远程工作/WFH时反物理追踪定位 技术经验总结
远程工作反追踪技术总结与争议探讨。
1. 关键信息
- WFH 反追踪需多层防护:自建 VPN/VPS、VPN Router、禁用/拆无线网卡、Faraday bag、Kill Switch。
- 公司可能通过 IP、Wi-Fi 扫描、蓝牙、MDM、键盘时序、显示器 EDID、USB/HID 识别定位。
- 部分高端笔记本(Surface/ThinkPad/某些 Dell)含 GPS/无线模块,企业设备难彻底防检测。
- 隔离策略:企业设备不跨区、自建路由+防火墙、VLAN/二层隔离、禁用无线/蓝牙/GPS。
- 替代方案:PIKVM / JetKVM / KVM over IP 直连公司台式机,规避笔记本检测。
- 链路混淆:家用 NAT + VPN Server、流量填充/延迟伪装、ISP 静态/DDNS、IPv6。
- 风险:MDM/EDR 取证能力强,简单 heuristic 可触发告警;跨境合规与背调风险高。
2. 羊毛/优惠信息
无。
3. 最新动态
- 讨论持续聚焦实操细节:Kill Switch 部署、路由配置、MDM 策略、硬件拆解与屏蔽。
- 新关注点:键盘时序/鼠标移动模式被检测、USB/C 虚拟化、显示器 EDID 伪造、蜂窝回传(Fi/5G)。
- 趋势:零信任与 DLP 工具普及,heuristic 叠加降低误报但难完全规避。
4. 争议或不同意见
- 是否有效:有人亲测自建 VPN/路由器可绕过 IP 检测;有人指出延迟/MSS/SNI 等仍可暴露。
- 风险程度分歧:部分认为公司无资源深度分析;另一派强调企业级 DLP/EDR 与合规压力。
- 法律与合规:跨境工作可能违反出口管制/劳动法;背调与 reference 核实机制存在差异。
- 工具争议:PIKVM/JetKVM 是否被 MDM 识别;BadUSB/EDID 伪造的实用性与门槛。
5. 行动建议
- 评估 threat model:普通员工可基础屏蔽无线/蓝牙/GPS+自建出口;高敏感场景建议 KVM 直连。
- 部署 Kill Switch、静态/DDNS IP、VLAN 隔离与二层防护,禁用不必要外设。
- 避免使用公司设备处理敏感任务,优先使用个人设备+远程桌面或 RDP。
- 跨境工作时遵守合规要求,保留可验证的行程与工作记录,降低背调风险。
最近研究了一下WFH或远程工作时,防止雇主物理追踪的方法和技术。现有的技术,已经完全能在网络层面完全遮盖住自己的真实位置。比如虚拟机,VPS,VPN/VPN Router,甚至可以在家的路由器上自建VPN,这样别人看来你完全是一直在家工作。
现在唯一的conern是一些软件可能会尝试物理追踪你的位置。大家先别担心,目前这个猜想并不成立,我亲测过目前微软全家桶的追踪定位方式仍然仅仅通过IP地址。所以这篇文章很可能是个overkill, 可能十几年内都不会用得上。但是我们一定要不打无准备之仗!一定要考虑到worst case scenario, 在各个层面做好防护,让别人无懈可击。
以下以微软全家桶为例,很多公司目前都用这个,Office 365 + Outlook + Teams,每次使用,甚至log-in进电脑,都会把你的位置(IP)上报给微软,很多公司的网络安全系统也是基于这个的。
是否会通过GPS对你进行物理定位?
我先前一直误认为很多电脑有GPS芯片,可以物理定位。后来发现想多了,绝大部分的电脑都是不会带GPS的,这个去查你电脑的hardware info可以确认。 但有的电脑会带mobile broadband, 就是插手机卡上网那种,的确有暴露真实物理位置的风险。
电脑如何定位?
就Windows来说,主要是通过IP地址,另一个定位方式就是WIFI, 会扫描周边的SSID信号,然后确定你的位置。WIFI定位这个目前微软全家桶还没有启用,因为不确定性太大了。
这个我多次亲测过,用VPN Router一端连家里的VPN,另一端让公司电脑上网,家的地址是离我300 mile以外的A地,我人在B地,微软dashboard里显示我的位置是A而不是真实位置B
如何防止被WIFI物理定位?
简单的关掉WIFI风险很大,因为有谣言说即使你关了WIFI,关闭了WINDOWS 系统的定位服务,微软的服务也能偷偷用你的WIFI设备扫描周边WIFI信号。所以得从根本上阻止WIFI定位。能想到的方法有:
1. 禁用/卸载无线网卡
2. 打开笔记本后盖,把WIFI adapter拆下来
3. faraday bag, 孟晚舟案子里受到的启发,可以屏蔽一切的WIFI信号和手机信号。但你电脑没法完全装袋子里,肯定要接几个cable, 这样会不会漏信号进去不得而知。
公司如果在你电脑植入个监控程序,跑traceroute命令,能否探测到你的位置?
亲测, 首先你如果连的VPN, 跑traceroute 第一个hop就是VPN Server,并不会经过其他IP。也就是VPN完全是点对点的
其次,即使你人在美国,跑个traceroute也可能有莫名其妙的hop,比如我在家跑了个到公司官网的traceroute,中途有几个hop的IP地址居然在澳大利亚。所以完全不用担心这种问题。
感谢楼下的朋友提醒,我一开始没说明白。上面几条的结论就是不要用WIFI上网,把WIFI彻底关掉,通过网线连VPN Router上网,也不要在公司设备上直连任何VPN,这点大部分时候也是不允许的。
防止偶然暴露真实位置/IP
一定要有个VPN kill switch, 防止网络状况不好VPN断了的时候偶然暴露真实IP. 上面提到的VPN Router都自带这种功能,一些防火墙软件也可以做到这点。
Miscellaneous
微软全家桶现在允许公司设置成禁止VPN访问,原理就是他们收集了常见的private vpn的IP段,尝试登陆会显示company policy prohibits accessing company resources from network sharing service。并且公司那边会有alert. 所以最好不要用商用的VPN,可以用VPS搭,或者自己在家路由器搭个VPN。我自己家的Asus Router就自带VPN 功能,非常稳定。
尽量别带公司设备,这样你的风险又降低了很多。可以把公司电脑放家里,自己带电脑通过RDP连接
如果用RDP,则涉及到开会的时候会有些问题。能dial in 尽量dial in,不露脸。RDP现在也可以支持把本机的USB设备,麦克风和摄像头分享给远端机器。可以尝试一下。 也可以自己电脑关掉所有定位做好防护然后登陆Teams Web, 或者自己装个Teams。 如果需要露脸,可以开虚拟背景
行动之前最好多尝试几次,比如趁着PTO的时候做几个实验,这样即使穿帮了也不会有事。
Google FI,US Mobile等带国际漫游的MVNO也是不错的选择,可以带着应急。但是注意最好也是通过网线直连,不要通过WIFI热点。 我下次离开美国的时候试试此种方法跑traceroute,看看有没有奇怪的hop
还有种科技叫PIKVM,可以远程物理操控机器。有兴趣的自行youtube/google一下,setup稍微复杂一点,但是很好用
整这些幺蛾子,很快会被公司分
【引用自 anon43913057】:
别人看来你完全是一直在家工作
老板想知道太简单了··· 明天有个组会,所有人要onsite哦····
上一个觉得公司发现不了的员工已经被发现了
很多公司发手机卡的,实在想查还可以找通讯公司三点定位,精确到18cm
没有公司会发手机卡逼着你用
【引用自 山羊芝士】:
18cm
细说18cm
为这样的公司,累不累啊。分,找个不track的
【引用自 Bart2011】:
找个不track
你不知道哪个不track···· track这个事情,说不定各个公司都外包给同一个vendor干呢···
很简单啊 公司不让你去某些地方就不要去啊。 骚操作 最后总会出事的
友情提醒:连电脑有没有gps都搞不清楚的技术经验可信度并不高
【引用自 gin_m】:
公司不让你去某些地方就不要去啊。 骚操作 最后总会出事
同意!!!! 这样被fire,以后background check都过不了了··· 就和所有工作分了···
background check还能发现你被fire? 你是没做过background check吧?
我记得是会打电话找上一家公司的HR
除非你简历上不写。
看来你没干过HR
HR只能证实你的工作起始时间和职位
其余的多说一句就等着上法庭吧
哈哈 没啥细的 我的意思就是 想瞒着公司做什么公司不允许的事情的员工往往会被发现。
咦。 我之前是要求有2个manager referral 然后他们联系manager 问我的情况。 那不是HR
这种一般是猎头公司吧?我遇到过几次,直接拒绝
我的几份工作都是公司找hireright这种第三方公司做背景调查, report我也都看过
好像是有问能不能联系现在的主管。 不过大部分情况可以说不行 因为毕竟骑驴找马 影响不好
traceroute 不记录机器名字的应该。 他只能知道 source ip → dest ip
啥意思?
我是在自己家用自己的电脑测试的,自爆啥?
【引用自 anon43913057】:
HR只能证实你的工作起始时间和职位
还可以问: What is The Documented Departure Reason? 和 Would You Rehire?
image756×192 19.5 KB
搜了下 不确定真假
【引用自 anon3948243】:
如果你认定公司admin在后台装了专门的程序在检测你网络,搞清楚你真实IP routing的方法不要太多
下面就我这种半吊子外行随便想想的,基于windows系统:
首先一个ipconfig直接列出所有NIC,然后对比一下IP地址就知道你的default route是一个VPN了
然后只要route命令往你路由表里插入一个专门的项目,指定到云上某一个特定IP的路由走你的真实NIC,再往那个地址发一个包或者链接,云上服务器立刻就能拿到你的真实物理链路公网IP
这还是我这种半吊子外行最简单的做法,真正给企业提供类似方案的都是专门做网络安全的公司,可以玩的花样远比这些花的多。
【引用自 anon3948243】:
之前那个帖子我已经说过了。所有网络链路的花样都不要在公司发的机器上搞,自己做软路由搞,然后极其接到软路由的内网里。自己的软路由是可以完全控制的,只要软路由配置不出问题,公司在机器里做什么手脚都没法从网络链路上发现你的问题。
我可能前面没说清楚,我的意思也是用VPN Router这种东西连网线接公司电脑,而不是公司电脑直接连VPN。后者大部分公司也是不允许的
【引用自 小芝士】:
还可以问: What is The Documented Departure Reason? 和 Would You Rehire?
