当您准备像编程随想那样工作…：须知

安全问题不是纯粹的技术问题。对安全的普遍误解导致了很多难以被察觉的安全漏洞。这些漏洞可能没有简单的 "补丁"。

【注】如果文中导图看不清楚，请右键选择 “新建标签页打开”。或者，您可以在这里下载。

---

失踪已久的前著名华语博主 “编程随想”，于近日终于有了比较确切的消息 — — 正如很多人所担心的那样，失踪意味着发生了糟糕的事，他被捕了，而且还被判了刑。

如果此时有任何人感觉到自己的头脑中充满了安全性虚无主义的噪音，请不要自责，这是正常的。“专家都被抓到了，我等菜鸟还能幻想什么” ……

但这样想至少毫无作用。

因为，安全问题不是纯粹的技术问题，就如安全这个词本身所描述的东西一样，它是一个系统，一种状态；于是它的结果取决于协调性，而非其中某个/或某几个部分的专业性。

同时，不幸的是，局部的专业性过高有可能降低（而不是提升）整体的协调性。

本文不是文章，只是一个帖子。它可能非常不完整（毕竟没有卷宗可查）；但也许可以补充一些编程随想博客可能没有涉及的内容。此外我们也正在准备一本书，希望能更详细地讲述安全这个问题。

在收到起诉书全文之前，我们发布了一个帖子如下。大概需要解释一下：起诉书只能确认判决事件，但起诉书中所描述的侦查细节，建议谨慎取信。对刑侦过程/手段的调查，是另一项任务 —— 是更重要的任务，对所有政治犯的案件来说都是如此，不论当事人最终有没有被起诉。

关于最普遍的安全漏洞

在安全方面，中国的前线工作者有两个方面的弱点，比较严重：

—— 第1个弱点：对对手的了解不足 —— 

您肯定知道 “知己知彼” 这一重要的战术智慧。您的对手拥有巨大的特权、充足的预算、无下限的卑劣，以做到长期、持续、深入地了解您，甚至可以预测您的行为。而您对他们了解多少呢？

这里存在一个严重的不平衡。您在明，他们在暗。

缺少的可能不是吹哨和调查，而是满足前线社区反抗战略的吹哨和调查。这至关重要。

我们对此的弥补方案，是努力分析其他国家的镇压手段（内容在 列表-5 “维稳面面观” 、以及 “反抗者寻求经验” 中）。鉴于统治者所拥有的基础设施大同小异，这可以有所帮助，但肯定不充分，前线工作者需要了解对手在什么样的情况下倾向于怎么做。

如此，您便既可以 “制造” 某种情况，以引诱对手那样去做，也可以避免某种情况的发生，以改变事态走向；甚至还有可能从中了解到对手可能的漏洞，以利用来维护自己的安全。

在其他很多国家，反对派组织是很擅长做这类事的，他们在努力保护自己的秘密的同时，揭开对手的秘密。这也正是 “较量” 这个词所描述的意思。

举个例子：您知道自己在什么情况下会被监视锁定吗？—— 我指的是刑侦中的监视工作，您知道被锁定的人会经历什么吗？监视者的目的是什么？他们的工作流程是什么？……

我来画一个图，以最简化的方法描述俄罗斯镇压机构是如何做这件事的。在您的国家它应该大同小异：

您能画一个中国版吗？

不必画给我。只给那些与您实际合作的亲密队友。知情对你们来说至关重要。

以上只是一个例子。您需要知道的东西挺多的。请保持战略目标的清晰。

—— 第2个弱点：孤独 —— 

孤独是巨大的安全隐患。

令您深陷孤立无援的恐慌，是您的对手始终致力于采取的镇压策略。

人们被渗透和出卖的故事吓坏了。很多担忧是有道理的，但仅仅担忧就没有道理了，因为它只会起到反作用。当您草木皆兵加倍孤单的时候，就是您的对手可以对您最随心所欲的时候。

（我们有过很多关于如何抵制渗透的技巧介绍，比如这里、这里、这里、还有这里）

您需要至少一位贴心战友 —— 更好的是 亲密团队。

阮先生的案件之所以变得 “疑点重重”，甚至一大群人因为猜想而发生争执，正是因为阮先生对紧急状况的准备似乎严重不足 —— 这绝不是额外的工作，它就是 “安全” 工作本身的重要部分！

