一人落网,就是图中后排右边的周永康。



境外反华势力:

邓小平之子邓质方和孙子邓卓棣(美国籍**)、刘少奇之女刘婷婷(美国籍)、江泽民的孙子江志成(美国籍)、陈云之子陈元(美国籍)、刘华清之女刘朝英(美国)、宋任穷之女宋彬彬定居美国、中纪委前书记吴官正的孙女定居美国、张万年之子张建国定居美国、国家轻工业部部长徐运北之女徐南南(美 国籍)、反美名嘴袁木的女儿(美国籍)、毛泽东女儿李敏之女孔冬梅(美国籍)还有习近平的姐姐是加拿大人,弟弟是澳大利亚人,女儿在美国留学。而目前在美国留学即将成为潜在美国人的高官后裔们有:前重庆市委书记薄熙来的儿子薄瓜瓜、国家开发银行行长陈元的女儿陈晓丹、吴官正的孙子KevinWu全国政协主席贾庆林的外孙女李紫丹、外交部长杨洁篪的女儿杨家乐、中组部长李源潮的儿子李海进....

** 邓小平之女邓榕近日“辟谣”,声称邓卓棣虽在美国出生,但他是中国人。

境外的反华势力分子个个都三头六臂、能力超凡,以江泽民的孙子江志成为例,今年才28岁,阿里巴巴在美国上市,他将出售128万股,一下子捞8000多万美元,我们P民发梦都不敢想!

超越防火墙: 中国“人权律师团”成立一周年, 成员增至225人

超越防火墙: 中国“人权律师团”成立一周年, 成员增至225人:         9月13日星期六是中国保障人权律师服务团成立一周年,根据人权律师最新统计,截止当天上午,成员增至225人。发起人表示,在过去的一年,有众多律师加入该团体,其中有年轻律师,为社会大众提供法律服务,尤其为公民维护法制及人权作出了最大努力。律师同时担心当局以年检制度及停...



   9月13日星期六是中国保障人权律师服务团成立一周年,根据人权律师最新统计,截止当天上午,成员增至225人。发起人表示,在过去的一年,有众多律师加入该团体,其中有年轻律师,为社会大众提供法律服务,尤其为公民维护法制及人权作出了最大努力。律师同时担心当局以年检制度及停业,随时夺走他们的职业权。

本星期六(9月13日),是中国保障人权律师服务团成立一周年。三位发起人之一的浙江律师王成当天接受本台采访时表示,今年初以来,中国公民的权利意识迅速提升,律师作为专业人士,在捍卫人权、保护公民权利方面,肩负着更多的社会使命:“人权律师团一年多来能增加到两百多人也是基于这样的一个大环境因素,去年9月13日,我们第一批名单只有三十多个人,因为在现在社会冲突比较激烈的情况下,处于维权一线的律师也觉得大家的很多权益无法得到保障,甚至连律师本身安全都无法保障,这对律师来讲也是一种压力,也是刺激,迫使律师必须抱团,大家互相帮助,增加安全感”。

去年的9月13日,由王成、唐吉田、江天勇三位律师发起成立“中国保障人权律师服务团”,旨在为中国大陆公民提供更为及时、有效的法律服务,促进大陆的人权发展。一年多来,维权律师们在逆境中坚守。王成说,目前中国大部分维权律师都加入了人权律师团,但他希望有更多的律师加入:“有更多的律师能给勇敢的站出来,参加人权律师团,以及维护公民权利,为国家的民主法制进步,能够尽一份力量”。

中国“保障人权”律师服务团在去年的成立通告中称,众多因参与要求官员财产公示等公民行动的公民被抓,我们有足够的理由认为,当下的中国又到了一个或重大进步或重大退步的关键十字路口。我们无法保持沉默,我们必须发声,为了更好地服务社会、保护公民权利、推进国家法治建设,我们认为有必要在律师界发起成立一个保障人权律师服务团。

另一位发起人唐吉田律师表示:“去年国内对公民权利践行者进行大面积围堵,可以说是非常紧张的形势,作为律师要发出一种声音,从群体维权方面,看能给提供哪些帮助,尝试建立一种机制,也是(律师)互动的一个平台。最近一、两年,从律师的执业环境,工作的艰难这方面确实有目共睹。律师深入到公民维权浪潮中,必然会和一些侵犯人权的官方势力,发生正面联系,有的社会是冲突”。