【引用自 gin_m】:
搜了下 不确定真假
各个公司针对外来背景调查request的政策不一样。我呆过的几个大中小公司,都有明确的规定说HR不能给员工提供employment verification, 所有的background check request统一refer给第三方公司
这种直接打电话一问一答的一般都是小公司或其他国家的。美国这边总体来说还是很正规的
各州法律不一样,可以问的问题也不一样,但是一定可以问的是工作起始时间,工作职责,是不是愿意回聘。
你的假设还是对方背景调查的方式是会打电话来公司问HR问题。
那如果目前你的公司是通过这种方式接受背景调查的话,三思吧
【引用自 anon43913057】:
你的假设还是对方背景调查的方式是会打电话来公司问HR问题
Screenshot 2023-10-06 at 10.28.07 PM1558×810 94.4 KB
我就是增补了一点HR可以回答的问题,没有提到过什么背景调查呢。看来幂姐姐的技术贴太火爆,回楼人太多了,认错楼了
LZ这贴抛砖引玉可以,技术上太不硬核了
有什么硬核技术可以提出来,大家一起讨论
VPS 搭建OpenVPN/wireguard./v2Ray这些就不讨论啦,教程太多了
【引用自 anon43913057】:
中途有几个hop的IP地址居然在澳大利亚
只是你用的IP数据库的问题,或者公网IP私网用的问题
好像不是,后来查了一下是DNS name server 之类的东西, IP Owner是某个域名服务商
【引用自 anon43913057】:
以微软全家桶为例,很多公司目前都用这个
真的吗
可以参考编程随想
看出来了,隔行如隔山
疫情的时候我们组给大家定了蛋糕,然后云庆祝。
蛋糕是快递过来的还是被云吃了
【引用自 anon43913057】:
v2Ray
看到这忍不住笑了
V2Ray设计就是只给TCP和UDP用的,翻翻GFW还行。但是公司电脑就算软路由架V2Ray也没法让其他协议走V2Ray
【引用自 anon43913057】:
可以把公司电脑放家里,自己带电脑通过RDP连接
也很乐,自己电脑天天RDP连公司电脑的话公司IT绝对知道,只是想不想管的问题而已
只能说:
【引用自 LittleSister】:
友情提醒:连电脑有没有gps都搞不清楚的技术经验可信度并不高
蛋糕是Uber eats 之类从各处送来的。虽然我们平时开会不开摄像头,但那次大家都开了。
【引用自 蚀心酸菜鱼】:
看到这忍不住笑了
V2Ray设计就是只给TCP和UDP用的,翻翻GFW还行。但是公司电脑就算软路由架V2Ray也没法让其他协议走V2Ray
我没说用v2Ray来代替VPN啊,我只是举个例子说不讨论这些具体技术。我一直推荐的是VPN Router
【引用自 蚀心酸菜鱼】:
也很乐,自己电脑天天RDP连公司电脑的话公司IT绝对知道,只是想不想管的问题而已
我只是提供一种解决方案,怕RDP被发现或者公司明令禁止用RDP就带着拆掉无线网卡的公司电脑,或者PIKVM
【引用自 LittleSister】:
友情提醒:连电脑有没有gps都搞不清楚的技术经验可信度并不高
有疑问有concern尽管提,大家一起讨论,别张口就喷。我Azure/AWS Certified Solutions Architect 外加AWS Advanced Networking Specialty证书比大多数人懂得多
技术上可行,实际上可能仅限于你老板不和你同城。我以前老板经常随机约个线下咖啡, 卒。
楼主说的解决方案不涉及你说的这些问题。楼主有些技术细节用词可能不准确,但结论没错。
正确配置的情况下,你可以想象成被公司彻底监控的电脑一出网线口就进了一个vlan,下一跳出来就变成美国家里的路由器了。这种情况公司只能通过有线网络节点信息之外的信息来检测,比如wifi,所以才要法拉第笼。
除非公司明确说明你只能在自己位于某个州某个城市的家里工作,否则遇到这种情况完全可以说自己这周在隔壁州XX地方看生病了的同学/朋友,下周再约。
并且,有时候跟老板/同事关系不要太近也未必不是好事
我都说了用网线连接VPN Router
原帖和后面的回复已经clarify了一下
Layer 3的是VPN,直接每个IP数据包转发,常见(早就被封的)协议是PPTP/L2TP,新一点的wireguard。Layer 4的是代理,转发tcp连接。国内有时候把Layer 4的也统称为VPN了。
其实就中国大陆稍微麻烦点
在其他国家 直接一个VPN啥都解决了
换个不care你工作地点的老板也是一个选择。
新macbook疑似已经内置类似airtag的定位系统,之前laptop在已知没网的地方都被我的find my精确显示
这玩意不需要你laptop有网络连接,只要你身边有iphone,就会被别人report到icloud上
是通过蓝牙和WIFI的,如果你开了find my device, 身边的苹果设备探测到你的硬件后,会给iCloud发送你的位置。
Airtag貌似也是这种原理
Faraday bag 应该也可以屏蔽蓝牙信号,这样就保险多了
另外还得跟大家警告一下,苹果“关机”之后仍然会继续广播蓝牙定位信号。不能拆电池的设备都不安全。
请教下,如果整个随身软路由 (比如 Mudi (GL-E750)),然后在家里建个VPN, 随身软路由默认连自建VPN, 这样电脑上的Wifi 就能开了吧,会有什么问题吗?
我知道公司介意的都是法律或者薪金或者税务方面的原因。
WIFI 可以被windows系统用来定位,千万不要用。除非你能确保周边只有你自己的WIFI信号
上面提到的VPN Kill Switch 是必须要有的,很多VPN Router自带
楼主在主楼说了啊,电脑会扫描周边所有的wifi基站mac地址用于定位,你可以试试装个chrome然后打开Google maps体验一下。楼主初步试验发现微软貌似没有把这个定位信息显示给他自己,但不能保证Windows没有偷偷在后台把wifi定位发给微软office365管理员后台。所以要完全保险只能要么把wifi芯片断电了(或者法拉第笼信号屏蔽)要么不用闭源操作系统用linux。
话说回来,给无线芯片彻底断电其实是很常见的安全需求,一些企业级笔记本和给美国政府定制的笔记本都有硬件wifi断电开关…
要我来做的话,直接测量你的 TCP 延迟和 MSS 就能判定是不是在用 VPN 了……
真要抓的话是逃不过的(
另外公司电脑一般都预装 MDM 软件的……功能可丰富了。
大家还是要鼓励一下楼主的,我觉得这个帖子思路也很详细,可以继续添加一些细节挺好的。有些质疑也得分清楚是盯着你要抓,还是被扫数据发现。像是老板约onsite和查延迟这种东西就是挑毛病了,这不会是被发现的主要原因。
如果一定要开摄像头的话,有没有人探索过 virtual camera 有啥选项?我平时也没用弄 zoom 背景,突然开上背景感觉会被立即发现。
【引用自 anon43913057】:
我Azure/AWS Certified Solutions Architect 外加AWS Advanced Networking Specialty证书比大多数人懂得多
姐妹,不是嘲讽你啊。这个东西在很多人眼里和尼国的计算机二级证书差不多。
我每天都会收到spam 卖的都是各种各样的hybrid work MDM and security solution
如果你觉得工作无所谓其实是无所谓 除非你做的是export controlled的东西 公司也无非是要check box罢了 可能没人想enforce 但是你留下了所有对你不利的证据
如果有法律问题 给一个公司不让你背锅的理由
他技术上没出破绽,是别的地方大意了
bgp.he.net
大家推荐一个vpn router?回国不需要随身移动的话 这个咋样?
https://www.amazon.com/gp/product/B09N72FMH5/ref=ox_sc_saved_image_3?smid=A364119SDJA4QG&psc=1
【引用自 anon43913057】:
亲测, 首先你如果连的VPN, 跑traceroute 第一个hop就是VPN Server,并不会经过其他IP。也就是VPN完全是点对点的
我也不是很懂,但是你上班不用连VPN吗?一连VPN不就知道你的真实IP了吗?还是你在路由上再套个VPN?
而且搞这么复杂的设置很多内部工具都不能工作了吧
话说你躲得过公司也躲不过税务啊?税局应该很容易就能发现你住没住在哪里,除非你还得租或者挂靠个房子来收信。
一旦需要 offsite啥的还得自己出钱买机票,感觉ROI不高啊
这些漏洞微软自己早就都堵上了,就看各大企业要不要抄作业了
在微软干活,想长时间不物理接触公司发的设备,是根本不可能的。至于电脑有没有带gps芯片的事,微软发的那都有
而且微软在技术上是能知道你偷偷玩跳板的,有个同事就为了绕开微软的技术限制在家里做了一个复杂的网络,从而使得可以从没有装微软内部间谍软件的电脑,remote到了一个微软的设备,第二天就被IT警告了
所以我觉得这个问题的终极解决办法,就是直接跟公司说你想remote,批下来了,爱去哪去哪。不批?那就老实点
应该用摄像头加机械手外加3d打印的自己脑袋在电脑前面就不会被发现了
话说微软干活发的是啥电脑? 都带GPS芯片那只有Surface了?
直接在公司设备上动手脚风险很大,你这同事搞那么复杂的网络其实也躲不开间谍软件监控,被查的原因应该还是remote进公司电脑了
这种情况下用PiKVM是唯一的解决方案
因为这就是搞这么多事的目标啊
对的,VPN也可以套娃
税局跟你公司两码事,税局管不到你去哪remote工作
【引用自 anon43913057】:
都带GPS芯片那只有Surface了?
没错,每次都只有少量型号可以选,一般就是surface、thinkpad,偶尔有些别的
ThinkPad也带GPS芯片?
Surface拿来干活好像不太行啊
还好我呆过的公司电脑都是挂壁HP, DELL,不会有那么高级的东西
【引用自 anon43913057】:
挂壁HP, DELL,不会有那么高级的东西
本来是只给你开会的,但是remote的话,你只能插上键盘鼠标显示器,再remote进公司内部的台式机或者服务器干活。根本没办法在笔记本上写代码的
【引用自 anon43913057】:
ThinkPad也带GPS芯片?
只要公司愿意加钱,都会有的
可以选macbook马
其实原本是可以的,只是在前一段时间才开始有技术手段不让从非公司电脑mstsc进公司电脑,大家就忍不住试了一下。过去都是连个rdp的gateway就上了,算是官方允许的方法之一
不过接下来的走向是zero trust network,公司的大方向是尽量让所有电脑直连互联网,尽量少用vpn登录内网的方法做权限的事,以后可能会有新的政策
你开发macos或者ios的项目就可以有两台笔记本,其中一台要mbp
不怕水果公司窃取商业机密吗
你软 ztn 这么晚,字节前年就在了,不过至少是弄了一年多才有雏形
ztn早就在做了,无奈公司的网络结构太复杂了,推了好多年一点一点改的
在上世纪微软内部的网络压力是地球上最高的,不少网卡的bug只能拿到公司里跑一下才能repro
从家里RDP进公司电脑不需要VPN 吗? 可以通过公共网络直接连?
有律师,不怕
可以的。最低要求就是:
电脑要连上azure work/school account(这一步需要你装间谍软件)
mac地址在公司内登记一下
电脑至少在公司的大楼里插过一次网络
其实主要的限制是在被登陆的那台机子上,也要你做完一整套手续
你甚至可以在公司内做个虚拟机,登陆完复制出来用,不过这样的虚拟机很快就会失效,时不时就要重新做一次。不过这是违反公司policy的
那你同事被警告是没有遵守这三条规定吧?
MAC地址啥的都好办,更改/克隆MAC地址方法有不少
我知道RDP 会在system events里留下个记录,包括来源的IP地址,主机名等信息,猜想IT部门监控是不是就靠的这个
间谍软件是啥名字? Microsoft Intune吗?
如果是自己的机器装间谍软件,唯一的防护就是别让间谍软件探测到物理位置,又回到原先的话题了。
买个图像卡可以无侵入把图像转播出去,那外设也可以一样无侵入,这样延迟怎么样呢,成本应该还可以
intune是手机的间谍软件,应该是同时也提供给其他公司用的solution。PC的我不知道是什么,不是一个公开的东西
可能就是叫Cpmpany Portal? 我公司电脑上也有
如果限定只能用公司发的带GPS芯片的Surface来RDP进公司电脑的话,PIKVM是唯一方案了
如果是允许在这些条件下通过自己的电脑连,还是有不同的解决方案的
【引用自 anon43913057】:
如果是允许在这些条件下通过自己的电脑连
确实,微软并没有打算阻止你满世界跑,但是公司要求你去哪就要领那里的工资,而且有些部门是有一些限制的(比如哪里都可以但是不能在中国)。这是一个法律问题,暴露了搞不好吃牢饭。所以还是老老实实申请罢
目前看起来pikvm可能能做到不被检测,不过现在人人都发yubikey了,搞不好下一次yubikey就给你做进笔记本里,那就彻底结束了
Yubikey要去摸的,除非自己diy一直机器手连上kvm
摸是验证指纹还是啥?
