隐私

翻墙?隐私?今天聊聊VPN的那些事儿

三年前斯诺登泄密事件揭露的东西,从安全的角度看对互联网服务提供商来讲并没有太多的帮助,甚至可以说做的有些过火。同时也模糊了反恐政策的概念。而当新闻爆出像NSA的Vulcan数据库或者它的Diffie-Hellman策略时,任何一个网络隐私主义者看过了都会心中发颤。突然间似乎每个人都需要重新评估下某些网上用于保持隐私的工具——VPN。来源:http://www.freebuf.com/articles/network/106346.html参考来源:http://arstechnica.com/security/2016/06/aiming-for-anonymity-ars-assesses-the-state-of-vpns-in-2016/2/传统VPN简介VPN(虚拟专用网络),这款工具通常用于混淆用户的IP地址,或在用户进行WEB浏览时增加一层安全保护。它会把你的流量转到加密且安全的VPN服务器上。不同的人使用VPN的目的也不同,有些人可能是用它来改变自身的IP地址,这样就可以获取一些其他地域的媒体内容,或者能匿名下载一些东西。还有的人希望以此规避广告商的网络追踪,或者防止盗用WIFI后的负面影响,甚至只是为了在他们访问特定网站时隐藏真实的IP地址。然而VPN的质量也是参差不齐的。事实上某些存在问题的VPN会让用户的安全更加脆弱。某些VPN是禁用了torrent下载的,还有些会记录下信息,跟踪上网行为,或者按照当地的法律对数据进行保留。去年我开始尝试整理一份好的VPN列表,虽然网上已有不少类似的VPN清单,但是通常都充斥着附加内容链接,很难确认其准确性。这份VPN比较图表,里面概述了VPN业务流程、日志记录、服务配置和其他特性。但它存在矛盾策略,并误导读者,声明各类的服务是100%有效的。但其实大部分内容是从真实的VPN网站导入的,这就意味着可能会混入一些错误信息。几个月的研究后,笔者的尝试都失败了。所以现在笔者仍然不能推荐一组安全的VPN列表给大家。相反的是,研究结果刷新了笔者对目前VPN的三观。当涉及到日志记录的时候,评估可行性和验证准确性也不是件容易的事,所以,我觉得与其给大家一个简单的列表,还是提供一些指导方针更加靠谱,让大家自己了解在本年度哪些VPN是有效可用的。VPN不是用来匿名的关于VPN的一个常见的误读是:它们会给大家提供匿名功能,即使是针对民族主义者。但是,安全研究员Kenneth White表示:“如果政府对目标进行专门的监测追踪,VPN是不足以做到这一点的。”事实上,VPN声称的会给提供用户匿名性,是“不可行的,不负责的,或者两者兼备的”。DNSleaktest.com的站长Jeremy Campbell在邮件里告诉记者:“为了实现匿名去使用公共VPN是非常愚蠢而危险的,无论服务配置的有多么安全,匿名技术本身并没有在这里实现。VPN服务要求你信任他们,但匿名系统本身是没有这个属性的。”White没有坚持完全放弃VPN,但是他警告说它应该作为一个辅助工具,而不是一个隐私的解决方案,他表示:“相反,像专门的隐私工具如Tor浏览器之类的(里面可能包含了信用良好的VPN),那就是可以使用的。它们不仅实现了匿名化属性,而且浏览器已经进行了大量定制,以实现网络隐私的最大化(比如弱化了cookie、Flash、Java插件等特征)。”Tor分布式网络,会尝试在多个中继传输流量来实现匿名。但其实它也很难进行核实,没有人知道Tor这样是否能够获得百分百成功。Tor浏览器最近受到了美国国防部的瞩目,这只会强化这种担心。某些批评者认为,Tor会让人们更容易依赖过时版本的Firefox,但这些东西都不能保证是万无一失的。Johns Hopkins大学的密码学教授Matthew Green表示:“某些在俄罗斯出口节点的恶意Tor,实际上会偷偷修改二进制文件。所以,如果你不幸在Tor下载文件时碰巧遇到了这些节点,它们可能会将它转换成恶意软件。”尽管Green并没有听说过VPN发生过这样的事,但他指出这样的攻击是存在可能的。