这一 “准备” 工作应该至少包括以下4个步骤：

1. 明确威胁环境；

2. 明确您最需要的帮助；

3. 确定至少一位贴心战友 —— 作为紧急联络人，至关重要！

4. 准备具体的材料。

下面的图片分别解释了这4个步骤包括什么：

第1步

第2步

第3步

第4步

上述这4个步骤是您最基本应该做的！甚至，不论您是否如阮先生那样去工作，只要您生活在警察国家，并认为自己有遭受迫害的可能性，您就应该提前做这些训练和准备工作。

此案评论中显示出人们对 “安全” 可能存在的误会

1

老读者知道，我们提供过很多安全教程，试图从各方面讲述安全性；这些 “方面” 彼此嵌套，或互为条件，或互相支撑。并没有谁比谁更重要，但它们在不同计划/项目中、在不同程度上，缺一不可。

安全是一套思考方式。它既不是哪些软硬件、也不是某些配置，因为没有任何软硬件和配置能独自决定安全性  — — 它们都只是战术，而安全是这些战术经过有效部署以恰当的方式结合在一起时，所产生的效果。

反过来说，如果它们的组合不恰当，不论是过度还是不足，都会形成安全漏洞。

阮先生的起诉书中出现的细节 — — 比如小米手机、华为笔记本等等 — — 也许会让一些读者觉得 “抓住了要点”，其实所有这些都可能不是要点。

这并不意味着鼓励您去购买哪款手机或电脑；什么对您好什么不好，始终取决于您准备做什么，以什么角色来做。

我们也写过诸如《一句话安全须知》这样的 “通用” 安全性教程，但防御工作，绝对没有那么简单。

不幸的是，大多数人可能对软硬件评测头头是道，对配置如数家珍，但却不擅长或经常忘记评估恰当性。

工具很重要，没错，它们提供“能力”给您。但这份能力用来做什么，如何搭配这些不同的能力，取决于您合理的战术布局。

合理的战术布局 = 有一个明确的战略目标 + 准确的威胁模型和风险评估 + 了解不同战术的特征和能力。

所以，如果您关心安全知识，并且现在是第一次阅读IYP的内容，我推荐您从《整体安全》教程开始（此链接是最后一集内容，其中有该系列完整列表）。

这是一个训练营，包含您在安全方面所必须了解的一切基本原理。技术始终在不断升级 ，但防御的原理是不变的。

该训练营可以帮您培养一种持续稳定的敏锐，帮助您及时规避风险。

安全就像一棵树，软硬件是小树枝和树叶，而根基是您的战略智慧。

“最好的” = 最合理的和最恰当的，绝对不是 “最贵的和最麻烦的”。

安全就像鞋子，好不好取决于是否适合您的脚，而不是它看起来有多漂亮、花了多少钱、或者有多复杂。

一般情况下人们习惯于假设讲述数字安全知识的人最擅长数字安全操作。也许是这样。但一个人在现实中具体如何操作，起决定性作用的肯定不只有他/她的知识，更多是他/她那一刻的心理状况、情绪状态、经济状况，以及其他很多外部条件。

再来分别看这三个部分：

近日还传出疑似中国的威胁行为者利用虚拟机的零日漏洞的报告。社交媒体上有用户将此消息关联到阮先生的被捕事件上，怀疑他被恶意软件击中了。

的确，全球大国都在囤积零日漏洞；这是21世纪最危险的武器。但您是否会遭遇零日武器，始终取决于您的角色和您的具体工作 —— 即，您最可能面对什么样的威胁者，61398部队与公安部和国安部，是肯定不同的。请记得，您的对手的武器库中 “有什么”，只是一方面，更重要的另一方面是，您的对手是等级森严的官僚机构，他们采取什么做法是有标准的和需要上级批准的。（虽然如今 “私人镇压雇佣兵公司” 之类的东西也开始出现，值得警惕。因为这些人是流氓，几乎没有约束。）

对于虚拟机零日来说，作为异议人士您不必太过担心。因为，首先，您不应该完全彻底地信任任何一款软件能百分百安全 —— 不论是Tor还是qubes OS还是其他虚拟机。漏洞是政治性的，而不只是技术问题，这就是为什么它永远都 “补” 不完。其次，隔离风险的第一层屏障，应该在您的头脑中，而不是在虚拟机里 —— 您应该培养一种安全性直觉，将安全操作纳入习惯 —— 就像饭前洗手那样，不需要特意的记忆，也会主动去做，主动拒绝无法完全信任的信息。

如果您只是专注于国家级APT组织的最新能力，就有可能陷入安全性虚无主义。那是没有必要的。

阮先生的文章中提供的安全建议大多是结论。对于安全知识的初学者来说，这有可能造成一些误会，认为只要完全照着做就行了。并不是的。如果您在阅读后没有进行分析，那对于阮先生的工作来说是一种浪费。