感觉准备弄一套来试试,不过 pikvm 也不能说贵吧,就是感觉自己在为理财产品付溢价的冤大头
现在没验证,只要碰一下
可以不用 yubikey 吧,这个硬件也等同于 duo 之类的软件,一般 it 也不会 exclusive 只允许硬件
【引用自 vczh】:
现在没验证,只要碰一下
碰一下可以找个指纹膜+按键机器人解决
马上没有yubikey就不能checkin代码了
笔记本重启有啥好的方案,我那个linux系统配Thinkpad太不稳定了,感觉是驱动有问题,半个月得重启一次
【引用自 anon43913057】:
对的,VPN也可以套娃
套娃完用不了Xcode,GG
【引用自 anon43913057】:
税局跟你公司两码事,税局管不到你去哪remote工作
有州税的税局当然管
【引用自 anon3948243】:
单纯摸很好办,简单的电容检测而已,DIY一个远程激活的电路用RPi的GPIO控制太简单了。
真正有用的是要检测指纹。这种你就得找个共谋者把电脑放他那里帮你摸指纹了。
最终极的是指纹必须当着公司IT面才能录的到笔记本里去。但是到了那个程度的话问题就不是你要怎么躲检测,而是你TM为什么还会呆在这公司了
复刻自己指纹应该不难,网上就有教程教你怎么用硅胶 海藻泥之类的东西复刻指纹,据说简单的一个胶带纸就能骗过指纹识别。
【引用自 vczh】:
本来是只给你开会的,但是remote的话,你只能插上键盘鼠标显示器,再remote进公司内部的台式机或者服务器干活。根本没办法在笔记本上写代码的
我突然想到,faraday bag 既然能屏蔽WIFI信号和手机信号,应该也能屏蔽掉GPS信号吧?
Any electrically conductive metal will reflect and absorb the device’s incoming and outgoing signals and interfere with its operation. Wrapping a GPS tracker in aluminum foil is enough to do the job—although copper and even silver work as well. This is an incredibly cheap and easy method of GPS jamming.
Faraday bags work by blocking all electromagnetic waves, including RFID signals, so data cannot be accessed remotely. This protective feature prevents hackers from accessing your data or tracking you with your GPS coordinates .
我的担心也是会漏信号,比如你从包里面接一根USB-C线出来连接电脑鼠标显示器,那线的周边肯定无法100%封的严严实实,会不会漏信号进去? 这个得多试试了
不过既然任何金属都能屏蔽电磁信号,我可以搞锡箔纸多套几层啊,哈哈哈
看延迟和 MSS 都是很容易被自动化的策略,为什么说是挑毛病……这种商业上用的挺多的,比如那些需要认定某个 IP 是否为代理出口的 IP 库。你访问 bgp.tools 就能看到 latency 和 mss。
延迟又不是个非黑即白的指标,不存在说你的延迟值不等于xx ms就一定是在用VPN, 而且延迟波动的因素太多了。 网络状况不好,网络繁忙等都会造成波动啊。我可以说我儿子今天在家打游戏,所以网络特别慢造成延迟高。
IP代理列表我已经说了,微软,Netflix等的确可以识别。解决方案就是自己在家搭VPN或者在cloud上搭
只是在构思不同的解决方案嘛。
像我现在的公司根本没啥防护,就是看微软全家桶上报的位置,也有个第三方的远程控制软件让我们WFH用,我这些招数一个都用不到。
以后万一去楼上所说严格到极致的微软工作 就得考虑上技术手段了
MSS问题好解决。延迟问题只能说自己在国家公园用卫星上网,然后公司说给你报销一套支持漫游的starlink RV高级版套餐。
这个结合 MSS 来看,置信度是很高的。你跟我说这没用啊……到时候被 IT 发现了你得跟你的 IT 解释……
(我不知道该不该给你科普但是你都说你有证书应该知道 MTU / MSS 吧……)
呃 所以我们讨论的是 WFH(美国境内)还是 WFH(在中国)?
我老婆在追剧,网络很卡
我儿子打了一天游戏,搞的我上不了网
我最近宽带涨价,停了service准备过阵子重开,这几天用手机热点上网,家里信号不行
我今天在星巴克工作,人很多,网络比较卡
…
我其实没理解最后这句话是指什么场景……
自己家搭VPN,公司IT那边看到的IP地址就是你家的residential IP
cloud上自己搭,公司看到的就是那台cloud主机的IP
常用商业VPN的IP段和ASN都已经被收集了,诸如expressVPN, NordVPN等,像office 365. Netflix, Google等都能精准识别。
你人在中国所以延迟高,你装作在国家公园用老旧落后的viasat或者别的同步轨道卫星上网所以延迟高。而且卫星网络有一堆奇奇怪怪的PEP,刚好可以解释各种奇怪的网络现象。
呃对啊 但是这里有两个事情
从云上往公司内部连是绝对的 red flag(APT 都喜欢这么搞)
你开了 VPN 必然会减少 MSS。一个正常的家宽是不会出现 MSS 显著小于平均水平的。
卫星网络的 IP 段和 ASN 很固定啊(
在中国未必延迟就高,我看那些博主搭的wireguard/v2Ray, 可以秒开Youtube 4k视频
相反我每次去美国这边人多的地方,比如downtown,网络都卡的要命。延迟搞不好比你用VPN还慢
所以靠延迟来判定你的行为不准确
IPv4协议有个功能叫分片和重组,虽然日常很少用。你给自己VPN搞个复杂一点的配置,可以保持“正常“的1500MTU/1480MSS。
中国到美国有150ms起步,光速的物理极限决定
公司防火墙可能直接会把分片干掉的(毕竟是 bypass IDS 的常用手段
从离开你的设备的第一跳到你的美国家用宽带IP这一段的网络是你自己配置的,和公司无关。这一段你可以保证size=1500的数据包被正常整个传到美国的宽带ISP上。
我随便Ping了一个网站
照这种latency 一大堆的人都会被判定为用VPN抓起来
高丢包 和 高延迟 是两种网络状态。
你试试ping www.google.com看看,如果高于20ms不正常。你ping的是一个具体的网站,不是附近的CDN节点。
对啊 这个 IP 在英国伦敦……你从美国连过去那不当然「不在本地」吗???
一样的,都比20ms高很多,我的网就是辣鸡,怎么办
这个就是正常的美国国内延迟了。
我换了个WIFI, 299ms的延迟
当然应该看最短延迟啊(which 是无法突破物理极限的!
搞笑的是我ping了两个国内的网站,比ping google还快
所以延迟这玩意拿来判定你干了什么真是太搞笑了
这玩意是美国境内 Akamai CDN 节点啊……
MSS 可以作为一个很好的 heuristic(理论上确实可以分片重传,但是我并不知道有什么能开箱即用的解决方案
说到底,这里要解决的问题到底是什么?
避免被发现在从中国境内连接公司内网 VPN?
避免被发现是在美国 WFH 而不是物理位于公司内网?
这两者要解决的问题是不一样的。
的确没必要硬刚
只要我想,我可以让我人在美国的时候网络延迟也很高,甚至比从中国remote过来还高
都不是,是解决WFH的时候自己跑到美国以外的其他地方被物理定位发现
公司不让你WFH,你非得WFH根本不show up in the office肯定不行啊
对于情况 1,延迟决定了很容易被发现。
对于情况 2,各家公司对于「如何连接开发环境」都有不一样的做法。(是通过 802.1x 把你丢到一个 VLAN 去?还是防火墙 ACL?还是在公司内部也要挂 VPN?还是终极的 Zero Trust?)这个要提出一个具体情形后再讨论。
那这个延迟无解,只能 pikvm 咯。
对于家宽 VPN 方案这个反正延迟有大问题,那么让我们看看 pikvm 会面临什么问题吧:
要获取屏幕信息,那么必须有屏幕输出。那么公司机器必然多了个(EDID 奇奇怪怪的)显示器。这应该会被 MDM 软件获知。
绝了绝了
(hack driver 你可能得 hack 公司电脑的了,另一头是硬件实现的,不知道能不能更改存着 EDID 的 EEPROM
别老是盯着从中国REMOTE连VPN, 换个思路,你会发现问题更大
比如你去加拿大vancouver remote,测试延迟的服务器在西雅图,公司本部在DC,那你测出来的延迟会很低,比在公司的延迟还低。
如果你VPN回家再测,比如你的家在AZ,Vancouver - AZ - Seattle的距离跟DC到seattle距离大致相等(只是个假设),那这个时候测延迟有啥区别
所以我还是那句话,延迟受N多因素影响,单凭这个就判定你违规肯定会误伤很多人,只要你不承认,他们也没法坐实任何事情
这到底哪里有问题了……你就算在上海这种离美国最近的地方,延迟也是 150ms 起步,150ms 相当于美国绕一圈了。再说了这些都是 heuristics(可疑度可以打分的…… 100 分满分超过一个 threshold 人工审查啊……
那确实,成本问题而已(那让我们想想还有什么侧信道吧(假设双方都是不计成本(
我都说了别只盯着China,你去欧洲,加拿大墨西哥,延迟能多出来多少? 公司能抓的出来吗?
我家就是网络烂,人多带宽少,导致延迟高。你人工审查又怎样?
所以我一开始就在问你到底要解决什么问题……你自己都说了是要解决「人在美国境外」不被发现的问题……那你在欧洲还是在中国有什么区别……
有区别啊,加拿大墨西哥到美国lower 48的延迟能和中国大陆到美国的一样吗?
夏威夷 关岛,阿拉斯加的延迟 一定就比加拿大墨西哥到美国lower 48的延迟低吗?
我的论据就是用延迟来判定是否用VPN是否违规根本不可行 因为变量太多了,物理距离,网络拥挤程度,信号强弱,运营商routing差异 等等各种
成本问题其实很好解决,ebay上有一款3刀的华强北USB HDMI采集卡surprisingly的好用,甚至还支持HDCP可以录屏switch/netflix之类的,国外拆解分析的人都惊呆了
草 我还想到了一个 pikvm 的侧信道:鼠标坐标更新频率
不清楚 MDM 有没有这种功能(可能有的会有吧),那么很明显,坐在电脑边和通过 pikvm 操作时,鼠标坐标的更新 pattern 是非常不一样的。
解决方案应该是:只用键盘(
但是键盘输入本身也是个侧信道(由于 IP Packet Switching 传输的特性,击键之间的间隔肯定也跟坐在电脑边打字不一样。这个我记得我看到过论文。)
物理移动鼠标变得更真实都行,疫情期间华强北做出了10刀的mouse mover专门用于WFH摸鱼,可以改造一下。或者走无线协议,只要严格按照协议spec来,公司电脑更难分辨对面是无线鼠标还是Pi上面插的蓝牙模块。
键盘时间序列也可以跟鼠标pattern一样,从国内收集的时候就收集高精度时间戳,发过来之后再仔细的replay时间序列。这样天王老子AI来了也只能看到本来就是真人。
然后对于家宽 VPN 方案其实还有个问题 - 最终我们需要通过公司 VPN 连到公司内网,那么公司能看到你的家宽 Endpoint。然后我们就可以对比公司-Endpoint 的延迟 vs 实际延迟。然后就会发现这两者 disparity 巨大(
replay 时间序列那意味着延迟巨大吧……这就没有实时性了啊,还怎么用电脑啊(
你可以让家里路由器看到外网来的ping就延迟30-50ms再回复,装作你家庄园太大了,从land lot边缘ISP接入到你的房子中间还有好几。
路由器可以直接禁止被ping的吧?
