网监

揭秘卡扎菲的互联网监控中心

在西方科技企业的帮助下,卡扎菲的特务坐在监控中心阅读着英文手册,监视着电子邮件和聊天信息。《华尔街日报》通过调查的黎波里互联网监控中心,找到了西方企业帮助独裁政权屏蔽网站监听通信的更多证据。 在卡扎菲的监控中心,可以找到印有法国技术公司Amesys标记和logo的英语训练手册;一对恋人16分钟长的Yahoo IM聊天记录。消息人士披露,今年初利比亚为了进一步增强其网络监控能力而与Amesys和波音的Narus等举行过会谈。利比亚一直在寻找先进工具控制加密的Skype通信,审查YouTube视频,屏蔽代理服务器。来自美国、加拿大、欧洲,中国和其它地方的高科技企业,为了追逐利润,而帮助中东和北非的独裁者打击异己,屏蔽网站,拦截电子邮件和窃听通话。Amesys为利比亚提供了深度包检测技术,中国的中兴公司,南非的VASTech SA Pty Ltd都为监控中心提供了不同的监视技术。利比亚的互联网过滤系统被称作Eagle,可以分析和储存所有进出流量。中兴、Amesys和VASTech都拒绝对此发表评论。

阅读更多

(技术贴-转自CL)老大哥在看着乃们――科普一下校园网和公司网络的基本结构和常见管理形态

来源: http://gsdme.com/2011/08/24/technical-paste-transfer-from-cl-big-brother-is-watching-who-science-about-the-campus-network-and-corporate-network-management-form-the-basic-structure-and-common.html 上次主要讲了一些上CL时需要注意的问题,主要切入点是翻墙和代理,但是在回复榴友们的问题的过程中,发现很多网友对网络的本地安全知之甚少或者干脆没有任何概念,因此今天在这里专门开一贴说说本地安全问题。 首先定义一下什么是本地安全,所谓的本地安全,在笔者看来是针对互联网安全而言的,互联网也就是所谓的万维网,internet,最直接的叫法是叫做公网,公网的界限从电信服务商分配给你的公网IP地址开始,如果你没有使用任何代理裸奔上CL的话,那么当你进入社区主页登陆的时候,你就会看到屏幕上方有一行”您的IP:xx.xx.xx.xx”的字样,这里显示的就是你的公网IP地址。 从你的公网IP地址往下,一直到你电脑主机和电脑屏幕前或在裸聊,或在撸管,或在看小本本的你,这一部分的安全问题,全部属于本地安全的范畴。 在这里我做一个简单的上网拓扑说明,以校园网为例,其寝室上网的典型拓扑如下图所示: 这是锐捷校园网系统的接入拓扑图,我们可以很清楚地看到,任意一台宿舍里的电脑,都是通过各种方式(主要是网线)接入到接入层交换机(这种交换机通常是2层的低档设备,但是可以在数据链路层进行端口管理,管理员要做的第一件事情,就是对一个宿舍楼层的一个24口或者48口的接入交换机做端口管理,连到每个宿舍的网线都会被编号,几号网线在哪台交换机的第几号口,都会被做成一个对应的Excel表格或者拓扑图,有了这份对应关系,网管就可以在发现哪个端口有问题的时候哦第一时间找到那根网线,对乃们这些干坏事的淫进行拔猫―― 接入层以上,一般就是路由层了,不管路由是在哪个设备上做,你们的电脑都要分配一个本地IP给你们,锐捷是通过上网客户端来做的,这个本地IP可能是192开头或者172开头的,和你显示在CL上的公网IP不同,是配置在你电脑上的,你可以通过在DOS窗口里打ip config的命令看到,具体的IP地址分配规则我就不多说了,因为在这里不起作用,乃们所要知道的,就是有这么一个本地IP地址,然后一个寝室楼的N多狼们或者浪货们就会有N个本地IP地址,然后网管会在某一个交换机或者路由器里对这么多本地地址做NAT,让乃们这些地址可以通过一个或几个固定的电信分配的IP上公网; 对在办公室上网的淫棍们其实也是一样的,乃们的电脑同样会有一个本地IP地址,乃们电脑上的网线同样会被编号,同样会被对应到交换机的物理端口――那个那个谁谁谁,看什么看,就是你,4号交换机的38号口的S13号线,别人都是下载了AV看,只有你是在线看…还东张西望地,就是你! 网线插入物理端口的示意图: 好吧,我们继续说下去,上面那个在线看AV的被抓到鸟,肿么会被抓的涅?原因就是这个倒霉蛋的MAC地址在网管的系统里有备份,校园网的网管通过上网客户端自动采集所有上网电脑的MAC地址(也就是你电脑的硬件地址,那个基本不会有人花功夫去改,非常非常麻烦),办公室的网管一般是直接到你桌面电脑上用小本本记下来,就像这样: 姓名:操志强 IP地址:192.168.1.11 MAC地址:xxxxxxxxxxx 主机位置:综合部靠墙第三排倒数第二台电脑,左边是垃圾筒,后边是女厕所那个 ……以下省略若干字 拿到这些以后呢,网管一般会做一件事情,就是把你的MAC地址和你的IP地址绑定起来,然后在路由器上做一个策略,只让绑定好的MAC和IP上网,这样就算你自己带了笔记本来也上不去,因为MAC不在信任列表里。 做完了这些,网管员只要在网管服务器上或者入侵检测系统上开一个嗅探器―― 这些呢,是最最原始的监控手段,其他的比如神马桌面控制系统之类的,说白了就是在你电脑上再装一个木马或者管理客户端,这样就可以更加直接地监控你的电脑桌面活动了,人家甚至可以在服务器上开一个小窗口看着你在那里偷看曹查理的三级片…… 说到这里呢,我想已经很清楚了,就是在这种定位到硬件地址和端口级的管控面前,本地网络流量是没有任何秘密可言的,如果你们办公室或者寝室是这么管理上网设备的,那么建议乃们最好是什么坏事都不要干鸟,乃现在没事只能说是伦家没有上安全策略来管乃,不是说伦家管不了乃。 结构说完了,我再说一下常见的管理策略和方法,一般来说,网管采用的安全管理措施有两种: 第一种是预防式的,比如在交换机里使用Access-list,只让符合要求的流量上网,或者让满足某些条件的流量上不了网,这种措施很常见的就是让你的QQ能上网,或者让你的QVOD程序完全上不了网(把对应端口干掉就是,这个端口说的是操作系统里针对各种应用的虚拟端口,不是交换机上的物理端口。 第二种是相对智能一点的,对网络流量进行分析、记录(方便秋后算帐),或者直接进行触发式的切断。在校园网和公司网里,都会有一台或者几台IDS或者IDP设备,我们也管它们叫做入侵检测设备,这些设备的基本原理,是在主干交换机的某一个端口接入一台入侵检测设备,将所有要监控的流量都镜像到这个端口来,交给入侵检测设备去分析,比如网管接到上级指示,要在所有流量中查找涉及胡XX的言论,网管可能就会在IDS里设置这样一种策略――只要检测到”胡XX”的明码,就记录下该IP的地址和通讯时间,这样的话,办公室里那个说胡XX的倒霉蛋就被记录在了系统日志里; 针对一些更高优先级的事件,比如谁的电脑中了病毒神马的,IDP还可以和交换机联动,逻辑关闭掉中毒电脑的那个端口来控制病毒的范围。 