与多数VPN不同,Tor和Tor浏览器通常用于高风险的情况,工程师需要迅速修复安全漏洞,这样的方式可能不适用于所有的VPN。用VPN来BT下载安全吗?某些VPN提供商会禁用p2p,如果有必要还会把用户的名字给版权所有者。代表版权所有者的利益的,可能会取消惯犯的账户。希望使用VPN进行torrent下载和流媒体观看的亲们,可以寻找那些特殊的服务提供商(或者不保留日志),但是问题又来了,Campbell表示:“然而,我们并没有办法验证VPN提供商所说的话。大家必须依靠新闻报道和网上论坛的讨论等等,来判断服务提供商的声誉。”看来,必须时刻保持警惕才行。VPN可以“防御”广告追踪?尽管VPN能掩饰你的IP地址,但它不一定能保证你免受间谍广告和追踪的困扰。Campbell表示:“VPN提供的防广告追踪的技术可以忽略不计,因为IP掩盖是一个弱标志。网络广告更倾向于cookies、supercookies和浏览器指纹技术,这些东西VPN是无法进行保护的。”为了防止无处不在的广告跟踪,广告阻断器uBlock、uBlock origin,以及追踪阻断器PrivacyBadger或Disconnect会提供一定程度的保护。禁用JS代码,或者使用Firefox下的NoScript可以消除一些指纹。更高级的用户可以使用虚拟机或者沙箱浏览器。当然,Tor浏览器也能防止产生特定浏览器指纹。VPN让你更危险?用户使用VPN的是为了保护自身网络安全,特别是在处于公共WIFI之下的时候。GoGo被爆出使用了Youtube的伪造证书,这可能会泄露用户的流量,包括用户的Youtube密码。因为VPN建立了用户和VPN商服务器之间的通道,所以用户对于VPN提供商的信任非常重要。毕竟提供商能看到和记录你所有的流量,甚至可以更改你的流量内容。一个VPN的配置不当,黑客就可能直接访问你的本地局域网,这比别人在咖啡店网络下,嗅探你的流量更加可怕。“如果VPN服务供应商不老实的话,你只能自己做祈祷了。你得时刻担心是否会在本地局域网被人黑掉,若是使用了一个粗制滥造的VPN服务,很可能就会把自己推入虎口。”预共享密钥White提供了一个VPN的列表,在网上已有共享密钥发布:GoldenFrog、GFwVPN、VPNReactor、UnblockVPN、IBVPN、Astril、PureVPN、PrivateInternetAccess、TorGuard、IPVanish、NordicVPN、EarthVPN。“如果我知道了你正在使用的VPN预共享密钥,并且我控制了你所在WIFI的热点,那么就可以进行中间人攻击并且解密你的上网行为。也就是说,当黑客拥有这预共享密钥时,您的网络安全系数就降低了。”PPTP的代替品一些VPN还使用了老掉牙的的PPTP VPN协议,这在根本上就是不安全的。更好的选择包括IPSec(有人积极维护)、L2TP/IPSec、IKEv2以及OpenVPN等等。在上述的几个选项中,IPSec可以设置为不需要安装额外的软件,但有人认为这是故意破坏和削弱NSA(美国国家安全局)的力量。OpenVPN比它还要安全,但是搭建手法更加复杂,需要第三方软件的帮助,以及用户进行正确且复杂的配置。根据High-Tech Bridge最近的研究发现,SSL VPN中,有90%会使用不安全的或者过时的加密。而有77%使用了不安全的SSLv3(甚至SSLv2)协议,76%用了不可信的SSL证书(黑客可以更轻易的进行中间人攻击,拦截VPN连接中的流量),更有一大部分用的不安全的RSA密钥长度的签名,以及不安全的SHA-1签名。不管你信不信,其中还有10%存在心脏出血漏洞。数据保留和日志记录一些VPN会根据本国或当地的法律,进行日志信息保存。而且许多VPN服务提供商会记录大量信息,比如在特定的用户来连接时,是从哪里、从什么时候连上的,甚至还有他们做了哪些连接。甚至有些VPN服务提供商,日志量少时会记录下重要日志,比如连接的IP地址和用户名,以及内部路由使用的内部负载均衡和服务器维护。