2 

分身只是把敏感的那部分隔离出去就行了吗？当然不是。

如果就像目前公开的消息所言，阮先生的真实身份就是网络安全工程师，那么 “编程随想” 这个身份就并没有实现真正的分身隔离；因为 —— 分身的要诀在于，分离出来的每一种身份之间都是完全不同的，尤其是，没·有·任·何·交·集，必须让每一个身份看起来·完·全·独·立，这样才能切断追踪线索。

阮先生在数字安全方面下了很多功夫，很专业。但战术布局规划方面的技巧至少在博文中的体现不多。

准确评估风险、并掌握安全使用各种类型的在线身份所需的技术技能，至关重要。

关于战术布局，我们以在线身份管理为例，演示下应该建议您如何思考 ——

在观看下图之前，希望您的头脑中已经有了一个关于您马上准备去做什么的尽可能具体的想法，这样您可以更有代入感，更容易举一反三地使用它来为自己的安全部署进行计划。如果您还没有任何想法，那么可以把自己想象成阮先生：

就像所有的安全和隐私策略及工具一样，当您没有面临直接的威胁时，您会更好地学习熟练使用这些防御措施。压力会影响您参与风险分析、安全规划和技能培养的系统化过程的能力。

所以，把安全措施作为习惯，而不是救急，才最有希望获得安全。

您的战术布局应该致力于减轻/减缓脆弱性、增加复原力，而不是寻找 “完全避免风险” 的方案。并没有那样的方案。

减轻/减缓脆弱性的方法，比如，一个分身只做一两件事；完成后彻底摧毁。以及，您不可能完全避免风险，但您可以分散风险/分散敌方火力…… 您知道该怎么做。

还有更多。我想留给您去思考。这些是阮先生可能没有留给您的。

3

完整的 “安全” 措施，必须包含充分的自我评估，和假设所有防御都失败时的Plan B。这也是阮先生可能没有做到的。

所有灾难都不是瞬间的突发 —— 威胁在一步步逼近，或长或短，但肯定有一个过程。而最终，这场灾难是否对您产生破坏性、多大的破坏性，取决于您是否及时察觉到步步逼近的威胁，以及您的反应是否机智。

我们称之为 “态势感知”。您可以在 “在灾难中幸存” 那个系列中看到对此的详细解说（同样的，这里是最后一集的链接，其中包含完整列表）。

（此处建议您回顾上文中描述FSB刑侦流程的那张图）

阮先生如果对自身的评估足够准确，并对环境事态足够敏锐，他应该能察觉到威胁，并准备好 Plan B。如果他这样做了，现在的一切胡乱猜测都将不会存在。

自我评估是确立最恰当的防御设施的基础，您应该尽可能准确地描述自身能力和脆弱性：

• 能力 = 有助于使您更安全地抵御特定的威胁的因素（即 降低其可能性或影响）

• 脆弱性 = 会使您更容易受到威胁（即 增加了威胁的可能性或影响）

这里有一个公式，您需要记住：

风险 = 威胁 ✖️弱势 ➗ 能力

威胁指的是您的对手所采取的任何手段以试图让您相信他们将不惜一切代价阻止您。

弱势指的是，您知道在那些威胁面前，您自身有哪些弱点（这是需要弥补的部分）。

值得指出的是，可能与很多朋友的认识相反，使用假名或者匿名工作在这里应该被列为 “弱势”，而不是“能力”。

因为，首先，假名或匿名意味着，人们知道您做的那些事，但不知道您的名字和身份，于是当局就有可能趁机栽赃给您的真实身份以其他罪名，而否认您是因政治原因而遭受迫害。

其次，如果您没有隶属于一个强大的组织，在您被强迫失踪的情况下，营救的希望将非常渺茫。

这就是为什么您必须有 PlanB 和紧急措施！匿名工作者孤军奋战是不可取的！具体做法见全文中的导图 —— 那4个步骤。

为了使用上面这个公式，我们先来确定几个定义：风险、威胁、能力、弱势。

1、风险 — — 指发生伤害事件的可能性；

2、威胁 — — 有意图对您造成损伤、处罚或者伤害的声明或者迹象（近期的或当即的）；

3、能力 — — 可提高安全保障的任何资源（包括自身能力、人脉关系、可用的环境条件等）；

4、弱势 — — 很可能直接造成或导致更大伤害的一切因素。

这里的施害者可能包括：政府、警察、间谍机构、大公司、利益集团的雇佣打手、极端保守派社区、严重误解您的事业和偏好的家属/父母，等等。

下面我来演示一下这件事该怎么做。以阮先生为例，请注意，目前为止我们对阮先生的现实生活依然一无所知，于是下图只演示这一评估的思考框架，其中所标注的具体事项完全是猜测的，它们只为体现做法，并非分析。