可以禁止自己的路由器被 ping 但是禁止不了上游的(
那比如公司在你连了home VPN的电脑上偷跑了间谍程序,ping了某个地址,延迟是 100 ms
公司又有你家里的IP地址,想反向测试一下延迟,你又禁止了路由器被Ping,他们怎么操作?
大家一起学习用mtr命令吧,看看路径。你可以跑一下从你家到一个远一点的IP,中间的每一跳都会显示出来。正如 @azaka 说的,公司看不了最后一跳可以看到倒数第二跳(一般是你ISP在当地的一个汇总路由)的延迟。所以做戏要做足
真要有公司这么干,我路由器抓包一下看看他们到底ping的是哪里,然后路由器防火墙里直接block掉那些地址就行了。
就是这个意思,只允许到公司VPN Server的出入,其余的一律block
白名单不影响公司测你公司电脑到VPN Server的延迟
这也不影响公司直接跑"mtr 你家IP"看traceroute结果、到你家小区的延迟
不是说可以路由器设置一下禁止被ping吗?
我想了下,击键的离散序列好像问题更大(比如网络质量问题导致的重传 看上去就好像按键卡住了(
再比如你的包进交换机 buffer 了最后一次性发了出来,序列就会变成 ……!!! 这样而正常情况下只可能是 .!.!.!.!(所以还是要插值(
公司只能配置VPN吧,还能自己加功能进去?
我的理解是公司顶多能购买/开发个第三方软件来做这个
用starlink或者其他sattlelite Internet的话 延迟就跟这个没关系了吧
在美国用starlink或其他国家用,到美国的延迟能差多少?
其实离上海延迟最低的是西雅图/波特兰那边 走 TPE 海缆(电信 163 Plus 线路
不过 LA 确实登陆的海缆最多
另外,如果是Google Fi 这种手机热点,你的公网IP 应该不是独有的,而是运营商的一个机房,几万几十万个用户共享
这种情况公司想反向ping你测延迟,还有什么招数吗?
巧了,正好看过相关测量方法的 presentation。这个从原理上讲是 trivial 的,因为星链不是地球同步轨道,只要连了一段时间,一定会切卫星。那么切的时候你的延迟就是先不断上升然后突然变低,并且这个 pattern 会一直重复。
也就是说我们有手段检测用户声称自己在使用卫星网络是不是真的(
【引用自 vczh】:
Yubikey要去摸的,除非自己diy一直机器手连上kvm
挂一块猪肉
IP地址就知道是不是星链了
starlink每个用户都能分到独立IP吗? 还是像手机上网那样几千几万人共享一个IP?
卫星时刻在跑,即使公司知道你连的哪颗卫星,也要根据时间来判定卫星的位置
IP 地址那不是还可以挂 VPN 嘛
我觉得最大的问题在于,你一直说的这个办法直视 heuristic,要是 IT 真的拿这个作为指标,false positive 概率完全是给自己找麻烦。但要是你被盯上了,这个延迟可以作为证据怀疑你,没被盯上很难被延迟出卖。
因为 heuristic 指标很多啊,叠加起来 false positive 就是很低的。
纯抬杠了,从 it 视角来看,完全有非常多 deterministic 方法检测你是否 remote 的途径,他们为什么要选择 heuristic 然后调参?这像是 saas 能干出来的事情,但是实际上很难落地。
technically possible but nobody does 的情况
【引用自 anon43913057】:
在美国用starlink或其他国家用,到美国的延迟能差多少?
爱因斯坦的棺材板子要盖不住了。物理极限是物理极限,天王老子来了都不能比光速快。
不过话说回来,跨洋的话starlink确实比海底光缆延迟低30%左右,因为真空中光速是1c,光缆玻璃折射率是1.3-1.5.
【引用自 Azaka】:
延迟就是先不断上升然后突然变低
这个很容易掩盖啊,延迟虽然不能往下减但可以自己往上加
出门三个月,邻居闻到尸臭了
所以你说的 deterministic 的方法是什么(
我看出来了,可能只有我和楼主是真的想要拿来试试,你们这个是对抗讨论嗨了
考虑一下内部软件连 invisible watermark 这种基础功能都没有,it 找 da 去做 heuristic dashboard 大概连数据集都收集不起来。我们这里有人疫情三年没有任何防护跳板裸着去欧洲工作,it愣是没发现,去年被 manager 抓到的。
好奇是咋被发现的?视频开会时发现背景不对?
另外我也是真的试过不少东西,不过我公司的环境太简单了,根本用不着这里谈论的任何一条技术,直接云主机就能RDP进公司电脑了
今晚研究了很久 PiKVM,感觉他们主要问题不是在硬件上面,主要是软件问题导致不是很好用。那如果不用 PiKVM 的前端,我觉得 如果直接用 RDP 上一个 local Machine 然后再控制电脑体验可能都好很多。
我应该是不会用 VPN router 方案的,主要是不够酷
要是 PiKVM 能够 hook 上 RDP protocol 应该也很好,MS 把 RDP protocol specification 公开了,然后也有开源的软件,那就是需要让后端接洽上 FreeRDP
freerdp.com
FreeRDP
FreeRDP is a free remote desktop protocol client.
原来 PiKVM 支持 VNC 的,不过 VNC 体系的好像软件也挺垃圾的
鼓励楼主 ? 出事了楼主会负责吗?
你付钱向我咨询了吗?出事了要我负责??
还是我拿刀子逼着你这么做了
都是成年人,自己负责自己的行为,而且楼主主要推荐的是他的 VPN router 方案。
看起来其实方案挺多的,Dell 上也有专业的 KVM 卖,不过都需要服务器机架。然后淘宝上好像有一堆第三方的设备可以做到一样的事情,我主要是想知道延迟怎么样,如果延迟太高那也是基本不可用的状态。
没有没有, 你很棒!
感觉之前试用过几款没什么满意的,VNC 客户端软件有什么推荐的吗?
其实刚刚我去翻了一下我 Ubuntu 里面的软件和进程列表,发现其实脱裤子放屁了。因为公司用 Ubuntu 的人很少,其实他们根本就是装了个 generic Ubuntu 发行版,啥监控软件也没上,顶多从 Cisco Anyconnect 看你访问,我开个 VNC 也差不多
Linux可以直接装XRDP
伸手党一下,怎么样才能让电脑通过网线连接googleFi讷?是需要买一个什么router把GoogleFi插进去,然后接网线出来吗?这个在淘宝上咋瘦,有没有推荐呢?谢谢大家了…
电脑如果有USB C 口袋话,直接连上手机就行了
卧槽,还可以这样,我研究下!
如果电脑没有USB C 也可以用普通的USB口
具体教程网上就有
知乎专栏
手机如何通过USB共享网络?
USB共享网络的方式可以共享你的数据流量(适用于流量多者使用),也可以共享出你手机连接的WIFI。 操作步骤(以荣耀9X手机为例): 步骤1.先将手机与电脑通过数据线连接起来。 步骤2.找到设置并打开。 步骤3.找到移动…
防止检测出电脑所在的真实物理地点:通过外置路由器直接tunnel回美国,配置无误的话(比如屏蔽笔记本GPS和其他侧信道)基本不可能查出来的,动用国家力量除外。
防止检测出电脑连接公司时使用了VPN:这个相对实际很多,如果是VPN出口直连公司的话有很多方法可以检测,比如常见VPN厂家的IP地址,针对VPN服务器的主动探测等等。但理论上如果从家里出口并做好相应配置(例如VPN服务和出口使用不同IP),那除了测延迟这种置信度很低的方法可能还真没有好的检测手段,同样动用国家力量除外。
今天研究了一下WIFI定位的工作原理
当一个移动设备接收到WIFI信号时,即使没有连接,也能扫描获得此WIFI的SSID和MAC地址
Google, Apple因为有近乎无数的移动用户,他们利用你的手机GPS确定物理位置,再扫描周边的WIFI信息汇总一下,构建了一个巨大的数据库。所以理论上你只要能接收到周边的WIFI信号,安卓设备和苹果设备就能大致确定你的物理位置。
Apple最开始是和一家小公司合作搞这个,后来把他们甩了自己搞。Google一直是自己搞。
Microsoft因为很少有移动端用户,所以目前暂时没搞起来。但不排除哪天他们花钱跟Apple, Google或其他公司合作,买来这些信息用于定位。
这就是为啥微软全家桶定位目前只能通过IP地址,但是如果电脑是苹果设备,或者有Google的办公套件,则一定要小心。为了避免被物理定位,一定要禁用设备上的WIFI设备,或者用到faraday bag 屏蔽WIFI信号。
国内各种软件都会自己做的,高德、qq、支付宝,我猜美国 fb 也会做类似的东西
另外今天拆开了一台笔记本电脑观察了一下无线芯片。
无线芯片拧个螺丝就能拔下来了,很简单。
mmexport16970002571734000×5336 725 KB
但是我哦知道有些人会担忧公司的间谍软件会不会发现你电脑突然少了个硬件,然后trigger alert? 如果有这种担忧,要么用faraday bag物理屏蔽信号,或者有个更简单的方法:
把黑白两根WIFI Atttena拔掉,就接受不到任何WIFI信号了。再想多上一层保险的话,可以给无线网卡套个锡箔。
IMG_20231010_1806273000×4000 260 KB
尝试了一下,果然任何WIFI信号都没有了。这时候电脑的设备管理器里无线网卡还是正常存在的,只是没有WIFI信号了
对,单单禁用WIFI不保险,这就是我一直强调的,Apple, MSFT自己的软件很可能背着你偷偷继续扫描周边WIFI。 所以最好是多重保险,禁用 + 拔天线 + 锡箔纸 + faraday bag
另外我就是在DELL上测试的,Lenovo不清楚,无法启动是不是有什么hardware protection?
那两个触点是snap上去的,disconnect一下即可。需要的时候还可以接回去。锡箔纸应该是罩在无线网卡上,天线就是两根金属线,只要断开了,是不会给无线网卡传输任何信号的
不能猛拔,应该是从一边轻轻撬起来,就弹开了。
这么恐怖,没天线也能有信号,那还是得上多层防护了
嗯,四重保险,拔掉Attenna + 锡箔纸盖住触点 + faraday bag + 系统里禁用无线网卡
我就不相信他还能收到WIFI信号
蓝牙信号呢
呃…那用网线的时候还要做 Layer 2 隔离,不然如果同一个局域网下别的设备(特别是手机)有 Wi-Fi / 定位信息那就前功尽弃了(
倒不是说 hack……这不是叫信息聚合嘛,广告业可喜欢这么搞了(MDM 就不知道了,万一他们也去买了这些信息呢
【引用自 anon3948243】:
hack你局域网其他设备来获取信息就太过分了吧
不过隔离下总没坏处
【引用自 Azaka】:
倒不是说 hack……这不是叫信息聚合嘛,广告业可喜欢这么搞了(MDM 就不知道了,万一他们也去买了这些信息呢
这种技术目前能实现吗? 局域网里一台设备未经许可可以直接调用另一台设备的Location service? 或者直接backdoor access对方设备的硬件进行WIFI信号扫描?