我想说到这里,基本上大家都应该清楚自己面对的是什么样的一个本地网络环境了,如果和笔者之前写的互联网安全的文字比较一下就可以看出来了,本地网络管理的严密性远远超过互联网管控的严密性,原因就是本地的主机数量始终是有限的,接了多少机器进来就是多少机器,每台机器进来都有记录,你跑都没地方跑去,而且一般的办公室和校园网都不支持无线接入,就算有个别大型外企支持无线接入,也是让你接入他们内网,用他们给你的帐号登录,所以不用想干神马坏事。 是不是有点郁闷鸟?是不是有点绝望鸟?其实涅,笔者也说句实话,对上班族来说,公司电脑是让乃们上班做事用的,属于公司资产,乃们上班的时间也是公司资产,所以公司对此进行严密监控也是合情合理的,平时休息时候吃饭时候看看网页上上Q也就算鸟,别的太出格的事情呢,在公司最好还是别做,拿人钱财替人消灾,遵守公司规章制度也是自己职业程度的一种表现吧。 对学生狼友们来说,校园网的确是个很蛋疼的东西,但笔者刚才说了质的问题,现在再说说量――乃们觉得一个校区会有多少个网管?会有多少台IDP/IDS在运作?说实话,一个大学校区能有一个注册的网络的工程师(就是有证书,可以自己写策略,自己管理日志记录的那种真正合格的工程师)就不错了,撑死在计算机中心再有几个懂一点皮毛,知道怎么看日志怎么封IP的,但这些人平时也有自己的日常工作的,不会整天盯着乃们,他们主要也是上面让做什么就做什么,所以涅,乃们只要表太过分,表在校园网论坛里高喊打倒XXX或者童鞋们明天去散步之类的口号,管理方使劲来抓乃们的可能性还是比较低的,放轻松,适当放松下心情偶尔下个片神马的也就那么回事,关键是保持低调,低调――俺们都是低调俱乐部的成员…… Quote: 引用第2�m_kissy於2011-08-19 04:31�表的 : 看不大懂 好吧,那我用最简单的语言把整件事情说一遍――实际情况就是,校园网的所有通过网线上网的主机,还有公司网络里所有的通过网线上网的固定主机,其主机IP地址均可以与主机MAC地址绑定,而MAC地址是主机无法更改的(是的,我在这里说无法,因为更改的方法过于复杂而在这个环境下不可行),因此找到IP就找到了MAC地址,找到了MAC就找到了你的主机,也就找到了使用主机的你。 整个本地网络管理和追踪的链条是: 引子:某Cler在办公室或者校园网内做甚”不公不法”之事,然后―― 一、IDS/IDP(入侵检测系统)、或者嗅探器发现可疑的关键字、网络行为等,被记入日志,或者被在线发现; 二、网管调出镜像过来的流量记录,找到源IP地址; 三、网管根据IP地址和MAC地址对应表找到发出该包的MAC地址; 四、网管找到MAC地址所属的主机; 五、网管找到主机的主人; 六、主人暴露,被主管叫去喝茶、训斥、要求交出A片、要求潜规则、要求…… 七、主人仆街 八、黑暗,以下省略若干字 5楼你的回复在10楼,很长,我没有列在首页 以下是五楼回复 关于MAC地址,这东西之所以危险,是建立在通过它可以找到你主机的基础上的,只有在公司里,或者校园网里,MAC地址才会成为问题,因为只有那种环境下电脑数量、类型和位置才是固定的,你在家上ADSL的话,你的MAC即便出去了也没关系,因为没人知道那个MAC是你的,你只要换一块网卡,就再也没人可以通过它找到你了。 首先要说明的是――你”浏览”敏感网页是不会让人追查你的,因为你什么都没说,尤其是如果只是浏览网页连注册用户都不是的话,那除非网警镜像了所有访问该网页的流量,否则抓不到你,抓到你又如何?你只是因为好奇点进来看看而已,that's it. 但是在这个问题上你需要注意的是,清除你在本地的cookie,只要本地抓不到你的证据,你可以否认一切,更别提你还使用了代理。 关于你说的VPN逆向追踪,其实是IP逆向追踪的一种,但IP逆向追踪(分主动追踪和反应追踪两种)本身,就是一种效费比很低的行动,主要用在网站类主机对抗DDOS类攻击上,是不会因为你看了某个网页而用到你身上的,而且这种技术需要很多条件来配合,比如反应追踪必须在攻击还在进行的时候就完成,而主动追踪需要在受控网络经过的关键路由器上记录数据包,这样才能在反向追踪的时候通过这些数据包反向找到源地址,但这样就要付出存储和CPU的代价(ISP做数据包记录是法律敏感性很高的事情,同时对ISP的数据处理能力和存储能力也有很高的要求),如果不是价值和敏感性极高的目标周围,没有人会采用这样的措施来做逆向追踪,更不要提仅仅是追踪你这样一个仅仅浏览,却什么都没说,什么都没干的人了。 IP逆向追踪还有一个重要弱点就是,它需要太多的合作方,如果你用了一个超出行政管理权范围的代理或者VPN服务器,那么只要追踪方无法拿到服务商保留的数据包信息,IP逆向追踪就将在这个超出行政管理权的地点中断――所以你的代理哪怕加密弱一点都没关系,但你一定要找个国外的! 如果你要隐藏你的MAC地址,最直接的办法就是在每次开机以后运行超级兔子之类的软件更改你的MAC地址(关机后失效),但在ADSL环境中,这是没有意义的,因为在追踪者的记录里没有你的MAC地址和你自然人的相关信息,只有公司环境才有这种对应关系。 最后我说一下因为敏感信息被追踪的实际可能流程―― 前提环境:监控者以一个网站的注册用户身份或者游客身份观察网页上的发言信息,择重要的发起追踪,而且监控者有追踪手段,比如他可以通过网站拿到发言者的IP地址―― 一、注册用户A在被监控论坛比如TX上发言,引起了监控者注意,监控者决定找到源地址; 二、监控者以官方身份向ICP索取IP地址,ICP如TX或者XL将发言者的IP提供给了官方监控者; 三、官方监控者通过IP地址区分是哪个电信服务商在提供的服务,然后发现是电信、铁通等中的一个; 四、官方监控者要求服务商也就是ISP查询这个IP地址的一切信息,并且提供物理地址和用户姓名; 五、官方找到了这个人,本地GA破门而入,收缴了电脑,带走了电脑前的使用者; 六、官方在电脑里找到了cookie等证据,使用者暴露; 七、使用者被喝茶,被潜规则,被爆菊花,被劳教,被收缴AV,被要求供出同谋……以下省略若干字 八、我们再也没有看到那个人―― 你使用代理和VPN的作用是,在步骤二和三之间制造一个断点,比如: 一、监控者在步骤二里得到的IP地址经查询在国外,比如德国,是某个VPN提供商的地址,监控者要求VPN供应商机房提供帮助,遭到拒绝,追踪至此断掉―― 二、监控者得到的IP地址不在国外,但是是国内某夜总会上网用的路由器的外层出口地址,GA破门而入的时候发现路由器在一个狭窄的机房里,机房左边是个炮房,机房右边是个女厕所,主机机架边上的柜子里是大量廉价的卫生巾和避孕套――经检查该路由器被人开了后门,有一个端口被用来远程登录,然后用脚本伪装成夜总会炮房的某台电脑的地址上了公网,然后这个后门被人发布在了CL上,发布的这个用户名已经不可考或者不存在,追踪至此中断―― 让你管好自己的Cookie是因为,这样你可以在步骤五和六之间制造一个断点,但问题是你如果到了哪一步,这就是你唯一能做的了,而且证据是可以伪造的――拷贝到你电脑里去就行。 这么说你是不是能够明白?我的意见是你关于MAC和IP逆向追踪的担心在你仅仅是浏览某些公开的”敏感”网页的时候是不需要存在的,you are fine. 修改MAC地址的方法可以用谷歌查到,很多教程;至于IP逆向追踪――Trust me, there’re nothing you can do if they do this to you