唐律师表示,在今年新加入的律师中,不少是年轻人。而在过去有不少被官方称为敏感案件的代理律师,大部分是人权律师团成员。他说:“律师也只有更有效的去为社会大众提供法律服务,尤其为他们的人权问题去努力,才能够赢得更多人的理解和支持,也才有更为广阔的空间”。

人权律师团成员赵永林律师接受记者采访时说,维权律师的处境非常艰难,代理被官方认为的敏感案件,要承受随时被吊销执业证的风险,甚至栽赃构陷:“他有时候玩阴的,不是动手打,给你栽赃,比如晚上查房,其他律师遇到了,说你找小姐,发现你屋里有疑似毒品,如果遇到这种情况,在律师人少的情况下,你很难辩白”。

赵永林还说:“作维权案,我们做了这么多年在外面挨打、甚至挨关,我们真不害怕,但是我们现在感到最不舒服的是他们通过司法评定来玩阴的,最近的程海事件(被停止一年执业)你也注意到了,(停业)是悬在律师头上,随时会掉下来的一块大石头,说不让你干,就不让你干了,现在是这样”。

(来源: 自由亚洲电台, 2014-09-13)

2014年9月5日 星期五

大陸短暫解禁谷歌 可搜共產黨最怕內容

7月19日傍晚,有人發現大陸突然對谷歌搜索解禁,並可以通過谷歌搜索到包括法輪功、六四等江澤民最怕看到的敏感詞及相關內容。(網頁截圖)7月19日傍晚,有人發現大陸突然對谷歌搜索解禁,並可以通過谷歌搜索到包括法輪功、六四等江澤民最怕看到的敏感詞及相關內容。(網頁截圖)
【記者謝東延/報導】 最近,習、江鬥不斷升級,尤其在中共7.1前後更是進入白熱化的程度,江派要員接連受重創。就在外界關注下一個要打的大老虎是江澤民之際,7月19日傍晚,有人發現大陸突然對谷歌搜索解禁,並可以通過谷歌搜索到包括法輪功、六四等江澤民最怕看到的敏感詞及相關內容。不過到晚上8點多,又再度封鎖。

政局敏感期 谷歌搜索突然被解禁

近期,習近平陣營和中共江澤民集團的衝突在不斷激化。
7月14日,中共江澤民集團的重要人物「筆桿子」——「610特務頭子」、前公安副部長李東生繼開除黨籍後再被最高檢察院「立案偵查」。
7月12日,江派的第二號人物、江澤民的「軍師」、前副主席曾慶紅被關押接受調查。
同日,王岐山抓捕《央視》著名主持芮城鋼和財經頻道副總監李勇,事因7月9日前後,以政治局常委劉雲山為代表的《央視》攻擊中國銀行洗錢,而現任中國銀行行長田國立是中紀委書記王岐山的老部下。
6月30日,中共江澤民集團的軍中的「槍桿子」——前中共軍委副主席徐才厚被開除黨籍,並移送軍事司法。
現在大陸官場各個派系的官員們已遠離江澤民避禍。而早被抓的前政法委書記周永康隨時可能會被拋出。
7月19日傍晚,有人發現大陸突然對谷歌搜索解禁,並可以通過谷歌搜索到包括法輪功、六四等江澤民最怕看到的敏感詞及相關內容。(網頁截圖)
7月19日傍晚,有人發現大陸突然對谷歌搜索解禁,並可以通過谷歌搜索到包括法輪功、六四等江澤民最怕看到的敏感詞及相關內容。(網頁截圖)

7月19日傍晚,有人發現大陸突然對谷歌搜索解禁,並可以通過谷歌搜索到包括法輪功、六四等江澤民最怕看到的敏感詞及相關內容。(網頁截圖)
7月19日傍晚,有人發現大陸突然對谷歌搜索解禁,並可以通過谷歌搜索到包括法輪功、六四等江澤民最怕看到的敏感詞及相關內容。(網頁截圖)
就在這種政局敏感時期,7月19日傍晚6點左右,有人發現大陸突然開禁谷歌搜索,且可以搜索江澤民最怕看到的敏感詞,包括:法輪功、六四等。
大陸多地民眾測試後向《大紀元》反饋稱,搜索以往封鎖非常嚴的敏感詞,如:法輪功、六四等等,搜索結果很快就出現,但是只能看到標題,內容還打不開。谷歌的圖片搜索也很正常,而且能查看大圖,法輪功反迫害等資訊非常清楚。YouTube的影片同樣可以搜出法輪功、六四的相關資訊,但是影片很難打開。
還有民眾表示,在下午就發現谷歌地圖解禁,而且能正常使用。