某些VPN服务提供商的日志记录可能会很快销毁,而其他的由于本地的相关法律,处理方式会有所不同。不管怎样日志里保存的信息都是足以破除用户匿名性的。仔细阅读服务条款会帮助你确定服务商日志维护保留的情况,并可以了解他们会如何使用收集到的信息。但是其中的真伪也很难验证。有人认为进行犯罪活动时VPN也会保护用户的身份,但人家美国政府已经与世界上数十个国家签署了司法互助条约了。泄露用户隐私即使用户已经连上了VPN服务器,但某些发出的包可能没有经过VPN通道进行通信,这就泄露了用户的隐私。Campbell表示:“从技术角度来讲,我认为最被低估的漏洞就是VPN软件客户端的网络信息泄露。严重的时候,它可能会危及用户的生命,许多网络安全和隐私社区已经对此漏洞进行了重点关注。”一些VPN服务提供商设置了规则,在用户出篓子之前,能阻止不安全的连接。比如你首次登入某个WIFI热点,或者从一个热点转入另一个的时候。其他服务商还会允许用户自己设置防火墙规则。2015年6月,罗马Sapienza大学和伦敦玛丽女王大学的研究人员测试了14款热门的商业VPN服务,他们发现了其中10个会泄露IP的数据,且都会遭受IPV6 DNS劫持攻击。虽然后期研究人员并没有全面复查他们是否修复了,但是也做了一些特别的测试,并发现情况有所改善。但是可能修复了问题后,还存在其他漏洞。伦敦玛丽女王大学的研究员GarethTyson博士表示:“我给大家的建议是,如果你担心被政府监控,你应该全方面使用Tor。”同样,这可能也是一个不完美的解决方案。虽然Tor浏览器提供匿名、规避审查和反监控追踪,但是它并不像VPN一样迅速。更糟糕的是,某些互联网服务提供商会拒绝Tor。营销宣传许多声称安全的VPN服务提供商,其实缺乏可信度。某些VPN服务提供商声明不会记录日志,接受比特币,浮夸地表示他们是军用、政府、NSA级别的加密。而且,VPN不仅仅会存在安全漏洞的问题,还可能是民族主义者的蜜罐,相反,那些事先声明他们的威胁模型,讲清楚能保护的和不能提供保护VPN服务提供商,可能更值得信任。阅读服务条款有时能给用户一个清晰的认识。比如2015年,免费的以色列VPN Hola被发现将用户带宽出售给Luminati VPN。那些想要隐藏IP地址的用户不知不觉就变成了VPN的出口节点和终点(暴露了自己的IP地址,混入了别人的流量)。直到8chan留言板运营商 Fredrick Brennan说,直到Hola用户在不知不觉中被利用来攻击他的网站后,才更新了自己的FAQ。如何寻找可信的VPN看到上面所有的预防措施和VPN说明了吧,靠它们去找可信的VPN靠谱么?VPN服务提供商表示购者自慎。某家VPN服务提供商是否使用了最新的协议,该公司的背景和声誉如何,服务条款是否容易理解,这些VPN 到底能防护什么和未能照顾到什么,它对于信息披露的细节表达了足够诚实吗?抛开这些因素,Campbell建议大家看看公司的行为,他说这可能会显示出一个服务商是否关心客户的隐私。这三年来,他自己也在寻找一个清晰明确的隐私政策,而不是只有样板政策的公司。Campbell警告道:“在斯诺登泄密事件后,过去几年已有了很多廉价的VPN服务提供商。这些新入行的VPN服务提供商在安全方面做的不是很好。许多情况,他们想把部分服务器的主机业务转为带宽业务,但是他们完全没有安全方面的经验。”作为最后一个预防措施,Campbell也在寻找不通过第三方系统捕获用户敏感数据的VPN,他表示:“任何尊重客户隐私的VPN服务提供商,都不会去触碰与客户交互的系统,比如第三方聊天脚本、支持票务系统、博客评论等等。用户通常会在请求包里提交非常敏感的数据,但是他们并不一定清楚他们的VPN服务提供商是否单独监控了流量系统。”自己动手,丰衣足食根据你的隐私需求,一个满意的预解决方案可能并不存在。如果是这样的话,懂技术的用户可以自己搭建VPN。如果你的方案里更在意速度,你可以在DigitalOcean、Amazon主机、Vultur,、OVH或者其他可靠的主机商的VPS运行Streisand。