如何清除谷歌数据并重新开始 - 第二部分

Mike Felch

内容回顾

在第一部分中，我们讨论了一次红队演练如何因谷歌安全运营中心（SOC）与客户SOC联合行动而失败，导致我们所有被入侵的账户、临时账户甚至我的工作账户都被清除。那一周我的日常工作受到严重影响，家中所有连接互联网且存在谷歌会话的设备都频繁被重置。我意识到可能需要重新考虑个人生活如何与谷歌全面整合，以及未来若与这家科技巨头意见不合可能受到的影响。尽管他们的行动完全合理，且我也认同所采取的措施是他们所遇事件最安全的风险降低方式，但这仍在我心中留下了挥之不去的困扰。

认识我一段时间的人都知道，15年来我一直是谷歌的忠实粉丝。我拥有的每部智能手机都运行Android系统，家中几乎每个智能设备都运行Android或归谷歌所有，我还是G Suite的重度用户。所有文件都备份到Google Drive，大多数在线账户使用谷歌账户作为主要单点登录（SSO），所有TOTP双因素认证（2FA）都依赖Google Authenticator，甚至连我的电话号码都是Google Voice。不用说，这让我思考良多。

优先级设定

我需要一个目标。摆脱谷歌相关服务和设备是一个崇高的目标，但能否实现？我决定还包括迁移远离基于GSM的手机，以避免SIM卡交换的攻击面。请注意，虽然文中提到许多服务和产品的链接，但都不是推荐链接，仅用于提供选项。

我的目标是：

• 无谷歌服务
• 无GSM手机
• 优质手机覆盖

移动设备选择

这比我想象的要困难得多。虽然周围有多个移动操作系统，但有些已不再支持或纯粹很糟糕。尽管其中一些已死亡或不再支持，我还是列出了它们，以免您浪费时间研究。我考察的系统包括：

• FireOS（亚马逊的FirePhone，但似乎已死亡）
• PureOS（Purism）
• Firefox OS（已死亡一段时间）
• KaiOS（与Google Assistant集成）
• Ubuntu Touch（相当不错的替代品）
• LightPhone 2（尚未发布，但本是我的首选）
• Windows 10 Mobile（今年终止支持）
• Blackberry/SilentPhone/Cryptophone（现在都运行Android）
• iOS（我当时强烈反对苹果）

对所有可用选项极度不满后，我最终购买了一部iPhone，结合Macbook Pro，彻底革新了我的整个数字生活。我反对苹果不是因为其技术，只是不想从一个巨头转向另一个。

多因素认证选择

虽然选择TOTP 2FA解决方案相当直接，但我想更进一步，为基于SMS的2FA创建一个完全独立的电话线路。尽管有些人可能认为这属于预备者级别，但它确实为攻击者针对备份SMS 2FA实施增加了额外步骤。有许多TOTP选项以及VOIP提供商，通过应用程序集成额外电话号码。我认为大多数选项之间没有太大区别，但以下是我考虑的一些：

TOTP应用

• Authy
• Duo
• LastPass Authenticator

VOIP提供商

• Cloud Sim
• Telos
• OpenPhone
• Sideline
• Line2

电子邮件选择

选择新的邮件提供商是一个大问题。我出发时希望完全支持别名，因为我想为不同类别创建唯一的电子邮件地址。与人沟通？新电子邮件。社交资料？新电子邮件。智能手机应用？新电子邮件。iCloud？新电子邮件。银行业务？新电子邮件。安全相关账户？新电子邮件。软件许可证？新电子邮件。这可能听起来很疯狂，但使用别名，您可以在方便地整合电子邮件的同时降低交叉污染的风险。它有助于为试图连接您和您的社交账户的人创建隔离，由于我不喜欢个人数据被出售（且讨厌广告），我选择付费电子邮件。有什么能像Gmail和G Suite产品线一样出色？也许没有，但我们绝对可以满足需求。

可用的邮件提供商有很多，我考虑的一些包括：

• ProtonMail
• FastMail
• Office 365
• Zoho
• iCloud（我不喜欢把所有鸡蛋放在一个篮子里）

我决定选择的电子邮件提供商是FastMail。他们提供多个计划，您甚至可以自带域名。它内置支持同步联系人和日历，同时提供类似于Google Drive的文件支持。我确实担心邮件客户端在每个电子邮件头中泄露我的源IP地址，这通常发生在不使用Webmail客户端时。我在一家水果公司的朋友指出，FastMail有一个未公开的SMTP端口565，可以从所有外发电子邮件中剥离源IP地址！他们还有一个不错的移动应用程序，功能似乎很全面。