阅读更多

OhMyMedia | 时代周报:“上海雨人”鹰眼盯视公共网络

北京东城公安分局下发一纸通知,要求辖区内商家必须购买上海雨人软件技术开发有限公司(下称上海雨人)的安全监控软件,安装“互联网公共上网服务场所安全管理系统”,否则停止无线网络服务。名不见经传的上海雨人竟然成为独家供应商,引发业界广泛热议。从政府招标到不知名公司中标,再到强制安装并引发各界反弹,联系到之前的绿坝闹剧,此次情节似曾相识。在业内人士看来,这又是一次“荒唐之举”。 质疑并非局限于此。名不见经传的“上海雨人”竟然成为独家供应商。多位业内人士表示并没有听说过上海雨人。但事实上,默默无闻的“上海雨人”却有本事在公安系统的项目中深耕多年。此次更是成为东城区指定的唯一软件供应商。 本报记者 张欣培 发自上海 时代周报第142期 或许不久,我们将再也无法享受到咖啡馆、书店等公共上网服务场所提供的免费wifi服务了。 近日,北京东城公安分局下发一纸通知,要求辖区内商家必须购买上海雨人软件技术开发有限公司(下称上海雨人)的安全监控软件,安装“互联网公共上网服务场所安全管理系统”,否则停止无线网络服务。对于违反规定的相关责任人将处以一定数额的罚款,而情节严重者可给予停止联网甚至建议审批机构吊销经营许可证等。 软件安装费用则根据端口数量不同有所差异,分为两万元、三万元、六万元不等。目前,高昂的安装费用已让多位店主被迫选择关停wifi服务。 一石激起千层浪。针对此举的种种疑问接踵而来。公安机关是否有权力强制要求不以上网收费为营业方式的公共上网服务场所安装安全监控软件?公民的隐私权是否受到侵犯?高昂的成本为何由商家自己承担? 质疑并非局限于此。名不见经传的上海雨人竟然成为独家供应商。多位业内人士表示并没有听说过上海雨人。但事实上,默默无闻的上海雨人却有本事在公安系统的项目中深耕多年。此次更是成为东城区指定的唯一软件供应商。 政府招标→不知名公司中标→强制安装→引发反弹,情节似曾相识。2009年,工信部发文,要求所有新出厂的计算机预装上网过滤软件“绿坝—花季护航”,最后因反对而被推迟取消,被认为是一场闹剧。 历史却在重复上演。在业内人士看来,这又是一次“荒唐之举”。但人们担心的是此举措是否会全国推广?“这是政府释放的方向球,如果反弹不够强烈,极有可能在全国推广,如果未经法律授权就这么做,显然是对公民权利赤裸裸的践踏。”关注IT产业的律师游云庭告诉时代周报记者。 上海雨人屡屡中标 上海市普陀区软件研发园区有上百家通信软件公司,上海雨人就是其中一个。记者在园区内询问多人,均表示未听过该家公司。然而就是这样一家名不见经传的公司最近成为媒体关注的焦点。 北京东城区要求非经营性上网服务场所安装的网络监控软件由上海雨人独家提供。安装费用的参考价格为:端口数小于等于100个,价格2万元;小于等于800个,价格3万元;小于等于1500个,价格6万元。 “价格高得有点离谱,如果远高于市场价,就是一种非正常的商业行为。仅有软件的监控系统,三四十台电脑,三四千元就够了。即便加上硬件设备,8000元也差不多了。”北京信安软件的一位负责人表示。据他介绍,由于行业内竞争激烈,所以价格压得特别低,利润空间极其有限。 由于拿不到上海雨人软件的测试版,业内人士指出,无法准确判断其成本。但是,上述信安软件人士告诉记者,“国内的很多监控软件都是拿国外的源代码,进行二次开发,所以成本很低。” 低调的上海雨人在公安系统中颇受青睐。7月15日,上海雨人成为东城分局非经营性上网场所安全审计系统中标者,中标金额203.7万元。6月,北京政府采购网公布的《北京市石景山区公安分局网络安全装备和信息标准化采集室设备采购中标公告》中,上海雨人亦为中标之一。5月,作为北京市公安局昌平分局对非经营上网服务场所落实安全保护技术措施分局二级平台建设项目的供应商,金额180万元。4月,中标北京大兴公安分局网吧管理平台升级改造项目,成交金额172万元…… “几十万或者上百万的金额在行业已经算大单了,因为这方面的采购一直不大,一般情况下也才几千元或几万元。”上海一家生产同种类型软件的技术人员说。 但如此“重要”的公司为何在行业内名声有限?“因为各个公司应用方向不同,行业差别很大,所以没听说很正常。”上海新网程总经理李元明解释。然而,上述技术人员却认为,“此解释尽管正常,但有点牵强。因为即使不了解,在行业内混了这么多年,也会听说过,这个圈子还是挺小的。” 针对软件价格为何如此昂贵?上海雨人缘何成为指定供应商以及相关中标过程,时代周报记者致电北京市东城区公安局,但对方表示,调休刚上班,对此情况不清楚,询问清楚后再回复,并记下了记者的联系方式,但截至记者发稿时仍未回复。北京市公安局亦如此,记者按其要求将采访函与采访提纲传真过去,但仍未收到回复。 上海雨人隐身IT业 8月9日,时代周报记者来到了位于普陀区软件园区10号楼三楼的上海雨人公司。前台表示,滕总在国外出差,公司的负责人都不在,因此无法回应。她透露,新来公司一个多月,但从未见到滕总来过办公室。 不得不说,上海雨人绝对是一家神奇的公司。记者偶遇一位上海雨人技术总监的应聘者,他告诉记者,“感觉这家公司人气不是很旺,人比较少。”记者注意到,在公司前台后侧悬挂着两块荣誉牌—由北京网络行业协会颁发的理事单位和由上海科学技术委员会颁发的上海市高新技术企业。“协会只要每年交几万的会员费就可以了,而高新技术企业到科技局申请下就行。”IT人士于斌说。相对于含金量有限的荣誉,官网公布的销售许可证大多已过期,而一些荣誉也早已久远。 上海工商行政管理局网站上显示,上海雨人成立于1998年11月23日,法定代表人滕德润,注册资本38.2万美元,性质为港澳台独资的有限责任企业,登记的住所为上海市青浦区赵巷镇沪青平公路。但实际办公地点为普陀区天地软件园区。 “上海雨人的经营地与注册地址不同,不符合工商局颁发的公司登记管理条例。理论上,在哪注册就应该在哪办公。这涉及到工商管理有效性、税务交纳等一系列问题。”律师游云庭表示。公司登记管理条例规定,公司的住所应当在其公司登记机关辖区内,如未按照规定办理变更登记,将给予一定处罚。在记者查询到的一份2010年通过年审的软件企业中,上海雨人的交税机关仍为青浦六所。 蹊跷之处还在于,拥有外资身份的上海雨人是否有资格参与到国内的网络安全建设中?