谷歌曾被薄熙來周永康政變集團設計逼出中國

在2012年重慶事件爆發後不久,《大紀元》獲悉,薄熙來、周永康等人通過內部運作,迫使谷歌退出中國業務,使百度一家獨大獲取巨額經濟利益,以換取百度在薄熙來和周永康操控之下,悄悄在網路上發起攻擊胡溫習三人的活動。
不過自從薄熙來被拿下,周永康被軟禁後,多次在關鍵時刻百度也曾一度解禁諸如「活摘器官」、「六四」、「周永康」、「江澤民 漢奸」等敏感詞,向外界釋放信號。

2014年8月30日 星期六

如何保护隐私[9]:如何限制桌面软件的流氓行为?

编程随想的博客: 如何保护隐私[9]:如何限制桌面软件的流氓行为?: 在本系列的前一篇,介绍了“ 流氓的桌面软件有哪些替代品 ”。今天主要介绍一下,如何对付那些“ 缺乏替代品 的流氓软件”(比如 QQ 和迅雷)。   本文会逐一介绍5种不同的方案,供大伙儿参考。在本文末尾会总结每种方案分别适用哪些情况。



 在本系列的前一篇,介绍了“流氓的桌面软件有哪些替代品”。今天主要介绍一下,如何对付那些“缺乏替代品的流氓软件”(比如 QQ 和迅雷)。
  本文会逐一介绍5种不同的方案,供大伙儿参考。在本文末尾会总结每种方案分别适用哪些情况。


★方案1:用流氓软件的“Web 版本”进行替代



◇概述


  某些流氓软件的开发商,除了开发桌面客户端版本,有时候也会提供“Web 版本”。在这种情况下,咱们就可以拿“Web 版本”来取代桌面版本。


◇举例


  比如:疼逊公司提供了一个 Web QQ。那么你就可以用 Web QQ 来替代桌面版的 QQ;
  比如:很多网盘提供商同时提供网盘的“Web 操作界面”和“桌面客户端”。那么你就可以:只用 Web 界面操作网盘,不安装桌面客户端。


◇不同“Web 应用”的安全性等级


  基于 Web 的应用软件,有好几种不同的类型,在隐私方面的安全性也各不相同。下面逐一介绍。在下面的介绍中,会提及“浏览器扩展”和“浏览器插件”。如果你搞不清楚这两者的差别,先看之前的“这篇博文”,其中有一段文字是“◇插件和扩展的区别”。

  纯 Web
  所谓的“纯 Web”,就是说只用到 HTML、JavaScript脚本、CSS 样式。除此之外,没有用到其它其它东西。
  这种形式的 Web 应用是最安全的。对于这种形式,JS 脚本运行在浏览器内置的脚本沙箱中,它对文件系统的访问是受限的。换句话说,【无法】随意操作电脑本地的文件系统。

  使用了“扩展/extension”技术
  浏览器扩展能干的事情,比“纯 Web”更多。多出来的功能主要是:能够操作本地的文件系统。假设你安装了一个不怀好意的扩展,理论上它是可以读取你本地的某些敏感文件并通过 Web 方式(HTTP方式)发送出去。
  提醒一下:并不是所有的浏览器都支持“扩展”机制。

  使用了“插件/plugin”技术
  “插件”比“扩展”牛逼的地方在于,插件是本地代码(也叫“原生代码”)。也就是说,普通客户端软件能干的事情,插件都能干。所以,插件的危险性更大,基本上等同于客户端软件。
  比如前几天曝光的“支付宝偷偷监控网络流量”。那个监控你网络流量的进程,就是在安装支付宝控件之后,偷偷带进去的。而“支付宝控件”本质上就是“浏览器插件”。

  综上所述,如果你企图用“Web 版本”来替代“桌面版本”,至少先要确保“Web 版本”没有使用“浏览器插件”技术。用到了“插件”的 Web 应用,其隐私威胁跟桌面客户端类似——也就没有必要替代了。


