如何清除谷歌并重新开始——第二部分
Mike Felch//
如何清除谷歌并重新开始——第一部分
简要回顾
在第一部分中,我们讨论了一次红队演练,当谷歌安全运营中心(SOC)与客户SOC联合行动时,导致我们所有被入侵的账户、临时账户甚至我的工作账户都被拆除。那一周我的日常工作受到严重影响,家中连接互联网且具有谷歌会话的设备也经常被重置。我意识到,我可能需要重新考虑我的个人生活如何与谷歌的各个方面整合,以及如果未来我们意见不合,这家科技巨头可能对我产生的影响。尽管他们的行动完全合理,并且我同意所采取的措施是他们所遇到事件最安全的风险降低方式,但这在我心中留下了挥之不去的烦恼感。
认识我一段时间的人都知道,15年来我一直是谷歌的忠实粉丝。我拥有的每一部智能手机都运行Android系统,家中几乎每一台智能设备都运行Android或由谷歌拥有,我还是G Suite的重度用户。我所有的文件都备份到Google Drive,大多数在线账户使用我的谷歌账户作为主要单点登录(SSO),所有我的TOTP双因素认证(2FA)都依赖Google Authenticator,甚至我的电话号码也是Google Voice。不用说,这让我思考了很多。
优先级要求
我需要一个目标。摆脱谷歌相关服务和设备是一个崇高的目标,但它是否可实现?我决定还包括迁移远离基于GSM的手机,以避免SIM卡交换的攻击面。快速说明:虽然有很多服务和产品的链接,但都不是推荐链接,仅用于提供选项。
我的目标是:
- 无谷歌服务
- 无GSM手机
- 优质手机覆盖
移动设备选择
这比我之前考虑的要困难得多。虽然周围有许多不同的移动操作系统,但有些不再受支持或纯粹很糟糕。虽然其中一些已经死亡或不再受支持,但我列出了它们,这样你就不必浪费时间研究。我研究过的有:
- FireOS(亚马逊的FirePhone,但似乎已死)
- PureOS(Purism)
- Firefox OS(已死亡一段时间)
- KaiOS(与Google Assistant集成)
- Ubuntu Touch(相当不错的替代品)
- LightPhone 2(未发布,但本是我的首选)
- Windows 10 Mobile(今年终止支持)
- Blackberry/SilentPhone/Cryptophone(现在都运行Android)
- iOS(我当时强烈反对苹果)
在对所有可用选项极度不满之后,我最终购买了一部iPhone,结合Macbook Pro,真正彻底改变了我的整个数字生活。我对苹果的反对不是因为它的技术,我只是不想从一个巨头转到另一个巨头。
多因素选择
虽然选择TOTP 2FA解决方案相当直接,但我想更进一步,也为基于SMS的2FA创建一个完全独立的电话线路。虽然有些人可能认为这属于预备级状态,但它确实为攻击者针对备份SMS 2FA实施增加了一个额外步骤。有许多TOTP选项,以及使用应用程序集成额外电话号码的VOIP提供商。我认为大多数选项之间没有太大区别,但以下是我考虑的一些:
TOTP应用程序:
- Authy
- Duo
- LastPass Authenticator
VOIP提供商:
- Cloud Sim
- Telos
- OpenPhone
- Sideline
- Line2
电子邮件选择
选择新的邮件提供商是一个大问题。我出发时希望有完整的别名支持,因为我想为不同的类别创建唯一的电子邮件地址。与人沟通?新电子邮件。社交资料?新电子邮件。智能手机应用程序?新电子邮件。iCloud?新电子邮件。银行业务?新电子邮件。安全相关账户?新电子邮件。软件许可证?新电子邮件。这可能听起来很疯狂,但使用别名,你可以获得电子邮件整合的便利,同时降低交叉污染的风险。它有助于为试图连接你和你的社交账户的人创建隔离,由于我不喜欢我的个人数据被出售(并且讨厌广告),我选择付费电子邮件。有什么能像Gmail和G Suite产品线一样棒?也许没有,但我们绝对可以满足我们的需求。
有许多邮件提供商可用,我考虑的一些是:
- ProtonMail
- FastMail
- Office 365
- Zoho
- iCloud(我不喜欢把所有鸡蛋放在一个篮子里)