中国政府采购网网络安全保护技术招标中,明确规定了投标人的资格条件,“在境内注册,能够独立承担民事责任,有服务和供应能力的本国供应商。”同时,国内相关规定,外资企业不得从事涉密系统集成业务。不过游云庭认为,此事件焦点,不在于外资身份,而是软件质量,是否会有后门程序泄露监控到的数据。 同时,官网上公司简介的大段文字悄然消失。几日前,官网上介绍,上海雨人专注于网络警察专用产品的开发,已成为网络警察专用产品的专业研发基地,是全国网络安全审计、监控的著名生产厂商。公司的产品“网吧实名管理系统”和“非经营网络安全审计系统”,合作采用机构包括北京、上海、南京、杭州公安局,新疆维吾尔自治区、山东、黑龙江、湖南等公安厅。上海雨人与公安、教育等政府机关形成了良好的合作关系。 然而自上海雨人引起关注后,如此值得称道与宣传的荣誉却悄然从公司网站上消失,上千字的公司介绍只剩下200字左右。而其宣称的“著名生产厂商”更让人觉得匪夷所思。 “行业内基本上没听说过,如果很有实力应该听过。”拥有多年网络安全软件从业经验的信安软件人士说。不过,新网程李元明介绍,“知道上海雨人,之前在网吧做得比较好,但后来由于新浩艺采取新的营销策略,导致其市场份额减少,才开始转战公安系统。” 据业内人士介绍,网吧与政府都是关系大户。“通过某种关系直接做客户,没有必要进行宣传,所以我们不知道。”信安软件负责人指出。而从其官网宣传上可见一斑。业内人士表示,上海雨人的官网实在太差,这也说明了公司的重点不在于网站宣传。 上海雨人在业内排名到底怎样?记者致电在网络监控方面排名靠前的深圳网路岗,询问相关情况。记者表示网络上搜索到的关于上海雨人的信息十分有限。对方说,“那结果就不用我告诉你了。” 上述信安人士认为,各种迹象表明上海雨人都不像一个正常的公司。“公司发展都需要宣传,但网络上搜索到的信息极其匮乏。同时,根本无法了解公司实质性的东西,比如产品架构、性能等。” “绿坝”闹剧或将重演 绿坝事件的“笑话”尚不久远。2009年6月,工信部发布通知,在中国境内生产销售的计算机,必须安装“绿坝—花季护航”软件。最终由于消费者的反对,该措施被推迟。失去政府的强制预装,一年后,生产该软件的两家公司大量裁员。 绿坝的前车之鉴并未起到任何作用,荒唐的闹剧却在重复上演。“东城区的举动完全不合理。监控大众,但官僚得志。而且极有可能存在官僚牟利的现象。”游云庭表示。 他指出,首先官方要求所有的wifi均需监控的目标难以实现。其次,公关机关没有此种权力要求进行强制安装。事先应由相关部门进行立法,比如人大、国务院等在法律上明确规定监控的权力。再次,供应商招标不透明,价格昂贵,存在寻租的可能。 但是李元明认为,出于对公共场所网络的管理,此举或许是合理的。不过他也指出,仅指定一家产品却有待商榷。“相对好的方法应该挑选出几家符合要求的,供消费者选择。最好有第三方评测机构。” 东城公安分局的强制安装被认为是一种赤裸裸的强买强卖。游云庭指出,此举涉嫌违反垄断法。《反垄断法》第三十二条规定:“行政机关和法律、法规授权的具有管理公共事务职能的组织不得滥用行政权力,限定或者变相限定单位或者个人经营、购买、使用其指定的经营者提供的商品。” 东城区下发的通知上称,按照“谁经营,谁负责”的原则,政府出资建设管理系统平台,场所出资安装技术设施。但飞象网总裁项立刚认为,不应该由商家买单。“这属于公共安全系统,我们给国家和税务部门交税了,没理由让消费者出钱。”于斌也指出,监管公共场所的信息安全,费用应由政府来出,而不是转嫁到经营者身上。 让人担忧的是,此举是否会全国推广。假设如此,意味着免费的wifi提供将停止,公共场所的网络信息将被监控,包括个人即时聊天记录。“有可能在全国推广,但必然引起众多不满。北京东城区的强制要求只是一个试点。如果反应不够强烈,应该会在全国推广。”于斌认为。 为加强网络安全,减少网络犯罪,东城公安分局的行为或许可以理解。李元明认为,公安的初衷或许是好的,此举作为一种手段让犯罪分子有所顾忌,但是千万不要超越某种底线。事实上,其中的不合理之处却比比皆是。为何仅指定一家供应商?软件安全性谁来保证?按照“谁受益,谁买单”的原则,经营者的利益受到了损害,那么为何还要自掏腰包? 李元明认为,东城区至少应该提供合理合法的渠道,招投标要透明。游云庭也指出,类似全国人大常委会颁布的邮政法对于谁授权拆封公民信件进行了规定,对公民上网监控行为应该得到全国人大常委会的授权。作为公共项目,相关招投标要公开透明,要披露相关成本核算方式。否则仅为行政机关提供了便利,却加大了社会负担。    公民隐私亟须保护 业内人士介绍,任何网络监控软件都具有监控聊天记录的功能,只是出于敏感原因,宣传时一笔带过。那么此举实行后,是否意味着公民的隐私权被赤裸裸地侵犯? 根据《侵权责任法》的规定,个人不愿他人知道或他人不便知道的信息都属于个人隐私。律师游云庭指出,如果监控软件对个人的上网记录等信息全部予以记录并对外公开的话,就侵犯了公民的隐私权。《邮政法》明确规定,公民的通信自由和通信秘密受到法律保护,除因需要,由相关部门进行通信检查外,任何组织或个人不得以任何理由侵犯公民的通信自由与通信秘密。 针对“通过监控网络减少犯罪,维护国家和群众的利益”的目的,更被认为是种说辞与借口。“首先政府的权力要严格按照法律法规来实行,没有法律法规授权政府部门可以监控所有公民的隐私或是监控整个网络。另外,由于互联网信息的庞大与更新率,从客观上政府部门也不可能通过‘监控网络减少网络犯罪’。”游云庭说。更有业内人士调侃,“不可能因为你在走路的时候被骗就不让人走路吧!” “细想之下,谁更安全了?目的是维护公共安全,但却把公民监控起来,太失败了。”北京信安软件人士认为这是一个很荒唐的行为。他指出,为了防止公司泄密安装监控软件是必要的。在公司可以进行监控,是因为电脑是公司的财产,员工上班时间使用。但是针对公民却完全没有必要。“时刻监控公民,太荒唐了,这又不是监狱。” 游云庭律师认为:“一切政策应该从便利民众的角度出发,有利于社会发展,而不是方便管理。”通过不正常的措施,追求社会的安定完全是不合理的。 规定公民的通信自由与通信秘密受到法律保护的邮政法由人大常委会颁布的。按道理,对于监控公民互联网上网情况的行为也应由人大通过法律来进行授权。否则公安机关无权进行干预。 但现实是,公民的隐私权正被赤裸裸地践踏。公民的隐私权究竟由谁来保护? 原文: 点击

