安全

美国中情局在中国搞《潜伏》

中国国家安全部官员涉嫌为美国从事间谍活动被捕。港媒报道,350多人牵涉到整个间谍案中。这次事件不过再次说明,在中国这个人治国家,不是在法律面前人人平等,不是个依法办事。安全部副部长助理不过是做了他的本职工作,也就是为美国作了点贡献,“中美国”嘛。路透社报道说,数月来中美两国对此都保持沉默,避免中美关系再出现危机。言外之意像是说,事情本身可能没什么,怕曝光让老百姓知道了,才会出现(公关)危机。 其实多年来不少中国党政高级官员都在孜孜不倦地为美国服务:金融经济官员在中国推动私有化和金融自由化,国家大学和研究机构的学者和专家在宣传和灌输私有化瓜分国企,政治上不停地挑战、腐蚀1949年以后新国家合法性基础。中共最高级官员都让下一代去美国,或投资或进入美国教育系统接受教育。最高级领导人这么做,无疑是从某种程度上表达了对美国的信心。 如果说各行各业的许多党政官员都在自己的职权范围和专业领域内或多或少地为美国作贡献,那么对于中国国家安全官员向美国输送情报也是顺理成章的事情,真不必大惊小怪。自称是崛起大国,却不敢放映抗美援朝的影视作品,怕妖魔化美国,怕激怒美国。当整个教育系统和舆论向国人灌输美国友善,放手让好莱坞在中国塑造美国的崇高,人人兼有“爱美”(国) 之心是必然的,包括安全部的官员。 按照“救美国就是救中国”的逻辑,按照美国是全人类民主自由捍卫者的普世观点,把为美国作力所能及的事情说成叛国投敌,不仅不普世,而且显得太狭隘,太排外了。有了亲美官员和公知多年的努力耕耘,亲美亲西方的舆论和文化氛围已经大大降低了叛国变节投靠美国的良心障碍。至于法律障碍,中国有多少人执法犯法,又有多少人受到应有惩罚?这种风险和收获比会让许多人跃跃欲试。 据中国的消息人士说,中国安全部副部长的这名助理今年初被捕。他被指多年来向美国提供中国在海外间谍活动的情报。消息人士说,这名副部长助理被美国中央情报局招募,向美国提供“政治、经济和战略情报”。目前还不清楚这位部长助理接触到的什么级别的情报,其变节多大程度上危害到中国在海外的间谍网。 路透社报道说这位副部长助理接受了中情局大量美金。当然他们不会指出中国官方的亲美路线已经对中国社会和其中所有人产生了不可估量的效果。连唱红打黑的前重庆公安局长在走投无路的时候,都表现出对美国的信仰和幻想,进了美国领事馆寻求帮助。山东盲人陈光诚进美国使馆之后中美协议以及对他在国内的学习安排,最后再帮助他去美国,也等于向世人宣示美国的人道和美国的安全。 据说这起间谍案是20多年来中国安全机构发生的最严重的间谍丑闻。上一次发生在1985年,当时国家安全部处长俞强声叛逃美国。俞强声叛逃后对美国揭发了中情局分析员金无怠为中国间谍的身份。金无怠在1986年被宣判长期监禁前夕在美国监狱中把塑料袋套自己头上自尽。据传,俞强声叛逃令中国在北美的情报网被一网打尽。 俞强声的兄弟俞正声现在做上海市委书记,台湾媒体一度传作为中共高干子弟的俞正声可能在十八大升任政治局常委。 国家安全部这种工作就是过去经常说的“看不见的战线”,秘密战士是要出生入死的,对国家的忠诚和坚定的信仰,恐怕是起码的要求。应该不像电视剧《潜伏》中余则成那种:睡女人、贪污受贿、敲诈勒索、还能杀人,还居然都是工作和党的需要!对男人来说,天底下哪里去找这样的美差?!即便是好莱坞电影里的英国特工007,大把花钱,到处睡美女,但有一点人家是毫不含糊的,那就是对西方根本制度的无比忠诚。 相关日志 2012/06/02 — 疑当美国间谍 中国国安官员被捕 2012/06/02 — 外媒热报中国安全部官员被中央情报局策反案 2012/06/02 — 中国国安部副部长秘书竟是美国间谍 传涉邱进 2012/05/21 — 中兴证实Score型手机存在安全漏洞 2012/04/17 — 红头文件:关于严禁购买和使用安奈特公司网络设备的通知 2011/12/27 — 关于泄密门真相的推测 2011/12/26 — 泄密门最新进展追踪 2011/12/26 — 月光博客:泄密门升级:天涯四千万用户数据外泄 2011/12/22 — 密码为什么明文存放 2011/12/22 — 月光博客:CSDN网站六百万用户信息外泄

Read More

怎样上网才安全?