◇优点


  主要优点是:操作简单,无需进行各种额外的配置,无需安装额外的桌面软件。


◇缺点


  此招数的缺点有两个:
  缺点1
  使用了 Web 版本之后,虽然可以避免桌面客户端偷窥你的本地文件,但是你通过 Web 端产生的内容还是会被 Web 服务器收集到。
  比如你用了 Web QQ 之后,虽然它无法偷窥你的本地文件,但是腾讯服务器依然可以偷窥你的聊天内容。

  缺点2
  通常,Web 版本的功能不如桌面版本的功能那么丰富。
  比如“Web QQ”的功能比“桌面 QQ”的功能少很多。


★方案2:使用“网络防火墙”限制联网



◇概述


  如果某个流氓软件的基本功能跟网络无关,那么你可以采用网络防火墙限制该软件的网络行为。


◇举例


  比如:你需要用国产的播放器来播放【本地的】视频文件和音乐文件。并且你既不需要“自动同步字幕”,也不需要“自动同步歌词”之类的功能。在这种情况下,该软件就完全没有理由访问网络。那么你就可以通过配置网络防火墙,让该软件无法联网。


◇网络防火墙的局限性


  局限性1
  某些流氓软件需要以管理员权限安装。在这种情况下,流氓软件可以也就获得了管理员权限。在“管理员权限”下,几乎可以进行任何软件层面操作。从理论上讲,可以利用管理员权限进行某些操作,来绕过网络防火墙的监控。

  局限性2
  某些比较狡猾的流氓软件,自己的主程序不会直接联网,而是通过创建一个临时的 exe 文件并启动该 exe(子进程),让子进程完成敏感的联网操作。以此来骗过网络防火墙。对这类软件,即使你禁止该软件的主程序联网,它还是能通过启动子进程的方式,把某些敏感的资料偷偷发送出去。


◇优点


  用此招数,你可以直接使用流氓软件的桌面版本。相比“方案1”的优势在于——能保留软件的全部功能。
  另外,此招数可以跟下面要介绍的“方案3”搭配组合。


◇缺点


  此招数的缺点包括:
  缺点1
  如果该流氓软件的基本功能依赖于网络(比如:聊天工具、下载工具),就没法用这招。

  缺点2
  网络防火墙的限制有可能被绕过(参见上述提到的两个局限性)


★方案3:用流氓软件的“绿色版本”进行替代



◇概述


  某些流氓软件可以制作成“绿色版本”(俗称“绿化”)。绿化之后的软件,无需安装,而且也无需管理员权限就可以运行。因此,你可以创建一个“低权限的用户”,以这个用户的身份来运行该流氓软件。关于 Windows 的“用户组、用户权限”等概念的更多介绍,请看之前的“这篇博文”。
  另外,从 WinXP 开始,Windows 内置了“快速用户切换”(洋文叫:Fast User Switching)的功能。你可以利用此功能在不同的用户之前切换。不想使用“用户切换”的同学,也可以在同一个桌面上运行“隶属于不同用户的进程”(具体做法,上面那篇博文也有提到)。


◇需要结合“文件系统访问控制(ACL)”


  和这个招数搭配的措施是:你要适当地配置文件系统的访问控制权限。比如你日常操作电脑的是“A用户”,用来运行流氓软件的低权限用户是“B用户”。那么你需要设置那些存放敏感文件的目录,让“B用户”【无法读写】这些目录。至于如何设置目录的 ACL,稍微 Google 一下就能查到教程。
  提醒一下:Windows 支持的文件系统主要有两类:NTFS 和 FAT 系列(FAT12、FAT16、FAT32)。“FAT 系列”【不支持】访问控制权限。


◇举例


  比如“迅雷”是可以制作成绿色版本的。俺分别在它的5.8版本和7.2版本试验过。


◇优点


  用此招数,你可以直接使用流氓软件的桌面版本。相比“方案1”的优势在于——能保留软件的全部功能。
  另外,此招数可以跟“方案2”搭配组合。


◇缺点


  此招数的缺点包括:
  缺点1
  如果某个流氓软件无法制作绿色版本,这招就失效了。

  缺点2
  操作相对繁琐(你需要先制作绿色版本,然后还需要创建专门的用户,最后还要设置文件系统的 ACL)。


★方案4:使用“沙箱软件”进行隔离



◇概述


  有一类安全工具叫做“沙箱”(有时也称“沙盒”)。沙箱软件可以创建出一个独立的运行环境,以实现【进程级别】的隔离。
  所谓“进程级别的隔离”就是说:你可以在沙箱中运行某个进程,沙箱软件负责把该进程跟系统的其它部分隔离开来。即使该进程图谋不轨,想要进行某些危险操作,这些操作也被限制在沙箱之内。
  所以,咱们可以利用“沙箱软件”来运行那些流氓软件。