阅读更多

老大哥在看着乃们——科普一下校园网和公司网络的基本结构和常见管理形态

上次主要讲了一些上CL时需要注意的问题,主要切入点是翻墙和代理,但是在回复榴友们的问题的过程中,发现很多网友对网络的本地安全知之甚少或者干脆没有任何概念,因此今天在这里专门开一贴说说本地安全问题。 首先定义一下什么是本地安全,所谓的本地安全,在笔者看来是针对互联网安全而言的,互联网也就是所谓的万维网,internet,最直接的叫法是叫 做公网,公网的界限从电信服务商分配给你的公网IP地址开始,如果你没有使用任何代理裸奔上CL的话,那么当你进入社区主页登陆的时候,你就会看到屏幕上 方有一行“您的IP:xx.xx.xx.xx”的字样,这里显示的就是你的公网IP地址。 从你的公网IP地址往下,一直到你电脑主机和电脑屏幕前或在裸聊,或在撸管,或在看小本本的你,这一部分的安全问题,全部属于本地安全的范畴。 在这里我做一个简单的上网拓扑说明,以校园网为例,其寝室上网的典型拓扑如下图所示: 这是锐捷校园网系统的接入拓扑图,我们可以很清楚地看到,任意一台宿舍里的电脑,都是通过各种方式(主要是网线)接入到接入层交换机(这种交换机通 常是2层的低档设备,但是可以在数据链路层进行端口管理,管理员要做的第一件事情,就是对一个宿舍楼层的一个24口或者48口的接入交换机做端口管理,连 到每个宿舍的网线都会被编号,几号网线在哪台交换机的第几号口,都会被做成一个对应的Excel表格或者拓扑图,有了这份对应关系,网管就可以在发现哪个 端口有问题的时候哦第一时间找到那根网线,对乃们这些干坏事的淫进行拔猫—— 接入层以上,一般就是路由层了,不管路由是在哪个设备上做,你们的电脑都要分配一个本地IP给你们,锐捷是通过上网客户端来做的,这个本地IP可能 是192开头或者172开头的,和你显示在CL上的公网IP不同,是配置在你电脑上的,你可以通过在DOS窗口里打ip config的命令看到,具体的IP地址分配规则我就不多说了,因为在这里不起作用,乃们所要知道的,就是有这么一个本地IP地址,然后一个寝室楼的N多 狼们或者浪货们就会有N个本地IP地址,然后网管会在某一个交换机或者路由器里对这么多本地地址做NAT,让乃们这些地址可以通过一个或几个固定的电信分 配的IP上公网; 对在办公室上网的淫棍们其实也是一样的,乃们的电脑同样会有一个本地IP地址,乃们电脑上的网线同样会被编号,同样会被对应到交换机的物理端口—— 那个那个谁谁谁,看什么看,就是你,4号交换机的38号口的S13号线,别人都是下载了AV看,只有你是在线看…还东张西望地,就是你! 网线插入物理端口的示意图: 好吧,我们继续说下去,上面那个在线看AV的被抓到鸟,肿么会被抓的涅?原因就是这个倒霉蛋的MAC地址在网管的系统里有备份,校园网的网管通过上 网客户端自动采集所有上网电脑的MAC地址(也就是你电脑的硬件地址,那个基本不会有人花功夫去改,非常非常麻烦),办公室的网管一般是直接到你桌面电脑 上用小本本记下来,就像这样: 姓名:操志强 IP地址:192.168.1.11 MAC地址:xxxxxxxxxxx 主机位置:综合部靠墙第三排倒数第二台电脑,左边是垃圾筒,后边是女厕所那个 ……以下省略若干字 拿到这些以后呢,网管一般会做一件事情,就是把你的MAC地址和你的IP地址绑定起来,然后在路由器上做一个策略,只让绑定好的MAC和IP上网,这样就算你自己带了笔记本来也上不去,因为MAC不在信任列表里。 做完了这些,网管员只要在网管服务器上或者入侵检测系统上开一个嗅探器—— 这些呢,是最最原始的监控手段,其他的比如神马桌面控制系统之类的,说白了就是在你电脑上再装一个木马或者管理客户端,这样就可以更加直接地监控你的电脑桌面活动了,人家甚至可以在服务器上开一个小窗口看着你在那里偷看曹查理的三级片…… 说到这里呢,我想已经很清楚了,就是在这种定位到硬件地址和端口级的管控面前,本地网络流量是没有任何秘密可言的,如果你们办公室或者寝室是这么管理上网设备的,那么建议乃们最好是什么坏事都不要干鸟,乃现在没事只能说是伦家没有上安全策略来管乃,不是说伦家管不了乃。 结构说完了,我再说一下常见的管理策略和方法,一般来说,网管采用的安全管理措施有两种: 第一种是预防式的,比如在交换机里使用Access-list,只让符合要求的流量上网,或者让满足某些条件的流量上不了网,这种措施很常见的就是 让你的QQ能上网,或者让你的QVOD程序完全上不了网(把对应端口干掉就是,这个端口说的是操作系统里针对各种应用的虚拟端口,不是交换机上的物理端 口。 第二种是相对智能一点的,对网络流量进行分析、记录(方便秋后算帐),或者直接进行触发式的切断。在校园网和公司网里,都会有一台或者几台IDS或 者IDP设备,我们也管它们叫做入侵检测设备,这些设备的基本原理,是在主干交换机的某一个端口接入一台入侵检测设备,将所有要监控的流量都镜像到这个端 口来,交给入侵检测设备去分析,比如网管接到上级指示,要在所有流量中查找涉及胡XX的言论,网管可能就会在IDS里设置这样一种策略——只要检测到“胡 XX”的明码,就记录下该IP的地址和通讯时间,这样的话,办公室里那个说胡XX的倒霉蛋就被记录在了系统日志里; 针对一些更高优先级的事件,比如谁的电脑中了病毒神马的,IDP还可以和交换机联动,逻辑关闭掉中毒电脑的那个端口来控制病毒的范围。 