失踪已久的前著名华语博主“编程随想”,于近日终于有了比较确切的消息——正如很多人所担心的那样,失踪意味着发生了糟糕的事,他被捕了,而且还被判了刑。
如果此时有任何人感觉到自己的头脑中充满了安全性虚无主义的噪音,请不要自责,这是正常的。“专家都被抓到了,我等菜鸟还能幻想什么”……
但这样想至少毫无作用。
因为,安全问题不是纯粹的技术问题,就如安全这个词本身所描述的东西一样,它是一个系统,一种状态;于是它的结果取决于协调性,而非其中某个/或某几个部分的专业性。
同时,不幸的是,局部的专业性过高有可能降低(而不是提升)整体的协调性。
本文不是文章,只是一个帖子。它可能非常不完整(毕竟没有卷宗可查);但也许可以补充一些编程随想博客可能没有涉及的内容。此外我们也正在准备一本书,希望能更详细地讲述安全这个问题。
在收到起诉书全文之前,我们发布了一个帖子如下。大概需要解释一下:起诉书只能确认判决事件,但起诉书中所描述的侦查细节,建议谨慎取信。对刑侦过程/手段的调查,是另一项任务——是更重要的任务,对所有政治犯的案件来说都是如此,不论当事人最终有没有被起诉。
关于最普遍的安全漏洞
在安全方面,中国的前线工作者有两个方面的弱点,比较严重:
——第1个弱点:对对手的了解不足——
您肯定知道“知己知彼”这一重要的战术智慧。您的对手拥有巨大的特权、充足的预算、无下限的卑劣,以做到长期、持续、深入地了解您,甚至可以预测您的行为。而您对他们了解多少呢?
这里存在一个严重的不平衡。您在明,他们在暗。
缺少的可能不是吹哨和调查,而是满足前线社区反抗战略的吹哨和调查。这至关重要。
我们对此的弥补方案,是努力分析其他国家的镇压手段(内容在列表-5“维稳面面观”、以及“反抗者寻求经验”中)。鉴于统治者所拥有的基础设施大同小异,这可以有所帮助,但肯定不充分,前线工作者需要了解对手在什么样的情况下倾向于怎么做。
如此,您便既可以“制造”某种情况,以引诱对手那样去做,也可以避免某种情况的发生,以改变事态走向;甚至还有可能从中了解到对手可能的漏洞,以利用来维护自己的安全。
在其他很多国家,反对派组织是很擅长做这类事的,他们在努力保护自己的秘密的同时,揭开对手的秘密。这也正是“较量”这个词所描述的意思。
举个例子:您知道自己在什么情况下会被监视锁定吗?——我指的是刑侦中的监视工作,您知道被锁定的人会经历什么吗?监视者的目的是什么?他们的工作流程是什么?……
我来画一个图,以最简化的方法描述俄罗斯镇压机构是如何做这件事的。在您的国家它应该大同小异:
您能画一个中国版吗?
不必画给我。只给那些与您实际合作的亲密队友。知情对你们来说至关重要。
以上只是一个例子。您需要知道的东西挺多的。请保持战略目标的清晰。
——第2个弱点:孤独——
孤独是巨大的安全隐患。
令您深陷孤立无援的恐慌,是您的对手始终致力于采取的镇压策略。
人们被渗透和出卖的故事吓坏了。很多担忧是有道理的,但仅仅担忧就没有道理了,因为它只会起到反作用。当您草木皆兵加倍孤单的时候,就是您的对手可以对您最随心所欲的时候。
(我们有过很多关于如何抵制渗透的技巧介绍,比如这里、这里、这里、还有这里)
您需要至少一位贴心战友——更好的是亲密团队。
阮先生的案件之所以变得“疑点重重”,甚至一大群人因为猜想而发生争执,正是因为阮先生对紧急状况的准备似乎严重不足——这绝不是额外的工作,它就是“安全”工作本身的重要部分!
这一“准备”工作应该至少包括以下4个步骤:
明确威胁环境;
明确您最需要的帮助;
确定至少一位贴心战友——作为紧急联络人,至关重要!
准备具体的材料。
下面的图片分别解释了这4个步骤包括什么:
第一步
第二步
第三步
第四步
上述这4个步骤是您最基本应该做的!甚至,不论您是否如阮先生那样去工作,只要您生活在警察国家,并认为自己有遭受迫害的可能性,您就应该提前做这些训练和准备工作。
此案评论中显示出人们对“安全”可能存在的误会
1
老读者知道,我们提供过很多安全教程,试图从各方面讲述安全性;这些“方面”彼此嵌套,或互为条件,或互相支撑。并没有谁比谁更重要,但它们在不同计划/项目中、在不同程度上,缺一不可。
安全是一套思考方式。它既不是哪些软硬件、也不是某些配置,因为没有任何软硬件和配置能独自决定安全性——它们都只是战术,而安全是这些战术经过有效部署以恰当的方式结合在一起时,所产生的效果。
反过来说,如果它们的组合不恰当,不论是过度还是不足,都会形成安全漏洞。
阮先生的起诉书中出现的细节——比如小米手机、华为笔记本等等——也许会让一些读者觉得“抓住了要点”,其实所有这些都可能不是要点。
这并不意味着鼓励您去购买哪款手机或电脑;什么对您好什么不好,始终取决于您准备做什么,以什么角色来做。
我们也写过诸如《一句话安全须知》这样的“通用”安全性教程,但防御工作,绝对没有那么简单。
不幸的是,大多数人可能对软硬件评测头头是道,对配置如数家珍,但却不擅长或经常忘记评估恰当性。
工具很重要,没错,它们提供“能力”给您。但这份能力用来做什么,如何搭配这些不同的能力,取决于您合理的战术布局。
合理的战术布局=有一个明确的战略目标+准确的威胁模型和风险评估+了解不同战术的特征和能力。
所以,如果您关心安全知识,并且现在是第一次阅读IYP的内容,我推荐您从《整体安全》教程开始(此链接是最后一集内容,其中有该系列完整列表)。
这是一个训练营,包含您在安全方面所必须了解的一切基本原理。技术始终在不断升级,但防御的原理是不变的。
该训练营可以帮您培养一种持续稳定的敏锐,帮助您及时规避风险。
安全就像一棵树,软硬件是小树枝和树叶,而根基是您的战略智慧。
“最好的”=最合理的和最恰当的,绝对不是“最贵的和最麻烦的”。
安全就像鞋子,好不好取决于是否适合您的脚,而不是它看起来有多漂亮、花了多少钱、或者有多复杂。