◇举例


  目前,【国外】比较有名的沙箱软件是 Sandboxie。如果你担心网页挂马,可以让浏览器运行在 Sandboxie 的沙箱之内。


◇沙箱的局限性


  局限性1
  沙箱软件依赖于操作系统本身的一些机制(比如系统的 hook 机制)。如果操作系统本身出现一些安全漏洞,可能会导致某些流氓软件突破沙箱的隔离。
  另外,如果沙箱软件本身考虑不周到,也会导致隔离环境出现漏洞,可能被流氓软件用来突破沙箱。

  局限性2
  有些沙箱软件只能对磁盘操作进行隔离,但是【无法】对网络操作进行隔离(无法禁止流氓软件联网)。
  如果你需要隔离网络操作,但是你用的沙箱又没有此功能,那么你可以考虑把此招数跟“方案2”搭配。


◇优点


  用此招数,你可以直接使用流氓软件的桌面版本。相比“方案1”的优势在于——能保留软件的全部功能。
  不管流氓软件是否能制作绿色版本,都可以使用此招数。所以此招数比“方案3”更灵活。


◇缺点


  主要缺点有如下几个:
  缺点1
  某些软件(尤其是比较底层的软件)运行在沙箱中会出现兼容性问题。

  缺点2
  由于前面提到的“沙箱的局限性”,会导致隔离不彻底。

  缺点3
  多数沙箱软件通常无法跨系统(比如前面提到的 Sandboxie 是运行在 Windows 上,所以它只能用来隔离 Windows 软件)。
  如果你对跨平台的需求不明显,这个缺点基本可以忽略。


★方案5:使用“操作系统虚拟机”进行隔离



◇概述


  所谓的“操作系统虚拟机”(为了打字省力,以下简称“VM”),就是用专门的软件在你现有的操作系统内部再虚拟出若干个操作系统。在这种情况下,你原有的操作系统称为“物理系统”或“Host OS”;那些虚拟出来的系统称为“虚拟系统”或“Guest OS”。
  有了 VM 之后,你就可以创建出一个或多个 Guest OS,在那上面运行流氓软件。由于 Guest OS 与 Host OS 是彻底隔离的,你完全不用担心 Guest OS 里面的进程偷窥 Host OS 的文件系统。
  关于 VM 的更多介绍,请参见《扫盲操作系统虚拟机》系列教程。


◇举例


  至少在10年前,俺就以虚拟系统(Guest OS)作为自己日常的使用系统。俺的 Host OS 除了装一个虚拟机软件,其它软件几乎都【不】装。需要用到的软件都装在 Guest OS 里面。而且俺的笔记本电脑里面装了 N 多的虚拟机,分别派不同的用处。比如:
一个专门用于“编程随想”这个身份
一个专门用于公司的办公环境(写文档、收发邮件)
一个专门用于公司的开发环境(留个开环境帮同事解决疑难编程问题)
一个专门用于业余时间的开发环境(业余时写代码)
一个专门用于业余时间的上网环境(业余时上网)
(还有很多,不一一列举)
  搞这么多虚拟机的好处在于,把自己的敏感数据分散开——即便某个虚拟系统被入侵,其它虚拟系统【不受】影响。
  而且 VM 软件都会提供【快照功能】——这个功能是 VM 的精华。比如每次刚装好系统,或者刚升级好系统,俺都会做一个快照。用了几天之后,就回退到这个快照。就算这几天当中被恶意软件(病毒/木马/流氓软件)污染了系统,只要回退到快照,虚拟系统又纯洁如初 :)
  前几天有读者问俺用的是哪个系统清理工具。俺回答说:有了 VM 软件,根本【无需】系统清理工具。为啥捏?因为每次回退快照,系统垃圾自动就没了(等同于一次彻底的清理)。


◇优点


  VM 的优点很多,至少包括如下:
  优点1
  最好的兼容性。
  前面提到的“方案3”和“方案4”,都可能会导致一些兼容性的问题。而 VM 完全没有。

  优点2
  最好的隔离性(关于这点,下面俺单独开了一个章节详述)