我想说到这里,基本上大家都应该清楚自己面对的是什么样的一个本地网络环境了,如果和笔者之前写的互联网安全的文字比较一下就可以看出来了,本地网 络管理的严密性远远超过互联网管控的严密性,原因就是本地的主机数量始终是有限的,接了多少机器进来就是多少机器,每台机器进来都有记录,你跑都没地方跑 去,而且一般的办公室和校园网都不支持无线接入,就算有个别大型外企支持无线接入,也是让你接入他们内网,用他们给你的帐号登录,所以不用想干神马坏事。 是不是有点郁闷鸟?是不是有点绝望鸟?其实涅,笔者也说句实话,对上班族来说,公司电脑是让乃们上班做事用的,属于公司资产,乃们上班的时间也是公 司资产,所以公司对此进行严密监控也是合情合理的,平时休息时候吃饭时候看看网页上上Q也就算鸟,别的太出格的事情呢,在公司最好还是别做,拿人钱财替人 消灾,遵守公司规章制度也是自己职业程度的一种表现吧。 对学生狼友们来说,校园网的确是个很蛋疼的东西,但笔者刚才说了质的问题,现在再说说量——乃们觉得一个校区会有多少个网管?会有多少台 IDP/IDS在运作?说实话,一个大学校区能有一个注册的网络的工程师(就是有证书,可以自己写策略,自己管理日志记录的那种真正合格的工程师)就不错 了,撑死在计算机中心再有几个懂一点皮毛,知道怎么看日志怎么封IP的,但这些人平时也有自己的日常工作的,不会整天盯着乃们,他们主要也是上面让做什么 就做什么,所以涅,乃们只要表太过分,表在校园网论坛里高喊打倒XXX或者童鞋们明天去散步之类的口号,管理方使劲来抓乃们的可能性还是比较低的,放轻 松,适当放松下心情偶尔下个片神马的也就那么回事,关键是保持低调,低调——俺们都是低调俱乐部的成员…… Quote: 引用第2樓m_kissy於2011-08-19 04:31發表的 : 看不大懂 好吧,那我用最简单的语言把整件事情说一遍——实际情况就是,校园网的所有通过网线上网的主机,还有公司网络里所有的通过网线上网的固定主机,其主 机IP地址均可以与主机MAC地址绑定,而MAC地址是主机无法更改的(是的,我在这里说无法,因为更改的方法过于复杂而在这个环境下不可行),因此找到 IP就找到了MAC地址,找到了MAC就找到了你的主机,也就找到了使用主机的你。 整个本地网络管理和追踪的链条是: 引子:某Cler在办公室或者校园网内做甚“不公不法”之事,然后—— 一、IDS/IDP(入侵检测系统)、或者嗅探器发现可疑的关键字、网络行为等,被记入日志,或者被在线发现; 二、网管调出镜像过来的流量记录,找到源IP地址; 三、网管根据IP地址和MAC地址对应表找到发出该包的MAC地址; 四、网管找到MAC地址所属的主机; 五、网管找到主机的主人; 六、主人暴露,被主管叫去喝茶、训斥、要求交出A片、要求潜规则、要求…… 七、主人仆街 八、黑暗,以下省略若干字 5楼你的回复在10楼,很长,我没有列在首页 以下是五楼回复 关于MAC地址,这东西之所以危险,是建立在通过它可以找到你主机的基础上的,只有在公司里,或者校园网里,MAC地址才会成为问题,因为只有那种 环境下电脑数量、类型和位置才是固定的,你在家上ADSL的话,你的MAC即便出去了也没关系,因为没人知道那个MAC是你的,你只要换一块网卡,就再也 没人可以通过它找到你了。 首先要说明的是——你“浏览”敏感网页是不会让人追查你的,因为你什么都没说,尤其是如果只是浏览网页连注册用户都不是的话,那除非网警镜像了所有 访问该网页的流量,否则抓不到你,抓到你又如何?你只是因为好奇点进来看看而已,that’s it. 但是在这个问题上你需要注意的是,清除你在本地的cookie,只要本地抓不到你的证据,你可以否认一切,更别提你还使用了代理。 关于你说的VPN逆向追踪,其实是IP逆向追踪的一种,但IP逆向追踪(分主动追踪和反应追踪两种)本身,就是一种效费比很低的行动,主要用在网站 类主机对抗DDOS类攻击上,是不会因为你看了某个网页而用到你身上的,而且这种技术需要很多条件来配合,比如反应追踪必须在攻击还在进行的时候就完成, 而主动追踪需要在受控网络经过的关键路由器上记录数据包,这样才能在反向追踪的时候通过这些数据包反向找到源地址,但这样就要付出存储和CPU的代价 (ISP做数据包记录是法律敏感性很高的事情,同时对ISP的数据处理能力和存储能力也有很高的要求),如果不是价值和敏感性极高的目标周围,没有人会采 用这样的措施来做逆向追踪,更不要提仅仅是追踪你这样一个仅仅浏览,却什么都没说,什么都没干的人了。 IP逆向追踪还有一个重要弱点就是,它需要太多的合作方,如果你用了一个超出行政管理权范围的代理或者VPN服务器,那么只要追踪方无法拿到服务商 保留的数据包信息,IP逆向追踪就将在这个超出行政管理权的地点中断——所以你的代理哪怕加密弱一点都没关系,但你一定要找个国外的! 