我决定选择的电子邮件提供商是FastMail。他们提供多个计划,你甚至可以自带域名。它具有内置的同步联系人和日历支持,同时具有类似于Google Drive的文件支持。我确实担心我的邮件客户端在每个电子邮件头中泄露我的源IP地址,这通常发生在你不使用网页邮件客户端时。我在一家水果公司的朋友指出,FastMail有一个未公开的SMTP端口565,可以从所有外发电子邮件中剥离源IP地址!他们还有一个不错的移动应用程序,似乎功能齐全。
进行迁移
当我开始这段旅程时,我忽略了许多领域,因此为了为读者创建一个清单,以下是一些需要记住的领域:
账户:
- 使用新电子邮件地址更新所有网站资料
- 更新Slack和其他社交应用程序
- 更新使用电子邮件作为备份的其他资料
手机:
- 迁移手机文件和图像
- 在新手机上重新安装应用程序
数据:
- 备份G Suite数据
- 备份Google Drive文件
- 导入联系人
- 导入日历事件
安全:
- 重新同步TOTP/推送2FA令牌会话
- 更新使用SMS 2FA的资料
账户迁移
我使用了一些技巧来加速大部分过程。第一个重大胜利是使用我的密码管理器来跟踪我已用新电子邮件地址更新的账户。这很方便,因为它帮助我确保覆盖了所有账户,同时直接更新密码管理器。但要小心,有时密码管理器不会自动更新电子邮件地址,如果你使用家庭订阅共享密码,这可能会变得棘手。极少数网站不允许我实际更新我的电子邮件地址。你可能还想考虑重新生成你依赖的API令牌,用于你更新电子邮件地址的账户。我遇到了一个情况,在我更新我的资料电子邮件后,一个我大量使用的API令牌不再工作。
手机迁移
这可能是最直接的迁移之一。我简单列出了我Android手机上的应用程序,并确保在新手机上重新安装它们。可惜没有应用程序可以自动完成此操作,我真的很喜欢Android在我购买的新设备上自动同步应用程序的方式。我不担心将文件同步到新手机,因为它们已经备份,我不 actively需要它们,而且正如你接下来将读到的,我找到了一个新的数据存储解决方案。
数据迁移
谷歌通过访问https://google.com/takeout使下载所有账户数据变得非常容易,但我强烈建议单独同步Google Drive。大文件会造成 major head-aches,如果你是重度用户,这个过程将花费更长时间。使用Google Takeout的好处是你的所有Gmail也会被下载。我唯一找不到解决方案的问题是导出我的Google Books。我书架上的大多数书都是上传的,出于某种原因,下载/导出功能不再可用。
对于存储,我选择用Synology DS218play NAS和Seagate SATA驱动器替换我的家庭NAS,然后将所有内容本地存储而不是云存储。我最终购买了两倍的空间并运行SHR raid配置。这类似于raid 1配置, except它是自定义的Synology raid类型,允许混合和匹配磁盘大小,同时在磁盘故障时保持典型的镜像冗余。选择Synology的原因有很多,但这个基于Linux的操作系统具有简化的用户界面,带有一些非常酷的内置应用程序,从协作工具到替代我的Google Photos和Google Drive需求(Moments和Drive应用程序)的即插即用替代品。你甚至可以直接备份你的Google Drive!这个野兽功能强大,充满了各种有用的应用程序,用于将数据同步到云提供商和从云提供商同步数据,适用于超级偏执狂,或下载YouTube视频或Torrents。
显然,如果你仍然想在云中处理数据,有解决方案:
- AWS S3
- Azure Storage
- Digital Ocean Spaces
- Box.com
- DropBox
不要忘记将你的联系人和日历导入到你的新提供商。大多数联系人应用程序依赖vCard或具有导入功能,因此这样做相当简单。大多数日历采用vCalendar标准,因此事件在提供商之间普遍适用。我利用这个机会清理了我的旧联系人。
安全迁移
最后,不要忘记Google Authenticator中所有那些烦人的TOTP令牌会话,以及为所有仅提供SMS的2FA解决方案实施不佳的资料更改你的电话号码。你确实为所有账户使用2FA,对吧?