那是苹果给自家设备开的后门
要是windows设备呢?
不是调用啊,是反过来的。大致原理是这样的:以 iOS 为例,如果你给了你的手机 App 局域网访问和定位权限,那么你的手机 App 能访问你的 GPS 定位 / Wi-Fi 列表,并且能扫描内网,获取内网设备 MAC 地址。那么可以认为「拥有这些 MAC 地址」并且「出口 IP 为同一个」的设备和你的手机在一起,这不就有定位了。
这个原理适用任何平台……而且都不需要特定软件,很多广告 SDK 都自带这类功能的(
如果长期住在第三地,又不用公司配发的设备,为什么不买个台式机工作?
没有wifi网卡的台式机配合软路由安全性不比笔记本高多了?
能自己带设备的话,自由度选择度高很多。
这里说的是如果必须物理携带公司设备的情况。
hack你局域网其他设备来获得你的定位信息的话,公司是不是可以准备被告到倒闭了?
这是黑客行为吧?
这个很好解决的,路由器层面做一下内网的不同设备之间的隔离就行
【引用自 Azaka】:
不是调用啊,是反过来的。大致原理是这样的:以 iOS 为例,如果你给了你的手机 App 局域网访问和定位权限,那么你的手机 App 能访问你的 GPS 定位 / Wi-Fi 列表,并且能扫描内网,获取内网设备 MAC 地址。那么可以认为「拥有这些 MAC 地址」并且「出口 IP 为同一个」的设备和你的手机在一起,这不就有定位了。
我记得看到的文章说Apple和Google收集的是WIFI AP的MAC信息和地址用于定位,因为无线AP一般是不会移动的。
其他无线设备,手机平板笔记本等,会到处移动,所以收集他们的MAC和位置信息没有意义
所以问题还是回到原先,如果能在局域网里直接调用其他设备的定位信息,或利用其他设备扫描周边WIFI用于定位,那的确得防着一手
我也觉得是作大死行为 真要这么搞,直接能被各国间谍部门拿来用了。欧盟罚款罚死他们
应该是 AP / 交换机上直接开。这里需要的是二层隔离。路由器在三层,隔离可能不够彻底。
(想了一下我感觉就算交换机隔离可能也还是不够彻底,因为不可能隔离去路由器的 uplink……所以关键还是 1. 家里不能有奇奇怪怪的 IoT / 安卓盒子之类的设备 2. 不能给 App 定位和局域网权限
不需要 hack……这年头是个广告 SDK 都有这种功能吧(
广告SDK能翻你cookie和浏览器指纹信息 给你推送广告
没有其他那么神奇的功能,物理定位还是得通过现有技术
公司扫了smart home devices只是怕你加班太晚了想帮你暖心关灯,根本不关心你家空调温度。什么?有人在公司的MDM app里加入了遥控空调温度的功能、帮你在开会的时候自动把空调开大一点?这也太贴心了吧,哪里违法了
没错,我刚才用词不准确。必须做layer 2隔离,让公司设备/装了公司软件的个人设备不能ARP获取内网其他设备的MAC地址。
Wi-Fi还涉及layer 1隔离的问题,我忘了是不是根本没法禁止一台设备嗅探连同一个Wi-Fi的其他设备的MAC地址。但是反正本来就要避免扫别的Wi-Fi,必须拆芯片。
如果设备网线直连VPN Router,并且VPN Router不连接其他设备,还有漏洞不?
设备能穿透VPN Router 获得源头VPN Server内网里的其他设备信息吗?
我不太清楚广告SDK能拿到多少信息,除了嗅探同一内网设备的MAC地址之外还能做到什么?其他设备的定位信息为什么可以通过非hack方式拿到?
用手机开热点做了个实验,连了俩设备
222.57是我手机的IP。
254 是我run arp 命令的电脑本机
还有一台设备是222.178, 居然没有显示出来
剩下的 跑出来一群不相干的IP地址和MAC
通过hack局域网其他设备来定位看来不容易啊
不是「获取其它设备的定位」而是「用当前设备的定位确定其它设备的定位」……
你当前设备,也就是公司电脑,被拔了WIFI网卡,也没有GPS,想定位也只能通过IP地址
拿它来确定其他设备的位置也没有意义啊
主要就是避免公司设备探测自己的真实物理位置
草 这真的是考证了吗……(建议考个 CCNA(
感觉属于基础知识…… 1. 你没全网扫描所以 ARP Cache 不完整 2. 那些不在同一个网段的 IP 是有特殊作用的,不是真的设备
反了啊……是其它设备(上面的软件)可能能知道你的公司设备的定位,然后这类数据是有购买渠道的(
明白了。确保公司设备所在局域网别连接其他间谍设备就行了。
不过现在WIN 11不是自带随机MAC地址功能么,安卓也都有。
image971×205 16.8 KB
我懂了,是其他设备收集了公司设备的MAC地址,结合自己的定位,然后打包卖给公司。
随机 MAC 只能确保第三方无法跨 Wi-Fi 跟踪啊……(如果知道了跟踪原理的话就很好理解吧
而你的公司是始终知道你的 MAC 的……
我想了一下,必须用公司设备的情况下,玩花活是从根本上不可靠的。
要长期WFH,还是得用自己的设备才行。
【引用自 Azaka】:
其它设备(上面的软件)
那 ”其它设备(上面的软件)“ 扫描到的是你的假MAC吧
有办法穿透伪装,获取真实MAC不?
技术上公司和各大软件厂商可以有多种作恶作死的方法来查你
但是realistically 他们也只能依赖现有技术,并且不能采取过于aggressive的方法 (类似于尝试hack你局域网其他设备,或者买通其他软件厂商来收集你的数据)
不是,假 MAC 无所谓啊,公司也知道你的假 MAC 有哪些啊……这就在网卡信息里啊……
不像前面 propose 的人工智能检测鼠标键盘,买数据其实是常规操作……(
买数据和收集数据还是不一样的。
你propose的这个通过其他设备间接定位,难度更大
人工智能检测键盘鼠标在local跑跑就行了,顶多占用点compute power
其他设备间接定位需要Apple这样的垄断性公司带头支持,确保他们的硬件软件配合此功能。就好比airtag一样
Android/Google 开源,软硬配合起来的难度更大。
除了Apple 和Google外,没有哪个公司有能力让千万上亿的用户装自己的app达到收集数据/追踪的目的
不过anyway,保险起见局域网里别有其他设备就行了,专网专用
你的手机里有没有这些公司的 app
https://h5.pandabusapp.com/pandabus/page/yinsi.html
我的手机除了微信基本没有国产软件,
支付宝 高德地图这些 都是回国之前装,回来后立马删掉
另外一个常规(对普通互联网企业来说不算常规,但是对于某些行业可能是常规)操作是购买 backbone traffic flow info。我知道 Cymru 就卖这个。这种数据可以实现 VPN 去匿名化(特别是如果你是自己搭的 VPN 服务器,更容易识别)。基本原理是你的 VPN flow 在 VPN server 两侧的起止时间、流量模式等信息是基本一致的。如果我们发现 IP A 和 IP B 之间的通信与 IP B 和 IP C 之间的 flow pattern 高度相似,就可以认为 IP A 在通过 IP B 访问 IP C。解决办法当然还是……上个 GAN 啦
公司不允许把电脑带到美国以外的地方工作,但是我想如果我回中国以后用T-mobile 的手机连上网,然后再用公司的VPN,这样做应该可以连上公司的网络吧,从技术角度来说公司会发现我在海外吗?大概三个星期的样子。
公司电脑有可能有gps
网络延迟会变高 不过估计it也不care
能不能连公司网络 你现在就可以开手机热点试试
为啥会觉得公司发现不了?最简单的随便记一下周围wifi的频段都行
技术上完全没问题
但是IT会不会 懒所以不查,这个,我赌他不查,你信吗
现在连没问题。就是不知道在中国用T-mobile手机连怎么样
所有定位相关的服务、WiFi都关掉,用网线连接前置代理服务器,连到美国反向代理服务器,再连公司VPN。用手机蜂窝网络的话可能会被ISP泄露位置相关的信息。
无论如何,这就是一个猫鼠游戏。公司IT认真起来,看你的通信延迟就能怀疑你有可能不在美国。信号绕地球一圈还是挺费时间的。
过两天被开了不要在这里抱怨就行
【引用自 feng】:
用T-mobile 的手机连上网,然后再用公司的VPN
公司VPN建立的时候,一看公网IP地址就能知道你不在美国。
其实关键就是不要引起公司IT的怀疑 不然真要查你 基本不可能混过去
别的不说 就问问公司有你的护照信息吗 i-94一查一个准
至于IT的G点在哪 你要不要挑战 就看你有多在乎这工作了
我实习的其中一个公司因为有中国员工在明令禁止的情况下还把电脑带到中国工作被开了 对其他人的影响就是招从中国本科之类的人会有更严格的背调
前人砍树后人暴晒
我本来也有这样的打算,但想了想万一在入关时被CBP查而不是公司,很浪费时间
Pikvm 公司的电脑 公司肯定能知道在哪里 就看有没有人管
公司的IT基本上知道你所有可以避开检查的手段。只要他们想查,基本上都可以查出来。你上网的时候只要有一次疏忽,就可能被看出来。
【引用自 nadecantcode】:
我实习的其中一个公司因为有中国员工在明令禁止的情况下还把电脑带到中国工作被开了 对其他人的影响就是招从中国本科之类的人会有更严格的背调
阉割一下就是另一个 MAGA 歧视中国人的新闻
那没办法 谁叫出了先例
【引用自 nadecantcode】:
中国本科
你觉得他们是不是见不得美本有身份的好,所以才说你就算把蓝皮贴脸上也不信任你。
会发现 我入境中国大概30分钟 保护模式自动就开启了。。。
貌似听我manager说公司的理由是中国本科的话对中国的connection更多 所以更有可能干这档子抽象事情 如果可以的话他们还想查高中 不过大部分情况查不到
我春节回国待了一个月 公司的mac pro 链接的travel router with vpn 完全没事
电脑还能带回国?
能啊 开保护模式就行了
日结全靠电脑呢
手机还有免费漫游(速度很慢,联通3G)
最好用travel router
全程只用google fi hotspot
不要连任何wifi
ip会一直在芝加哥/达拉斯
不建议挑战公司规定,尤其是敏感时期
被开了别来发帖就行了
Corp IT here.
如果你有本地admin权限的话,关掉Location,关掉Wifi,关掉蓝牙。
用hardwired连Travel Router配合T-mobile hotspot。
但是我深表怀疑你能有这些权限。
肯定来发帖的
为啥非要回国用公司电脑
敝司有人就这么干 好死不死就被抓到了 直接滚蛋
如果我在美国的电脑上建号vpn server,在中国用traverl router连vpn,这样it还能检测出location吗?