最近国内密码门事件愈演愈烈,继技术网站csdn密码明文被泄露之后,国内最大的论坛天涯的密码也泄露,由于多数人习惯一个密码到处用且用到老,一个密码暴露,意味着将被连锅端,说严重点,甚至意味着在数字世界里被定点清除。 小雨是我多年的革命同志和好友,新浪微博是我们互相联系的主要工具。可是,最近我发现一个很诡异的现象,她的头像换成了一个锥子脸美女(她年轻时也是美女,不过是样板戏里柯湘那样的美女),而且所发的内容都是广告。再一查她的时间线,上面全是各种垃圾广告。我第一感觉就是她被盗号了。电话之,果然。不仅如此,她的新浪邮箱、新浪博客由于都和微博使用同一个密码,也都被盗号。 被盗号的后果是灾难性的,原因不仅仅是帐号被用来发垃圾信息,而是私信的曝光。由于新浪微博私信带一个“私”字,许多人就想当然地认为,它很隐私很安全,其实大错特错。私信是所有网络通讯里最不安全的,不但因为会当成公开信息误发,而且事实上完全暴露在第三方眼前。新浪微博工作人员可以查看你的私信,只要他们愿意;其他人可以轻松浏览你的私信,如果你使用公共电脑,而忘记退出微博登陆;盗号者可以轻易得到你全部私信内容。 就拿我和小雨来说,我们的私信里有彼此的电话号码、家庭住址,还有就时事、文艺、以及共同朋友的私下讨论,这些信息不但很私人,而且很敏感。如果破解者公布这些信息,那带来的麻烦是可想而知的。 既然新浪私信不安全,那我批量删除私信总安全了吧?也不安全。因为私信对话的一方删除私信,在另一方那里依然显示,除非两个人都约好一起看完私信就删除,阅后即焚。那样才相对安全一点,说相对安全是因为,删除的私信和其他删除的微博一样,依然储存在新浪微博的数据库里。新浪不死,隐私不灭。在网络世界,你永远找不到一台信得过的碎纸机。 考虑到上网越来越不安全,有必要建立一整套安全策略。以下是我个人的做法,供大家参考: 1、使用Gmail作为主力邮箱。 email地址是所有联系方式里最基础、最有效、最牢固、最高级的,在Alibaba等网站,被定为最高级别的个人信息,email也是其他网络应用的基础,是找回、修改密码的依据。只要email不被攻破,你的网络防线就是牢固的。 email服务有很多种,你应当使用Gmail作为主力邮箱。 我们知道,Gmail在大陆经常抽风,有时登陆起来很困难,这使得很多人弃而转投国内的163、QQ等邮箱。我要说的是,迄今为止,没有一个邮箱的安全系数比Gmail更高,这也是为什么有关部门对它刻骨仇恨,恨不能置之死地而后快的原因,也是你经常登陆不上去的原因。 申请Gmail邮箱,请点这里: mail.google.com/mail/signup 2、使用Gmail两步验证(2-step verification)服务。 由于Gmail也可能被攻破,Google推出了一个物理解决方案,就是两步验证(2-step verification),把Gmail与手机绑定,每次新设备登陆,都要通过手机短信、或者语音验证,这大大增加了Gmail的安全性。考虑到有时候出门在外手机没电、没带或者丢失,Gmail还会分配给你10个验证码,可以事先抄下来,留作不时之需。总之,有了2步验证,Gmail几乎牢不可破,这大大增加了其他网络服务的安全系数。 Gmail设置2步验证,请点这里 https://accounts.google.com/b/0/ManageAccount 。 3、购买一个vpn服务 vpn不但可以帮你翻墙,绕开网络封锁,更顺利地登陆Gmail等服务,而且还可以有效保护你的真是身份,尤其是访问国内那些流氓网站的时候。 vpn有很多种,我推荐 Astrill ,不但可以在电脑上用,还可以在移动设备例如iPhone上用。一般来说,一次买三个月或者半年,更为靠谱,因为如果你一次性买了一年,可能用了半年,它就被封了。 4、每个网络服务都用不同密码 不同的服务用不同的密码,这应该称为上网第一守则。 密码要超过16位,使用大小写字母、数字、$$%%@#等字符混编,并且定期更换。 为了更好地管理密码,推荐使用软件辅助管理,我用的是1Password 对于国内任何网络服务,都不要用主邮箱,随便找个邮箱糊弄一下就可以了。 5、珍惜生命,远离私信。 国内无论微博、qq、旺旺的私信功能都是极其不安全的,要象远离毒蛇,远离火坑一样,远离它。想聊天,用Gtalk,要说事,用Gmail,实在不行用电话,千万不要相信私信。它真是一个害死人的东西。这里面有很多血淋淋的教训啊! 推友 @raptorz补充说: “其实私信的不安全之处在于:任何微博第三方,只要你用了,它实际上就都可以访问你的私信。这一点还是twitter比较安全,第三方使用私信需要用户的单独授权。” 6、重视网络安全,不仅为保护自己,还为保护朋友。 也许你自己对网络隐私、数字资产不重视,但是你的朋友可能不这样想,为了他们,请保护好你的邮箱,你的微博,你的推特,你一切跟别人发生交集的网络工具,不要因为自己的疏忽,而累及他人。