进行迁移

我开始这段旅程时忽略了许多领域，因此为了为读者创建一个清单，以下是一些需要记住的领域：

账户

• 使用新电子邮件地址更新所有网站个人资料
• 更新Slack和其他社交应用
• 更新使用该电子邮件作为备份的其他个人资料

手机

• 迁移手机文件和图像
• 在新手机上重新安装应用

数据

• 备份G Suite数据
• 备份Google Drive文件
• 导入联系人
• 导入日历事件

安全

• 重新同步TOTP/推送2FA令牌会话
• 更新使用SMS 2FA的个人资料

账户迁移

我使用了一些技巧来加速大部分过程。第一个重大胜利是使用我的密码管理器来跟踪我已用新电子邮件地址更新的账户。这很方便，因为它帮助我确保覆盖了所有账户，同时直接更新密码管理器。但要小心，有时密码管理器不会自动更新电子邮件地址，如果您使用家庭订阅共享密码，这可能会变得棘手。极少数网站不允许我实际更新电子邮件地址。您可能还想考虑重新生成您依赖的API令牌，用于已更新电子邮件地址的账户。我遇到了一个情况，在我更新个人资料电子邮件后，一个我大量使用的API令牌不再工作。

手机迁移

这可能是最直接的迁移之一。我简单列出了Android手机上的应用程序，并确保在新手机上重新安装它们。可惜没有应用程序可以自动完成此操作，我真的很喜欢Android如何在我购买的新设备上自动同步应用程序。我不担心将文件同步到新手机，因为它们已经备份，而且我不 actively需要它们，此外，正如您接下来将读到的，我找到了数据存储的新解决方案。

数据迁移

谷歌通过访问https://google.com/takeout使下载所有账户数据变得非常容易，但我强烈建议单独同步Google Drive。大文件会造成 major head-aches，如果您是重度用户，此过程将花费更长时间。使用Google Takeout的好处是您的所有Gmail也会被下载。我唯一找不到解决方案的问题是导出我的Google Books。我书架上的大多数书籍都是上传的，出于某种原因，下载/导出功能不再可用。

对于存储，我选择用Synology DS218play NAS和Seagate SATA驱动器替换我的家庭NAS，然后将所有内容本地存储而不是云端。我最终购买了两倍的空间并运行SHR raid配置。这类似于raid 1配置， except它是自定义的Synology raid类型，允许混合匹配磁盘大小，同时在磁盘故障时保持典型的镜像冗余。选择Synology的原因有很多，但这个基于Linux的操作系统具有简化的用户界面，带有一些非常酷的内置应用程序，从协作工具到替代我的Google Photos和Google Drive需求（Moments和Drive应用程序）的即插即用替代品。您甚至可以直接备份您的Google Drive！这个野兽功能强大，充满了各种有用的应用程序，用于与云提供商同步数据（对于极度偏执的人）或下载YouTube视频或Torrents。

显然，如果您仍想在云端处理数据，有以下解决方案：

• AWS S3
• Azure Storage
• Digital Ocean Spaces
• Box.com
• DropBox

不要忘记将您的联系人和日历导入到新的提供商。大多数联系人应用程序依赖vCard或具有导入功能，因此相当简单。大多数日历采用vCalendar标准，因此事件在提供商之间普遍适用。我利用这个机会清理了旧联系人。

安全迁移

最后，不要忘记Google Authenticator中所有那些烦人的TOTP令牌会话，以及为所有仅提供SMS的2FA解决方案配置不佳的个人资料更改您的电话号码。您确实为所有账户使用2FA，对吧？

我选择使用2个独立的TOTP应用程序，但它们都相对相同。作为渗透测试者和红队成员，我经常遇到在客户参与期间必须注册2FA的场景。需要考虑的是将工作和个人TOTP应用程序分开用于2FA。除非您有强迫症且喜欢隔离事物， like me，否则可能没那么重要。