VPN 只是检测你的 IP 地址,Location 是 GPS ,这俩是两个东西
把那些location service都关了应该可以
然后只链接travel router,不开蜂窝,不启动gps
【引用自 nadecantcode】:
你可以赢IT无数次 IT只需要赢你一次
ms薅羊毛有刷错卡,看错时间的时候吗?粗心的人不适合冒风险
你可以赢IT无数次 IT只需要赢你一次
另外这种行为对中国人的同事都有影响 有点良心的话就不要干这种事情
不要连公司的VPN。最好也不要工作。
我用Google Fi的国际漫游,IP显示是在美国附近的,但是ip会不固定。
公司的电脑只连Google Fi的hotsopt。由于我平时在美国偶尔也会连hotspot,理论上看起来没什么差别。
我当时是请假了没上班,但是有个东西急着要更新,就这样上了一下,再回了邮件。
另外手机是光明正大的上Teams,也不怕被知道,毕竟手机上没有什么重要文件。
【引用自 打豆豆】:
travel router
豆豆兄可否推荐一款?
GL.iNet US
Collections
Experience high-performance networking with GL.iNet US store. Our range of affordable routers, gateways, and VPN solutions offer reliable connectivity and advanced security features. With free shipping on selected items, shop now and enjoy the power...
Slickdeals
GL.iNet GL-MT3000 (Beryl AX) Portable Travel Router $73.84 at Amazon
Beryl AX on sale! Not sure how good of a sale this is but I've been watching it and this is the lowest ive seen
https://www.amazon.com/dp/B0BPSGJN7T
我买的这样(正好就是楼上推荐的)
上次去旧金山玩试用了一下:
router连接酒店Wi-Fi,router自动连上了配制好的VPN
所有的手机电脑自动连上了router
挺丝滑的。还可以usb供电,飞机上我想可能也可以(买一个pass,所有设备用)
缺点:硬件一般,连vpn的时候,速度最多只能跑到200mbps,出门hotel/飞机足够。但是在家当正经Wi-Fi还是不太行。
我们甚至都不用赢,如果从中国登录直接自动Alert,被标注Risk Sign-in,打电话给你确认你的位置,然后我们Remote进去全盘扫一遍,发现你的Location,WiFi,Bluetooth全关了?
+1 我也买的这个,刷个机用机场挺好用
问的话当然就是不建议
我们公司也一样但是我也这么做过 已经过去两年了 什么事也没发生
但是公司要查的话肯定能查到,因为通过geolocation和mac地址就能知道你在哪里。
work remotely 不想用假期
【引用自 Ichinose千鶴】:
mac地址
A MAC address is a unique identifier assigned to a network interface controller
【引用自 habib】:
work remotely 不想用假期
别和公司耍花花肠子,最后倒霉的还是自己。
i already did multiple times
非常享受和家人在一起的欢乐时光
【引用自 诸葛亮】:
别和公司耍花花肠子
i don’t give a shit
【引用自 zhangcheng34】:
如果你有本地admin权限的话,关掉Location,关掉Wifi,关掉蓝牙。
不是,Mac没有Admin权限这些也可以关啊,难道Admin账号还会有后台常驻的进程在后台开wifi蓝牙GPS这些?
公司IT能力也不是无限的,而且大部分都是直接采购现成的mdm。
讨论安全问题要先分清楚threat model:如果你只是普通员工其中一员,想骗过去不留下证据还是很容易的;如果公司已经有理由开始怀疑你,针对性监控,就要付出很多麻烦才能清理干净。
对于后者,建议还是ipkvm
【引用自 未知】:
有没有人尝试过用IP-KVM来远程工作?
大家都知道,现在越来越多公司不准在中国(包括港澳)远程工作了,而公司检测是否在中国,通常都是IP以及其他手段,我看其他讨论,都不建议用VPN,怕被检测出来。我想了想,以前在机房的时候看过KVM设备,现在也有IP KVM了,还可以搭配KVM Switch远程操作多台电脑。
那么,何不用KVM控制公司的电脑,这样,无论公司如何检测,电脑肯定在美国或者加拿大或者墨西哥,实际上,物理上电脑也的确没有离开…
【引用自 未知】:
问个如果短暂在国内工作几周IP地址的事儿吧 生活
公司分辨键盘分辨不了啥,但是分辨显示器有一点点小的信号,平常自己插显示器的时候HDMI接口是知道对面显示器的型号和序列号的。对面改成HDMI采集卡,啥都不做的话会显示某种中国山寨厂的信息,如果比较paranoid需要把它spoof成Dell U2xxx这样的信息。或者改成采集VGA输出。
如果Ultra paranoid:理论上公司还可以根据打字的击键频率判定是不是本人在敲代码,本意用来防止你自…
手机关了吗?这个我盲猜是通过公司手机连接到中国境内运营商网络来发现的。
我什么措施都没做(公司允许带着设备去中国),应该就是手机gps自动汇报的。。。当时是好奇多久能自动进入安全模式,就没手动开启安全模式。实际挺快的(我估计是mobile iron这种MDM服务商提供的解决方案吧 专门靠这个卖服务的 应该很robst
JetKVM
JetKVM - Control any computer remotely
Next generation KVM over IP
这个便宜的ip kvm有人试过么,是kickstarter project,比pikvm要便宜很多
ASML有个中国实习生就把电脑带回国了好像
这么牛逼 被开了吗
应该是
真羡慕你们还能WFH
我新工作插kvm 一个小时不到就被锁了 说cyber security event
因为我傻逼 override.yaml缩进写错了 连上直接显示pikvm keyboard
【引用自 SaltyFish】:
最简单的随便记一下周围wifi的频段都行
不开wifi不开蓝牙关闭location service,只用usb连手机热点
【引用自 zhangcheng34】:
发现你的Location,WiFi,Bluetooth全关了?
平时在家工作也一直关的,有什么问题吗
通过网络延迟latency来判断你是否在国外显然不靠谱。第一你要是在离美国近的地方比如墨西哥加拿大,latency可能不会太高,甚至比你在Alaska或key west的latency要低。
第二你可以说我家房子太大了wifi信号在某些地方不好,或者那天我儿子在疯狂打游戏影响了网速,或者我那天用的手机热点,家里手机信号不好,etc
反正只要你死不承认,他们光从latency来找你茬是很难成功的
另外如果是准备拆开笔记本后盖拔无线网卡或天线,一定要注意公司的电脑有没有chassis intrusion alert。 现在有些高端笔记本有这个功能,在BIOS里可以看到。你如果拆开了后盖BIOS系统可以记录到,下次启动的时候必须输入个密码才能继续启动。
没想到这个帖子居然还有这么多讨论……
我觉得这个是终极解决方案:入职字节,随时回国出差,还有一年一个月的 International Remote Work
【引用自 Azaka】:
没想到这个帖子居然还有这么多讨论……
大妈网日常讨论打工人如何省税,买提日常讨论东升西落,泥潭日常讨论怎么在亚洲工作不被发现
去年刚出来的时候back的,上个月收到了,好用到不行,不过还没在工作电脑上用过,不确定键盘显示的型号是什么
版友们真厉害,24hours里的恐怖分子,看到你们也要直呼内行。胆子再大一点,直接做大做强
这个也有plausible deniability,在家先多拆两次触发(可能是silent alert,不锁机但IT收到警报)。解释起来也很简答,我在浴室边泡澡边加班,有一滴水溅到了不该溅到的地方。误触了什么传感器我也不知道啊。
下次是泡澡的时候看下属的代码被气死了,手一砸,把手上拿的咖啡泼电脑上,还好抓住了没掉浴缸里。不知怎么的拿出来擦干净之后wifi和gps好像就不太灵了。反正我平常也不用定位功能,没注意。
(seriously:防拆警报是用来防evil maid的,避免住酒店时特工进来给电脑上装keylogger。IT一上来会先问电脑有没有离开过你视线。)
没啥问题,然后我们一查IP发现是T-mobile或者Google Fi的信号,又用hardwire直连,就会深度怀疑这用户到底是在干啥,然后上报给Compliance给批个重点设备监控。
USB Device ID白名单,不是Logitech或者Dell的键鼠是不能用的。
然后呢?能查出来什么
如果你够小心的话,查不出什么来。
【引用自 Wi-Fi】:
这种情况公司只能通过有线网络节点信息之外的信息来检测,比如wifi,所以才要法拉第笼。
如果全程飞行模式呢?
字节五天rto
操作系统层面的软件飞行模式是假的,后台管理员程序还是可以定位。硬件kill switch会安全一点,但商务笔记本很少见到网络/定位模块的kill switch,一般只有摄像头有kill switch。(苹果设备更可怕,关机都是假的,还是有find my定位。)
BadUSB自己随便设成白名单的ID就好了啊。想再真实一点,直接设成和公司IT发的鼠标完全相同的ID和序列号。
这个ipkvm不需要装driver吗? 是不是也可能被发现?
如果End User能做到这一步,就直接来IT Dept报到吧。
不需要,应该类似个docking station, 通过USB接口连电脑
你们真的用了这个白名单吗?
我司没有,但是上一个公司有这个Policy
【引用自 zhangcheng34】:
如果从中国登录直接自动Alert,
什么从中国登录? 不是都走VPN了吗?
知名的那些VPN公司IP地址也会被label Risk Sign in的。
不是自己搭openvpn嘛
我作证 挂vpn登录一下就被锁了
只能自己家里路由开vpn server
可以截贴了,基本都rto了
风险和收益完全不成比例
自建全局VPN的话理论上没什么问题,就怕长城防火墙抽风自动把你断了一下,然后你就有从中国IP的 Sign in attempt 了
第一跳先接google fi
那就不用VPN了,Google Fi 的手机信号永远识别为美国 IP,T-mobile也是一样。
就想伪装成WFH
一般来说只要你IP在美国就好了,我们 IT 不太关注你是从哪个固定IP连上来的,除非你的 IP 定位一直跳来跳去,一会东部一会西部,会触发alert 。
谢谢 it 大神! mac 把wifi bluetooth disable了 会不会偷偷开a
如果你的Mac不是公司的MDM控制的话,其实IT看不到什么东西,但如果是公司的MDM的话,你藏不了什么东西。简单给你复制一段话
Location History as the name suggests, tabulates the list of locations traversed by the device. Location History stores data up to 30 days , which is ideal if the locations are to be viewed at a later time. The biggest advantage with Location History, is that the tracking can be customized to suit the needs of the organization. MDM has 3 different options for storing the list of location(s) based on distance traversed . For storing locations when device movement is miniscule, choosing the option of tracking the device on moving 100m is ideal. In such a case, the location update frequency is more, ensuring even the smallest of movements are covered . The other two options cater to relatively larger distances, with one option tracking devices on moving 500m and the other for tracking devices on moving 1km . The first option of tracking devices on moving 100m, consumes more battery and cellular data due to frequent location updates, while the other two options consume relatively lesser cellular data and battery. Another advantage is that the Location History data can be exported as a CSV file . This is ideal if the Location History data is to be shared.
【引用自 anon43913057】:
我Azure/AWS Certified Solutions Architect
我有阿里云 Certified Architect,可以一战吗?
Mac的location service、蓝牙、wifi全关了只用cable,后台也能偷偷开?
都能远程Wipe你的机器,开几个设定不算啥。
但是后台开了,用户端也能立马发现吧(除非mac不显示开了)
不会主动通知,但是只要后台开了就会被发现在海外,所以MDM控制的机器就别冒这个险了。
基本来说公司发的设备都有MDM控制吧
至少用户端右上角开启定位的纸飞机箭头会亮吧
公司不care是否在海外,只care是否去了中国等少数几个restricted地区
mdm设置优先级高于用户设置,并且Mac的蓝牙和WiFi不是关掉的,你关掉WiFi只是在软件层面上不连接了,实际上设备一直是开的,而且会定期扫描周围的信号。
对,苹果设备这一点非常坑。
一定要见人就科普,苹果设备别说飞行模式了,就算关机也是假装的,仍然是行走的定位器,必须法拉第笼(铝箔裹起来)。
【引用自 anon43913057】:
公司电脑放家里,自己带电脑通过RDP连接
什么公司允许你用私人设备RDP到公司设备?