Read More

密码为什么明文存放

很早就写过一篇blog,说到过,你的密码应当一次一密,至少某些密码泄露时不至于波及太广。结果这次CSDN不幸中枪。我不去讨论多少人急急忙忙修改密码,多少人数据泄露,单说说为什么很多时候密码是明文存放的。 就我有记忆以来,我写应用就从来没有明文存放过密码。最起先是md5方式存放。md5可以让你找到hash值,有的时候也会被用于穷举。但是无论如何,md5密码本身比明文安全很多。后来改成了challenge-response验证模式,也是用md5做的hash后进行c-r的。再后来,md5 的碰撞冲突的论文出来,后面用的多数都是sha256了。从头到脚,我就没做过密码明文存放,并且,我认为这是正常程序员最起码的修养。(当然,明文存放的代码不是没有,不过那是调试模式) 但是现在我所知,很多系统的身份验证都是密码明文存放的,为什么?其实我不大理解。不过有时候问起,有些人和我说了几个我觉得不是搪塞的理由,现在抄录如下,告大家知。 1.明文密码应付检查。大家知道互联网审查,有时往往会一个电话过来,要XX用户的密码。如果你没法给出,上头就认为你不配合,事情各种难搞。作为审查机构的老板,当然没必要知道明文密码的危害。他们只知道,我要密码,为什么不行。所以,悲崔的程序员们就往往会得到一条死命令,保存明文密码。 2.压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人,从石头的缝隙中顽强的生长出来。这不是坏事,坏事的是这些人往往会在一些基础问题上出现奇怪的毛病。例如有些程序员,写程序很快,但是居然从来不知道密码明文存放会导致什么问题。更神奇的是,这些人中,有一家银行… 3.自信暴棚的混帐。有些人的自信总比别人强,而且强在莫名其妙的地方。例如:我的服务器肯定是没问题的,所以我的密码一定要明文存放。如果不,就是质疑我的技术。 实话说,这种人真是少数中的少数。 4.遗留系统。很多系统设计的时候因为某个其他理由,使用了明文密码。等后来这个理由不存在了,密码系统升级成了一个困难。因为密码系统太重要了,所以在没有太大利益的情况下,总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢?用户安全问题在发现前不是一个问题——好比这次的 CSDN,不是被暴出来的话就根本不会被当作一个问题。系统的管理者,每个人都没有足够的动力去修改系统。 5.世界的阴暗角落。有的时候,程序员/老板明文存放的理由,是为了方便盗窃用户其他网站资料。例如我所知的某钓鱼案例,你注册网站,就提供很多免费服务,网站看起来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银行卡密码,大家才突然发现,这家网站其实根本没有在美国注册,而是一个听都没听说过的国家。 而且很多网站提供从其他网站导入之类的功能,更加的危险。以前经常爆出twitter密码被窃取,主要就是因为OAuth开放以前,twitter上的第三方应用需要提供原生密码,导致很多小应用的目的其实就是收集密码… 6.为了给用户提供方便。这个理由和上一个很类似,不过不是为了某些险恶的目的。而是客户经常要求——为什么我不能做XX事,为什么我不能blahblah。好吧,为了让你能,我们就必须保存明文密码。 明文密码的保存原因很多,不过结论都是一样的。在任何网站/服务上,你绝对不能使用同一个密码,零级密码除外。尤其请注意,不要在两家银行使用同样的银行卡密码/网银密码,原因不说。 从未来进化的角度说,密码的未来进化趋势是核心授权体系。就是你要向某个网站验证身份,只需要向身份验证商验证,剩下自动完成。现在的openid就是一种解决方案。密码都没了,还谈什么泄露呢?同时,实体交互和授权的精细划分也是一个趋势。某个网站访问别的网站的数据的时候,会形成一个访问令牌。这个令牌对需要访问的内容详细写明,并且需要用户授权。OAuth就是这个趋势的代表。另外一个趋势是利用某个足够安全的设备作为以上两者的终端载体。目前这个设备用的是手机,可是——手机不是一个足够安全的设备。也许这会是下一个XX门的隐患吧。 {lang: ‘zh-CN’} 相关日志 2011/12/22 — 月光博客:CSDN网站六百万用户信息外泄 2011/12/17 — caoz:谈谈近期的安全事件 2011/12/16 — 月光博客:北京实行“微博实名制” 2011/12/12 — 阳光时务:被驯化的 《新华字典》 2011/12/02 — 木马程序Carrier IQ浮出水面,苹果说这个可以有,Google说这个还真没有,理由呢? 2011/11/25 — 福布斯:中国的防火长城测试对加密链接进行神秘扫描 2011/11/21 — 中国将网络审查作为贸易保护武器 2011/11/17 — 李承鹏:坚强 2011/11/06 — 李承鹏:一只叫萨克斯风的破鞋 2011/11/02 — 韩寒:格调不高怎么办

Read More

CDT/CDS今日重点

十月之声(2024)

【CDTV】【图说天朝】2023万圣节被诊断为新的错误记忆?

【网络民议】“很多人在乎的是立场,是国籍,是历史,是仇恨,根本没人在乎这个生命”


更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间