  优点3
  VM 的快照功能可以帮你完成很多额外的工作(参见俺刚才的举例)。

  优点4
  彻底实现“跨平台”。
  比如你可以用 Windows 做 Host OS,然后在其中虚拟出一个 Linux 或 Mac 的 Guest OS;反之亦然。而沙箱软件做不到这点。


◇缺点


  俺个人认为:对于那些安全要求高的网友,VM 的方案是最佳方案。此方案有如下两个不太明显的缺点:
  缺点1
  如果要使用,你的硬件配置不能太低。
  如今电脑硬件的配置已经越来越好(动不动就是好几 GB 的内存,动不动就 4核/8核),这个缺点基本可以忽略。

  缺点2
  要花点时间学习如何使用 VM。
  不过这个缺点也好办——俺在2年前(2012)就写了一个《扫盲操作系统虚拟机》的系列教程。不会用 VM 的同学可以先去看这个教程。


★为啥“OS虚拟机”的隔离性比“沙箱”更好?


  俺在博客上写了不少操作系统虚拟机的博文。但是一直没有介绍过“沙箱软件”。曾经有几个读者在留言中问道:为啥从来没普及过沙箱?今天接着这个机会说一下。
  前面俺提到了 VM 的各种优点。这里重点想说其中一点——隔离性。为啥捏?如果你对安全的要求比较高,“隔离性”是关键。而“VM”的隔离性远远好于“沙箱”。具体的分析如下:


◇关于隔离的“维度”


  不论是 VM 还是沙箱,说白了都是为了创造出一个隔离的软件环境。这时候要考虑的维度有很多,至少包括:文件系统、内存、网络、外设(比如 USB 口)。
  主流的 VM 软件可以支持上述【所有的】维度;而大部分沙箱软件只能做到文件系统和内存的隔离。


◇关于操作系统本身的漏洞


  在使用“沙箱”的情况下,沙箱软件和流氓软件都运行在同一个操作系统中。如果这个操作系统出现某些安全漏洞,【可能会】导致流氓软件突破沙箱的隔离边界。
  相对而言,使用 VM 的情况下,同时存在两个操作系统。VM 软件本身是运行在 Host OS 之上,而流氓软件运行在 Guest OS 之上。由于 VM 本身并不依赖 Guest OS。所以 Guest OS 出现安全漏洞,【不太可能】导致隔离边界被突破。
  有些爱思考的同学会问了:如果 Host OS 出现安全漏洞,是否有可能导致隔离边界被突破。这种可能性是有的,但是操作的难度很大。为啥捏?因为流氓软件运行在 Guest OS 之内,它根本看不到 Host OS。换句话说,流氓软件根本就无法知道 Host OS 是啥类型的。连操作系统的类型都不知道,如何去利用操作系统的漏洞?


★总结


  在本文的结尾,稍微做一下总结发言,说一下每种招数适用的情况。


◇方案1——用“Web 版本”替代


  前提:对应的流氓软件提供 Web 版本
  本方案无需额外的配置,也无需再安装其它桌面软件。所以适合那些非常菜鸟的网友,或者是那些非常懒的网友。另外,如果你只是想临时用一下某个流氓软件,也可以用这个招数。


◇方案2——用“网络防火墙”限制联网


  前提:对应的流氓软件的基本功能跟网络无关(比如输入法、播放本地视频/音乐文件)
  除了需要配置网络防火墙,无需额外安装其它软件。适合那些比较菜鸟的同学或者是比较懒的同学。


◇方案3——用“绿色版本”替代


  前提:对应的流氓软件能够“绿化”
  需要自己手工制作绿色版本,而且还需要配置额外的操作系统用户和文件系统的访问控制权限。所以此招数适合于具有一定折腾能力的网友。而且电脑硬件又很差,用不了虚拟机方案。


◇方案4——用“沙箱软件”隔离


  前提:流氓软件需要能跟沙箱软件兼容。
  如果你电脑硬件太差,用不了虚拟机。而且你又搞不定绿色版本(比如流氓软件不支持“绿化”,或者你不懂得如何“绿化”),那么你可以用此方案。


◇方案5——用“操作系统虚拟机”隔离


  前提:无任何限制。
  此方案堪称终极解决方案,尤其适合于对安全要求比较高的同学。此方案需要有一定的折腾能力(不需很高),而且电脑的硬件配置至少是中等水平。

回到本系列的目录


版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
http://program-think.blogspot.com/2014/08/privacy-protection-9.html