所以才要买jetkvm/pikvm啊
不只是 Mac 啊…… Windows 和 Android 也有 MDM 的,都一样是优先覆盖用户设定(
BTW 私以为最简单的方式是自己在家里用 BGP 然后出门只用自己的IP
这俩支持yubikey吗
可以的,要走usb/ip,pikvm的作者比较忙一直没空实现整合进去,硬件本身是能实现的。自己手动在两边运行一下server/client就行。
github.com/pikvm/pikvm
WebUSB/SPICE for the client USB passthrough
已打开 04:46PM - 12 Mar 22 UTC
stevenruidigao
type:feature
**Is your feature request related to a problem? Please describe.**
I'd like to …be able to connect USB devices over the browser to the machine controlled by PiKVM
**Describe the solution you'd like**
This might be a lot of work, but is it possible to use WebUSB to get USB devices to communicate through the browser to the machine on the other end?
**Describe alternatives you've considered**
I don't really know of any alternatives right now.
**Additional context**
I know that Arduinos are capable of attaching to the Arduino Create web IDE. Is there anything preventing this from working for PiKVM?
wiki.archlinux.org
USB/IP - ArchWiki
是不是买个电子遥控按钮更简单一点
如果不用公司电脑,只用自己电脑或者手机 login microsoft 365 (outlook/teams), 一般来说 (一般公司,不是信息敏感公司) IT 会看见在我在国外吗?
会,你login的时候ms很在意你的位置,会千方百计收集,然后IT后台显著位置展示你的地区。尤其是来自异常高风险地区(aka中国)还会推送警告。
谢谢,看来还是得靠 google-fi
浏览器的location api是不完全依赖ip地址了,特别是chrome会有其他的方法收集你的信息。
m365上面的login异常不仅仅包括ip地址异常,还包括浏览器本身的一些检测。
我们公司InfoSec的几个超级大红线之一,就是用个人设备访问公司邮箱。还有就是从restricted region访问公司资源。
我反正比较怂,也许贵司不那么重视。
嗯,传统公司,非科技,所以对这些不太敏感。
个人device access company email 这个还是encourage的,公司为了省钱,把大部分人的公司电话砍了,叫大家BYOD, lol.
基本只是未雨绸缪,之前完全不管(个人电脑和手机登陆m365)都没事。
现在看来,以后 m365 不用chrome, 改用safari 。
1 个帖子被拆分为一个新话题:DOJ破获一群朝鲜人用假身份给美国公司“远程工作”,搜查了在美国的laptop farm,并抓了几名负责搞假身份和银行账户的华人
请问BadUSB可以用在pikvm上吗?
今天准备带公司mac 配合Google FI 试一下
不知道可不可以骗上几天
不能的话也无所谓了
【引用自 飞天红猪】:
而且会定期扫描周围的信号
看来只能住山洞了
【引用自 Wi-Fi】:
jetkvm/pikvm
看了下 似乎不支持Ms teams audio/video meeting
Windows可以拆啊 把相关芯片都拆了 插线联网走vpn with kill switch
Mac都没得拆
macbook可以寄给笔记本维修厮拆啊,只是必须只拆天线,把芯片拆了会触发苹果的secure enclave匹配网络芯片序列号带来的问题(aka禁止私自维修必须去genius bar溢价维修的功能)导致直接启动不了。
而且某种意义上说macbook更好拆。win高端商务笔记本都有拆机报警功能,你一开盖IT就知道了,macbook好像没有。
【引用自 habib】:
看来只能住山洞了
再说一次,笔记本住法拉第笼(锡箔纸包裹)就行,人不需要住…
【引用自 Azaka】:
其它设备(上面的软件)可能能知道你的公司设备的定位
顺便再强调一次,要在路由器上配置隔离,避免内网不同设备相互之间扫描到对方。
【引用自 Wi-Fi】:
笔记本住法拉第笼
我问了学ee的人 电源线在法拉第笼外的话理论上还是没有完全隔绝 除非把电源也放在法拉第笼里
【引用自 Wi-Fi】:
你一开盖IT就知道了,macbook好像没有。
真的 开盖拆了被发现了 我跟it说猫踹了一脚
说到猫 猫真可爱
IMG_04531920×2560 628 KB
感觉都没啥用,电脑上跑的进程 it security 都能看到,安装的程序都可以看到,电脑上的屏幕每 2 秒会被截屏一次。流量都有监控,瞎操作都挺找死的。
Geolocation其实是能查出来的 但是就看你公司查不查
macbook location service,蓝牙,wifi全关了,只用cable直连esim网络,也能查出来?
别的不知道 tmobile漫游中国的话tmobile是知道的
运营商当然知道,只要公司不知道就行啊。不会有人拿公司手机开漫游吧
真要查的话是可以的 不信你打开地图 一般公司就只查vpn 银行金融和更牛逼一点的科技公司会查geolocation
整个location service都在setting里面一键关闭了,打开地图app和google map网页也不显示任何定位了
我司以前是不查location的,我最近发现location关不掉而且会被teams时常访问,windiws系统
那运营商就是我公司
能 Mac定位方式很多 远不止依靠网络一种 软件层面关掉的蓝牙WiFi也不妨碍系统用那些定位
具体说说
你换个卡漫游呗
这次感恩节先卧薪尝胆
没想到这个贴大家还在踊跃集思广益。上周刚参加了公司security部门办的活动,期间介绍了很多新型技术来追踪员工工作的位置(他们说主要是搞contractor的),比如说用没用vpn啊,有没有远程控制软件呀,流量来源的latency之类的。只想说最好不要跟公司玩儿心眼儿,没有被查可能只是还没查到。一切都会有痕迹的。
感觉还是采集卡+IP KVM最简单稳妥吧。和正常电脑连接显示器与键鼠没有区别,怎么查呢?除非完全不允许外接设备。
是的,延迟太短的话找不到借口,但是延迟长总能找到借口的。
前面已经说了多次了,关定位要硬件层面关了才有用,把负责wifi和蓝牙的小pcie卡拆了就行,苹果这种焊死的就只能整个塞进法拉第笼。然后考虑到苹果关机状态下也会广播定位,最好旅途中也一直放在信号屏蔽袋法拉第笼里。
网络配置成走原来自己家的ip当出口最好,以及要专门搞个路由器来配置,不能让公司设备知道自己再用vpn,不能有机会看到任何隧道路径上的其他设备/国内局域网的其他设备。正确配置比较复杂,但没有任何技术上的难度。
另外也注意一下side channel,比如不要让登录过公司账号/app的个人手机出现在国内。
【引用自 AlveROsT】:
和正常电脑连接显示器与键鼠没有区别
注意HDMI和USB协议层交换的设备型号和序列号信息,要spoof成一样的
【引用自 未知】:
远程工作/WFH时反物理追踪定位 技术经验总结 搬砖
BadUSB自己随便设成白名单的ID就好了啊。想再真实一点,直接设成和公司IT发的鼠标完全相同的ID和序列号。
这个帖子也太刑了,一单被抓到,如果想闹大,给你抓进去都可以
Teramind - – 15 May 24
Employee Activity Monitoring & Workforce Analytics | Teramind
Monitor, analyze, and optimize employee behavior to prevent insider threats, protect data, boost productivity, and streamline business processes.
改啥都没用的,无解。
这种vibe code水平的监控软件也就能抓抓bootcamp毕业生搞OE,收集一下各种log拉倒,真要能防住industrial espionage级别的躲回国得有安全攻防背景的公司搞,那种级别的服务至少是和edr杀软一起卖的。
Vibe Code 级别?这就是正经安全公司的产品,团队之前是做 dlp 的。
键盘采集,地理位置采集,屏幕截图实时上传,网络请求采集,规则触发,你要不了解的话可以不说呢
你对“正经安全公司”的定义是?总不能是用“在该领域的sales revenue很高”吧。卖得好和技术好是两码事。
我随便列举两点这家不符合我对“正经安全公司”定义的地方。首先,联系方式,他们没有一点参与安全圈responsible disclosure流程的痕迹,就不说开bounty了,官网contact us界面连个pgp key都没有。其次,CVE数据库,他们既没提交过也没有被交过。也没见他们去defcon/blackhat给talk,甚至都没什么人talk讲他们的东西。有点技术实力的团队搞这些系统,实现过程当中随手挖出几个微软或者苹果或者浏览器的漏洞再正常不过。
有些狭隘了。照你这么说 RSA blackhat 里booth的公司很多都被开除了。技术一般就不正经我觉得 Google 也挺差的,个人有个人标准了。
也不是为了争安全公司定义,说这个只是举例子说明稍微注重 dlp 的企业这类方案多的是,我前司内部直接自己实现了一套。讨论楼里这些 trick 对于关心 dlp 的企业太作死了
【引用自 Wi-Fi】:
前面已经说了多次了
【引用自 Wi-Fi】:
整个塞进法拉第笼
你自己试过还是纯理论
这本来就是猫鼠游戏,大家讨论讨论挺好的呀
公司后台可以看到你所有键盘使用,网络流量请求,屏幕活动的情况下这种猫鼠游戏是把自己置于 risk。 例如 https://www.teramind.co/features/live-desktop-view-history-playback/
据我了解很多大公司的入职协议都把这些级别的监控都写进去了的。这种行为很容易作死。
前面不是说了KVM吗?
别这么玩儿啊,真的很危险的,一不小心路由器掉了或者一不小心什么东西没配置好都容易翻车,正确做法永远是设备放家里,另外搞一套 KVM like 的东西进行输入。
小白推荐 https://jetkvm.com/
但是有的还会采集 USB sig,比如你插入的设备 USB log, 你的输入设备 HID HWID 和显示器的 EDID / E-EDID。这种情况下 KVM 也有点危险,需要串一个 kmbox 和融合器去改 EDID,这已经是是游戏作弊的技巧了。
原来上面已经讨论过了啊,我的建议是永远设备扔家里,spoof all your hw to use a kvm。Jet KVM 之类的是可以改 HWID 跟 EDID 的但是风险还是太大了实在不行用摄像头和kmbox吧
说起游戏作弊我就来劲了啊,这两年游戏玩家/游戏公司都开始搞PCIe卡DMA/anti-DMA了,内核攻防都已经过气,真的刺激。
相比之下,给公司打工的需求只是读取屏幕输出、模拟键盘输入,在游戏作弊领域so easy……
早该升级升级了,就该插上个 dma 卡伪装成摄像头,然后读取 display buffer 环出 外面接 kmbox。你乐意查就查呗
现在 dma 都过气了,已经变成了内核级 rootkit 读取内存然后实时同步到另一台机器做解码了 ,开了 IOMMU 的所有 DMA access 都是无法避免的可以被检测的。公司电脑一般都是安全启动 + IOMMU + Pre boot DMA protection,反而没有那么好用
JetKVM
JetKVM - Control any computer remotely
Next-gen open-source KVM over IP with ultra-low latency, free cloud access, and unlimited hackability. Professional remote server management for IT pros and developers.
开售
开冲,看了一下可以写 hwid
这个支持yubikey 吗?