关于基于SMS的2FA，我听过所有支持SMS 2FA和反对SMS 2FA的信息安全Twitterverse论点，虽然有些人可能认为SMS总比没有好，但我强烈不同意。我极度反对将基于SMS的2FA用于主要甚至备份2FA。如果您有仅启用SMS 2FA的个人资料，请确保用新电话号码更新这些个人资料。没有明显的方法可以识别哪些个人资料使用SMS 2FA，除非您消息应用程序中的SMS消息包含代码的实际用途。谷歌和微软提供了一个不错的小消息， stating“G-xxxxxx是您的谷歌验证码”和“xxxxxx使用此代码进行微软验证”，但似乎许多其他只是带有代码的随机SMS。耸肩如果您有兴趣讨论为什么我认为SMS 2FA不安全、不健康且应完全消除——请随时联系！🙂

清除并重新开始

现在是删除谷歌账户的时候了，因为一切已设置、迁移并正常工作。我没有立即这样做，因为我担心可能遗漏了什么。保留账户几周但不 actively使用它结果是一个伟大的选择，因为有一些情况我需要访问我的电子邮件，该邮件被配置为其他个人资料的备份。这也让我安心，知道我没有 actively使用它，并且我远离谷歌的过渡是成功的。虽然有许多谷歌设备您可能需要清除，但我将提供我使用的设备的说明：

• 删除谷歌账户
• 恢复出厂设置Android设备
• 恢复出厂设置Nest恒温器
• 恢复出厂设置Google Home
• 恢复出厂设置Fire TV/Fire Stick
• 恢复出厂设置Moto 360手表
• 从索尼电视中移除谷歌账户

对某些人来说，避免谷歌服务将是不可能的。例如，我必须为工作使用它，那么如何避免故意将数据交给谷歌？我决定隔离使用谷歌的地点和方式，需要将经过身份验证的谷歌会话隔离到仅我的工作笔记本电脑。这造成了一点小麻烦，无法在手机上使用工作，但它创造了健康的工作与生活平衡。对于互联网搜索，我已切换到DuckDuckGo，这恰好是一个相当不错的替代品。

不要忘记通知朋友和家人您的新联系号码！我实际上跳过了这一步，因为我认为在紧急情况下有很多方式可以联系到我，而且在大多数情况下，我与人们交谈足够频繁，他们最终会得到我的新信息。

一次性信用卡

由于将我的数字生活分散到电子邮件、电话号码和服务提供商已被证明非常有效，我也开始使用Privacy.com进行在线购买。它允许我连接我的银行账户，然后我为每次购买生成单次使用的信用卡。您还可以生成特定商家的卡片，具有每月付款的预设限额。这样，如果商家被入侵，被盗的信用卡就无用。如果选择，您还可以在银行对账单上欺骗交易名称，以避免您的配偶看到那些礼物购买！

最后思考

除了科技巨头无意中变成拥有控制行为权力并 literally监听我们生活每个领域的操纵者这一现实之外，实际上还有另一个阴影在云端 creeping in，人们知道但经常 overlook：个人数据经纪业务。这个领域巨大，他们一直在收集、购买、出售、赠送和交易的数据规模惊人，尽管它是公共信息。通过分隔您的数字生活，您至少可以使那些针对您的人更加困难。哦，我就留这个在这里https://www.thecreepyline.com，值得一看。🙂

最后一件事，欧盟GDPR第17条中的一个有趣规定强制科技公司在请求时擦除您的数据。他们还必须通知他们提供数据的第三方，以便他们也能效仿。如果您是阅读此文的美国公民，并希望利用GDPR，那么请查看爱沙尼亚的电子居住计划。🙂

与此同时，美国公民可以利用佛蒙特州最近通过的一些法律，通过访问佛蒙特州商业页面，选择业务类型为数据经纪人并搜索，然后选择申报历史和申报类型以获取选择退出说明，来识别大多数出售其数据的数据经纪人。也许阅读此文的某人会遍历每一个并跟踪如何选择退出，并使其易于所有人访问（谢谢Bronwen！）。

就是这样！我希望这个博客系列对您有用，并且您重新控制数字生活的旅程顺利进行。

如何清除谷歌数据并重新开始 - 第一部分

准备好了解更多吗？ 通过Antisyphon的实惠课程提升您的技能！ Pay-Forward-What-You-Can培训 提供实时/虚拟和点播