如果你要隐藏你的MAC地址,最直接的办法就是在每次开机以后运行超级兔子之类的软件更改你的MAC地址(关机后失效),但在ADSL环境中,这是没有意义的,因为在追踪者的记录里没有你的MAC地址和你自然人的相关信息,只有公司环境才有这种对应关系。 最后我说一下因为敏感信息被追踪的实际可能流程—— 前提环境:监控者以一个网站的注册用户身份或者游客身份观察网页上的发言信息,择重要的发起追踪,而且监控者有追踪手段,比如他可以通过网站拿到发言者的IP地址—— 一、注册用户A在被监控论坛比如TX上发言,引起了监控者注意,监控者决定找到源地址; 二、监控者以官方身份向ICP索取IP地址,ICP如TX或者XL将发言者的IP提供给了官方监控者; 三、官方监控者通过IP地址区分是哪个电信服务商在提供的服务,然后发现是电信、铁通等中的一个; 四、官方监控者要求服务商也就是ISP查询这个IP地址的一切信息,并且提供物理地址和用户姓名; 五、官方找到了这个人,本地GA破门而入,收缴了电脑,带走了电脑前的使用者; 六、官方在电脑里找到了cookie等证据,使用者暴露; 七、使用者被喝茶,被潜规则,被爆菊花,被劳教,被收缴AV,被要求供出同谋……以下省略若干字 八、我们再也没有看到那个人—— 你使用代理和VPN的作用是,在步骤二和三之间制造一个断点,比如: 一、监控者在步骤二里得到的IP地址经查询在国外,比如德国,是某个VPN提供商的地址,监控者要求VPN供应商机房提供帮助,遭到拒绝,追踪至此断掉—— 二、监控者得到的IP地址不在国外,但是是国内某夜总会上网用的路由器的外层出口地址,GA破门而入的时候发现路由器在一个狭窄的机房里,机房左边 是个炮房,机房右边是个女厕所,主机机架边上的柜子里是大量廉价的卫生巾和避孕套——经检查该路由器被人开了后门,有一个端口被用来远程登录,然后用脚本 伪装成夜总会炮房的某台电脑的地址上了公网,然后这个后门被人发布在了CL上,发布的这个用户名已经不可考或者不存在,追踪至此中断—— 让你管好自己的Cookie是因为,这样你可以在步骤五和六之间制造一个断点,但问题是你如果到了哪一步,这就是你唯一能做的了,而且证据是可以伪造的——拷贝到你电脑里去就行。 这么说你是不是能够明白?我的意见是你关于MAC和IP逆向追踪的担心在你仅仅是浏览某些公开的“敏感”网页的时候是不需要存在的,you are fine. 修改MAC地址的方法可以用谷歌查到,很多教程;至于IP逆向追踪——Trust me, there’re nothing you can do if they do this to you. And, that’s too costly that people like you don’t need to worry about it. 负责任地说,你用过3个以上国外代理的话,很难再追查到你了,除非伟大的网警通过技术手段突破了你使用的所有代理,而且所有这些代理还都保持了为你转发的IP包记录并且交给了网警——你才可能因此暴露,但这种概率就太低了。 但是有一点我需要指出的是,如果你是付费的VPN用户,那么你用来付费的信用卡信息会被用来找到你,这个不可不防,因为银行对GA是透明的,而什么海外账户是VPN服务商的,在日积月累下并不难查,那么两边一对,就能定位到相当准确的一批人群头上。 你说的那些被跨省的管理员,可能有几个问题: 第一、国外H站一般都是盈利性的,那么管理员也是圈内人士,他们在这一行里混的时间长了,肯定会有QQ群之类的东西,CL也有,那东西对网监是绝对 透明的,相当一部分人都是这样暴露的,甚至可以说网警不是不知道他们存在,只是看了很久才去抓他们而已——只要有一个专项行动,网监就可以整合资源,很容 易把原先零散的信息汇集然后建立起逻辑联系,这样就会被抓到; 第二、H站只要有盈利行为,就会有资金流动,会有广告,这些线下或者准线下的活动很多都是在国内发生的,比如某个用户因为某件事情被抓到然后把网站 信息供了出来,你要知道国内网警不会看到一个国外的H站就去抓——他们怎么知道H站的管理员在哪里?归不归他们管?他们必然是接到了线下的线索立案了才会 启动侦察,如果你是说H站的话,就是这样,线下的leads才是罪魁祸首。 第三、国外H站有固定的服务器地址,这样就意味着这个地址可以被追踪,用简单的Trace Route命令就可以找到访问这个地址的最后几跳地址,如果网警使用一定的技术手段侵入比如倒数第一跳的服务器,通过嗅探器在管理员活动的时间段里复制一 批数据包,就很容易找到这个管理员的信息(如果他足够大意的话),技术上这是可能的,但我不认为这回事很常见的形态。 单纯网络上能找到的最多最多就是一个IP地址,也许还有信用卡信息,这是互联网技术的极限了,要找到个体人,必然是依赖线下资源,就我个人的意见来 说,我不认为这些倒霉的管理员是通过纯技术手段追踪到的,要想找到服务器里隐藏的任何文字或者明码信息,如果不是从国内下手的话,都必须依赖攻破本地服务 器或者在物理路径上截包,但前者需要技术手段,后者需要行政管辖权或者更高层的技术手段,为了H站那点破事儿这么干? I don’t think so.