我选择使用2个独立的TOTP应用程序,但它们都相对相同。作为渗透测试员和红队成员,我经常遇到在客户参与期间必须注册2FA的场景。需要考虑的是将工作和个人的TOTP应用程序分开用于2FA。除非你有强迫症并且喜欢事物隔离, like me,否则可能没那么大问题。
关于基于SMS的2FA,我听过所有支持SMS 2FA和反对SMS 2FA的信息安全Twitterverse论点,虽然有些人可能认为SMS比没有好,但我强烈不同意。我极度反对将基于SMS的2FA用于主要甚至备份2FA。如果你有一个仅启用SMS 2FA的资料,请确保用你的新电话号码更新这些资料。没有明显的方法来识别哪些资料使用SMS 2FA,除非你的消息应用程序中的SMS消息包含代码的实际用途。谷歌和微软提供了一个不错的小消息, stating“G-xxxxxx是你的谷歌验证码”和“xxxxxx使用此代码进行微软验证”,但似乎很多其他只是带有代码的随机SMS。耸肩如果你有兴趣讨论为什么我认为SMS 2FA不安全、不健康,并且应该完全消除——请随时联系!🙂
擦除并重新开始
现在是删除谷歌账户的时候了,因为一切都已经设置、迁移并正常工作。我没有立即这样做,因为我担心我可能遗漏了什么。保留账户几周但不 actively使用它结果是一个伟大的选择,因为有一些情况我需要访问我的电子邮件,这些电子邮件被配置为其他资料的备份。这也让我放心,知道我没有 actively使用它,并且我远离谷歌的过渡是成功的。虽然有许多谷歌设备你可能需要擦除,但我将提供我使用的设备的说明:
- 删除谷歌账户
- 恢复出厂设置Android设备
- 恢复出厂设置Nest Thermostat
- 恢复出厂设置Google Home
- 恢复出厂设置Fire TV/Fire Stick
- 恢复出厂设置Moto 360 Watch
- 从索尼电视中移除谷歌账户
对某些人来说,避免谷歌服务将是不可能的。例如,我必须为工作使用它,那么我如何故意放弃我的数据给谷歌?我决定,隔离我使用谷歌的地点和方式将需要将经过身份验证的谷歌会话隔离到仅我的工作笔记本电脑。这造成了一点小麻烦,无法在手机上使用工作,但它创造了健康的工作与生活平衡。对于互联网搜索,我已切换到DuckDuckGo,这恰好是一个相当不错的替代品。
不要忘记通知朋友和家人你的新联系方式!我实际上跳过了这一步,因为我认为在紧急情况下有很多方式可以联系到我,而且在大多数情况下,我经常与人交谈,以至于他们最终会得到我的新信息。
一次性信用卡
由于将我的数字生活分散到电子邮件、电话号码和服务提供商已被证明非常有效,我也开始使用Privacy.com进行在线购买。它允许我连接我的银行账户,然后我为每次购买生成一次性信用卡。你还可以生成具有月付款预设限制的商家特定卡。这样,如果商家被入侵,被盗的信用卡就无用。如果选择,你还可以在银行对账单上欺骗交易名称,以避免你的配偶看到那些礼物购买!
最后 thoughts
除了科技巨头无意中变成了拥有控制行为权力并 literally监听我们生活每个领域的操纵者这一现实之外,实际上还有另一个阴影在云中 creeping,人们知道但经常 overlook:个人数据经纪业务。这个领域巨大,他们一直在收集、购买、出售、赠送和交易的数据规模惊人,尽管它是公共信息。通过将你的数字生活 compartmentalizing,你至少可以使那些针对你的人更加困难。哦,我就把这个留在这里https://www.thecreepyline.com,值得一看。🙂
最后一件事,欧盟GDPR第17条中的一个有趣规定强制科技公司在被要求时擦除你的数据。他们还必须通知他们提供数据的第三方,以便他们也可以效仿。如果你是阅读此文的美国公民,并希望利用GDPR,那么请查看爱沙尼亚的eResidency计划。🙂
与此同时,美国公民可以利用佛蒙特州最近通过的一些法律,通过访问佛蒙特州商业页面,选择业务类型为数据经纪人并搜索,然后选择申报历史和申报类型以获取选择退出说明,来识别大多数出售他们数据的数据经纪人。也许阅读此文的某人会遍历每一个并跟踪如何选择退出,并使其易于访问所有人(谢谢Bronwen!)。
就是这样!我希望这个博客系列对你有用,并且你重新控制数字生活的旅程顺利进行。