Still missing a very important feature
github.com/jetkvm/kvm
Webcam Support
已打开 04:16PM - 22 Jul 25 UTC
dark-observer
component: usb
### A note for the community
> [!NOTE]
> Please vote on this issue by adding a …👍 [reaction](https://blog.github.com/2016-03-10-add-reactions-to-pull-requests-issues-and-comments/) to the original issue to help the community and maintainers prioritize this request.
### Disclaimer
- [x] I have read and understood the disclaimer.
- [ ] I plan to implement the feature myself.
### Subsystem
Hardware
### Feature description
It would be great if JetKVM allowed not only keyboard, mouse, and display redirection, but also supported connecting webcams (USB or built-in, with microphones) from the local machine to remote devices.
**Use Case:**
- I have a webcam with a microphone (either USB or built-in) connected to my local machine.
- A video conferencing app (e.g., Zoom) is installed on the remote machine, which is connected via JetKVM. In the app settings on the remote machine, I can select and use the webcam that is physically connected to my local machine.
- As a result, I can use my local webcam and microphone to participate in video calls (e.g., to show myself and transmit audio) through Zoom running on the remote machine.
cross-reference一下,关于带回国在法拉第笼内使用,但经过国内机场安检时需要强制开机、触发find my蓝牙广播的问题。
【引用自 Wi-Fi】:
不能带公司电脑回国,怎么办
如果安检强制要开机,确实比较麻烦,只能整一整苹果了,在自己家上行蓝牙广播公司笔记本的public key故意让附近的iPhone听到。搞成每天都在家有report加上偶尔有一两个来自欧洲、澳洲、中国的零星report,就可以把在飞出中国机场那5分钟产生的几个report淹没掉,这样苹果还会觉得on average这个设备一直在美国没动过。(然后在中国期间尽量只坐高铁。)
作为准备,甚至可以事先搞个fake定位到朝鲜的iPhone,带到公司office把附近的笔记本的BLE广播都上传几次,帮公司IT脱敏——如果他们确实在收集所有公司macbook的每一次find my蓝牙广播上传原始数据、看到一次敏感国家就panic,而不只是从苹果获取了完整的降噪后的每日位置。
苹果find my网络的原理是设备用蓝牙广播自己的public key,然后任何人都可以找苹果下载任意public key的location report (也就是可以自查是否有新的upload),但需要用private key解密,正常情况只有用户本人的find my app和icloud里有自己的私钥。但mdm的情况几乎可以肯定公司mdm和苹果有py交易,可以直接用公钥/序列号查每个设备最新上报的位置。
find my network无法阻止用户本人自己上报假的位置,毕竟BLE广播是one way的,信息量也很少,relay回家广播听容易。(为了避免被correlate,设备广播的public key会定期rotate,但这也不影响自己观察到rotate后的新信息再relay回美国广播出去)。
这里有些find my技术的介绍
为啥要强制开机啊?
怕把电池换成炸弹
我去,这
有没有看过英伦对决这一段,烧鸡和记者打炮,然后偷偷把电池换成炸弹
image1303×814 157 KB
回国的时候因为要用cloudflare的vpn,外包老板不想让我暴露在国内的事实,所以需要软路由。解决方案是在一台root的安卓机上同时安装梯子和VPN Hotspot,让手机热点的wifi可以走梯子出,实现透明代理。
之前就一直在自家电脑run公司的VDI 然后开remote desktop把本地电脑share屏幕和控制给笔记本和手机连,这样人在外面也能操作一下电脑. 结果IT最近可能有升级vdi screen share被 block掉了. 一开屏幕共享vdi就会变灰色, 太头疼了.
vdi的portal有可能不用vpn也能访问 你试试
前司就是用vdi工作 偷摸回国好几次 最后离职cash out了好多pto
直接是家里的台式机登陆Horizon. 公司也没有要求用专用VPN连. 但是貌似这周末公司VDI的系统自动重启以后又没问题了. 且用且珍惜.
你可以在azure或者aws开个virtual machine直接连 一般cloud service的ip不会被block 尤其azure的virtual machine在国内都能丝滑连接
【引用自 Azaka】:
只用键盘(
但是键盘输入本身也是个侧信道(由于 IP Packet Switching 传输的特性,击键之间的间隔肯定也跟坐在电脑边打字不一样。这个我记得我看到过论文。)
【引用自 Wi-Fi】:
键盘时间序列也可以跟鼠标pattern一样,从国内收集的时候就收集高精度时间戳,发过来之后再仔细的replay时间序列。
今天Amazon宣布用键盘击键时间戳抓了一位远程工作的合同工。技术解释语焉不详,估计文科生记者理解错了所以报道有偏差,但大方向应该就是naive KVM over ip的时序pattern露馅了。
https://www.bloomberg.com/news/newsletters/2025-12-17/amazon-caught-north-korean-it-worker-by-tracing-keystroke-data
Keystroke data from the laptop of a worker who was supposed to be in US should have taken tens of milliseconds to reach Amazon’s Seattle headquarters. Instead, the flow from this machine was more than 110 milliseconds, Amazon’s Chief Security Officer Stephen Schmidt told me.
感谢大佬分享 我试试看.
最近清算朝鲜人清算的比较厉害,还是不建议搞这种了
还是要做好threat modelling,知道哪类公司急于证明自己清理了朝鲜人,甚至宁可杀良冒功也要搞个大新闻。如果是这种雇主就夹紧尾巴或者换工作。
想问下潭里字节的小伙伴,如果国内入职的,不出差的情况下,电脑能带出境不。
那个时候日夜颠倒你身体受得消嘛? 我试了两个星期,就感觉快崩溃了。
晚上摸鱼睡觉 白天干点活补回来工作就好了 否则昼夜颠倒谁也受不了
是啊,主要我有会议开,太累了
提前打预防针 我每次都跟skip说会太多了 有些会去了也是一张臭脸 只要能出活 去不去开会我们组无所谓
哪个潭友能帮我技术分析下原因吗?我按照上面潭友的指点去买了 beryl ax 路由器 和一个TP Link 路由器,根据Gemini 指点安装上了Wireguard . 结果我在中国handshake 那里就不行了。问Gemini 说是因为我美国家里的网是dynamic IP, 中国这边找不到,让我联系网络供应商申请一个static ip, Gemini 回答靠谱吗? 兴冲冲回到中国突然发现根本用不了,今天周一只能硬着头用中国网连公司远程机了
去买一个固定IP
【引用自 shunl215】:
中国网连公司远程机
礼貌问一下,速度怎样?能查邮件和上teams么?我和IT说了,IT说你从中国直接连印尼的VPN机房,咱们中国客服也是这么连的。
【引用自 lazycat】:
去不去开会我们组无所谓
自己组里的会呢?standup ops review weekly sync什么的总有吧
不靠谱。wireguard完全不需要固定ip,连上之后ip改变不影响ongoing的连接;连上之后wireguard就会记住并追踪对面的ip,所以偶然的ip变化不影响。
你先确认一下你中美两边至少其中一边有公网ip。在国内需要把光猫改桥接模式,可能还需要打电话给运营商找客服才有公网ip。
自己组的更好搞啊 发message喊一嗓子update就完事了
不光是update啊,总有要actively讨论的会啊
技术上一般不会有那种会 职业特点更依赖experience and professional judgement
撕逼会就outsource给老板去
能,我同时给两家公司打工,一家小公司,一家大的。小的那家延迟高很多,但是也能勉强正常工作,teams 那些完全没问题。但是国内高峰期,7到10点,特别慢几乎PDF 加载起来都很难。其余时间还行。大的那家公司也有延迟,但是更低,只要不是玩电竞,都没问题。
我试了我的Esim IP是在新加坡,然后我公司电脑用Esim热点,也还是不行。Gemni说我美国IP是100 开头的,所以是公网IP,要让我去换一个static IP ,
之前有看过一个文章,说发现朝鲜身份欺诈,用AI把自己的头替换成伪造的那个人面试。
然后从中国 VPN 到美国 Remote Work,最后因为 IT 部门发现这人操作鼠标的延迟,高的不正常,之后就被发现了。
100.64-100.127开头是cgnat不是公网ip。esim绝对不可能有公网ipv4的。你要登录进路由器看路由器被分配的ip地址和你打开 ip.sb 看到的是否一致,不一致的话就不可能连上。
或者直接走ipv6吧。国内现在挺普及了。两边都输对面ipv6应该就能连上。
非常感谢,我继续试试
shunl215: 家里的网是dynamic IP 家庭用的网路不会给你static ip 不差钱的可以换成商业网络 能有static ip 要么花点钱用 DDNS 我买了个unifi的dream router 7 和travel router 配合起来不用手动设置 下次回国试试有没被封
我现在在泰国了,还是用不了,看来和墙无关
泰国没墙,你在tailscale里面能看到家里的路由器是绿色吗? 我在中国是 中国-自己的美西vps-wireguard到家里mt 6000路由器 这条路 但要先在家把tailscale弄好…
是绿色的,但是链接不上。我以前就是看到你的回复,才买了和你一样的设备。。
shunl215: 是绿色的,但是链接不上 能远程打开portal或者ssh进去吗? 我的网络知识都还给老师了,但如果路由器本身就在tailscale里面,那些端口转发应该也是不需要的,ssh能直接进去设置。 看其他高手们怎么说
tailscale不需要公网ip,他们有中转(derp)。你现在的问题应该是你的家里的节点没有配制成tailscale exit,所以家里路由器不允许你的流量走 泰国-家里-互联网 这样的路径。 先登录进路由器里捣鼓一下tailscale设置里exit部分,改设置时小心不要弄错了导致把自己锁外面。
Wi-Fi: 改设置时小心不要弄错了导致把自己锁外面。 我也是担心这个 让ai给我弄 vps-家里router 这条路的时候担心ai给搞坏了 好在我离家前把群晖、路由器、mac mini都装了tailscale,想着弄坏了1个还有2个能当服务器。。。
建议至少一个设备有4G/5G网,保证把路由器搞挂了还能黑进自己家。随便找台薅来的手机打开USB tethering就行。 想起机房都有用cellular的备份控制器,能只靠cellular连进serial console或者至少重启
帖子是2023的,那时还行,现在就算伪装了位置也没用。 一般开会都是远程,哪怕人在办公室我也不去,但是2024开始老板会偶尔叫一声,在办公室的来会议室,你咋办?
因为更本没人回办公室 只要求不能离开美国
开帖细说泰国玩的怎么样
确认了一下,是黄色的不是绿色 /uploads/short-url/aSGqMOkbY0C4BOsHqKWysFc1fUr.jpeg?dl=1
那不行了 至少你这里和家里是不通的…要绿色才能ssh进去设置exit node,然后再靠家里的当出口
habib: 只要求不能离开美国 近几年都要求这个了,我们是因为出口技术许可证和商务部要求等问题,境外工作,被发现的话,可不是公司处罚这么简单。
坛里没那种大傻春 现在还有境外工作需求就是为了边工作边玩
你帮我解决了我这个自建VPN问题我就发帖详细讲
我回美国了,多交了点钱买了static ip,这次变成了绿色的了。但是我已经人在美国了,该怎么测试是否成功了呢,不考虑跑到别的城市的情况下?/u/wifi 试着连接了GL-MT3000 那个wifi, 在在http://192.168.8.1/ 里的wireless里选手机热点那个wifi。然后关闭vpn显示ip是手机Tmobile chicago, 开了vpn就显示的是网络供应商给我提供的那个static ip城市的ip. 这代表我已经设置成功了吧?