阅读更多

经历数月的封锁后,互联网服务重返利比亚

原作者: 来源 After months of blackouts, Web access returns to Libya 译者 火凤凰evan (CNN) — If residents of a chaotic Tripoli were still awake in the early-morning hours Monday, they may have read this: (CNN)身处混乱的的黎波里的居民周一凌晨如果还没有睡着的话,他们或许已经读到下面的文字: “Welcome to all our brothers & sisters from inside Tripoli on Twitter… Internet returns to them first time in a long time! #Feb17 #Libya.” “欢迎来自的黎波里的兄弟姐妹…互联网与你们自二月17日一别之后再次回到你们身边!” The message on Twitter came from the National Front for the Salvation of Libya, an opposition group that has long spoken out against the regime of Moammar Gadhafi. 推特上的信息来自拯救利比亚全国阵线,这是一个长期以来一直反对卡扎菲政权的组织。 Internet service was, indeed, returning Monday to Tripoli and other parts of Libya. 实际上,的黎波里和利比亚其他城市均恢复了互联网服务。 In a digital age in which the free flow of online information is credited with everything from helping topple dictators to abetting riots, that could be taken as a signal of emerging freedom almost as strong as the rebel forces advancing on Gadhafi’s last stronghold.

阅读更多
  • 1
  • ……
  • 4
  • 5
  • 6
  • ……
  • 20

CDT/CDS今日重点

【CDT月度视频】十一月之声(2024)——“一路都被撞没了,估计一圈都没了”

【年终专题】“13条生命换不来1条热搜”……2024年度“每日一语”

【年终专题】“中文互联网上的内容每年都以断崖式的速度在锐减”……2024年度404文章

更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间