这一框架非常简单，只有4个部分，但是，您必须保持足够的谦逊和诚实，尽可能清晰且详细地描述，才能帮您制定更准确的防御策略：

先看右侧

再看左侧

措施

4

难度越大、越复杂，防御效果越好吗？绝对不是。

并不是说复杂的技术有任何问题 —— 请不要仅仅从技术逻辑上考虑 —— 复杂繁琐的解决方案不应该作为首选是因为，它们会让您难以长时间坚持住，您稍微一疲劳，就可能出错。在安全问题上，您出错的机会很可能只有一次。尤其是在您已经被镇压当局视为一个 “肥美多汁的大鱼” 的情况下。

真正的安全效果出现在您游刃有余的情况下。闭着眼就能做对的情况下。所以，它必须足够简单，需要特别记忆的东西越少越好！

曾经有读者询问如何追踪加密货币（我们介绍过相关知识），以测试隐私程度。但必须说，加密货币安全性是一个更为复杂的领域，在基本数字安全基础之上还有很多额外的知识。马上学是来不及的。如果您不擅长这个领域，那就不要在最重要的/或者可能最危险的工作上选择加密货币。

换句话说，建议选取您容易上手的解决方案，而不是紧急学习新的复杂的技能。因为熟练操作，是最基本的安全保障。

当然肯定要鼓励您学习新的更好的技能，但是，要在您感觉安全的环境中、在您没有压力的情况下，慢慢学习，而不是在火烧眉毛的情况下临时照着教程画虎。

不管怎样，我们始终应该致力于实现隐私作为基本人权的标准。这意味着要追求只需很少的操作习惯调整，就能大幅提高安全水平的解决方案。因为人权必须是普遍的，而不是高技术技能掌握者的特权。

必须承认，数字技术有点门槛。很多需求者对网络上形形色色的安全建议的态度比较盲目，很难自行判断它们的恰当性和准确性。于是搜索排名就变得更危险了。这更需要安全建议提供者保持诚实！拿钱写软文的人，如果您觉得自己必须做这行，那么就去写一些牙膏袜子的软文吧，请不要涉及药品和软硬件，这是有可能危及生命的领域。

不论您是否擅长数字技术，建议您记得这个基本原理：少即是多。您下载的东西越少，您的攻击面就越小。完全没有必要把其他人推荐的 “好东西” 全装上，那样做只能是累赘，反而令您更危险。

再一次强调，对抗性思考方式至关重要！反追踪的最好方法就是，用追踪者的思考方式来检查自己。

最后

本案引起的所有猜想都是不必要的，不论其有没有或提供了多少证据。

它最初是一个强迫失踪案件，之后是一个政治审查案件。对于强迫失踪，这在全世界都是难题 —— 最终判刑的结果已经是其中 “最好的” 一种了，更糟的和并不罕见的是：暗杀。这就是为什么需要不断强调联合和互助，绝不鼓励单枪匹马。尤其是当您匿名工作时，单枪匹马是致命的！

看到一些读者在交流此事时倾向于认为警方 “抓错人了”。希望真正的博主没有被捕的那种心情可以理解，但是这会起到反作用 —— 它相当于承认 “对的那个人应该被抓”。不，没有任何人应该因发表评论而被判刑。阮先生究竟是不是 “编程随想本人”，没有那么重要，这里重要的是对政治异议言论的入罪。我们认为将此作为辩护方向，将是对 “编程随想本人” 的尊重。

当然，辩护方向由律师掌握，家属意见将作为重要参考，而不是公众舆论。

再一次，我们希望此案能提醒更多人对安全性的重视（而不是虚无主义），对安全作为一个系统的理解，体悟战术布局的智慧，未来更少出现这类事故。

🏴️ 

Comments

[anonymous]

编程随想自曝过身份（某高级信息安全工程师），因此就算姓名、地址都不暴露，只要全国范围内大数据一个一个排查，通过定点网络干扰进行网络嗅探，最后总能锁定阮先生就是编程随想本人。

大家能学到的就是，连自己擅长的都不能暴露。

[anonymous]

可能用Tails比虚拟机更好。