Streisand是在土耳其推特全面被封杀后推出的,它的目的是为了帮助用户绕过互联网封锁。Streisand的Github页面称:“Streisand可以在服务器上搭建L2TP/IPsec、OpenConnect、OpenSSH、OpenVPN、Shadowsocks、sslh、Stunnel,以及Tor桥,它还会为这些服务生成自定义配置指令。”其缔造者Joshua Lund告诉记者,Streisand的目标之一就是使得安装过程尽可能简单。他设想这个开源服务能够成长为一个“集中式知识存储库”,成为一个自动化升级最佳实践的社区。Lund 在邮件中告诉记者:“Streisand将几个最困难的步骤实现了自动化,大大提升了安全性。比如Streisand配置OpenVPN时会启用TLS认证(又名HMAC防火墙)”,生成了一个自定义组的Diffie-Hellman参数,启用了一个更强大的多密钥校验机制(AES-256/SHA-256替代了原来默认的Blowfish/SHA1)。许多用户在手动配置时,其实会跳过这些选择性的耗时步奏。事实上,大多数商业VPN服务商并不启用这些OpenVPN配置。Streisand还有个好处在于,当自动安全更新和安装过程后,约十分钟就能让用户得到一个全新的服务。相比商业VPN服务商,Streisand也不太可能成为审查、DDoS或者流媒体封锁的目标。像大多数VPN一样,Streisand会不同。在2016年考察这些产品后,我们只得到一条准则:寻找VPN决定于你使用它的第一目的。寻求对自身网络安全进行保护的用户,与那些想隐藏自己真实地址的用户目的是不同的。意识到VPN的局限性和具体的弱点缺陷,至少可以帮助你做出一个更明智的复杂决定。翻墙技术博客订阅地址及社交帐号

阅读更多

使用 GitHub 的几种方式——兼谈安全性和隐匿性的经验

来源:https://program-think.blogspot.com/2016/03/GitHub-Security-Tips.html文章目录★本文面向哪些读者?★本文的必要性及重要性★阅读本文的前提——需要先了解哪些知识?★使用 GitHub 的两种方式★Client 方式支持哪些协议?★上述几种客户端协议的优缺点对比★如何用 SSH 方式操作 GitHub 的项目?★使用代理的必要性/重要性★针对不同的 Git 使用方式,如何配置代理?★其它注意事项  先告诉大伙儿一个好消息:  前几天俺把《太子党关系网络》开源到 GitHub 之后,头两天就获得大量网友的关注,以至于俺这个项目至少连续两天排到了 GitHub 的“每日 Trending”(这个排名汇总的是:每一天全球关注程度最高的那几个项目)  非常感谢捧场的 GitHub 用户!!!★本文面向哪些读者?  俺在博客上不止一次提到过,GitHub 是可以【免翻墙】使用的,而且这个网站/公司的管理层,相对来说还是比较靠谱的,不会轻易向咱们朝廷妥协。  因此,GitHub 非常适合用来搞一些敏感的活动(比如:提供翻墙工具、对朝廷/权贵的爆料、等等)  比如俺就利用 GitHub 开源了《太子党关系网络》,并提供下载。  如果你想用 GitHub 这个平台开发翻墙工具,本文值得你参考。  亦或者你也想效仿俺,在 GitHub 上进行反党活动/反政府活动,那本文更加值得你参考。★本文的必要性及重要性  先举个反面教材,来说明本文的必要性及重要性。  前些年有一款很知名的翻墙工具叫做“Shadowsocks”。这个工具是开源在 GitHub 上的,用的人很多。  但是该项目的作者 clowwindy 非常缺乏安全意识,【没有】做好身份的隐匿。结果捏,大约半年前,项目作者 clowwindy 被六扇门叫去喝茶。期间估计受到相当程度威胁恐吓,以至于 clowwindy 后来把 GitHub 上的项目关闭了。★阅读本文的前提——需要先了解哪些知识?  俺假定本文的读者已经了解如下几个方面的知识:版本管理系统的基本概念Git 的基本概念GitHub 的基本使用(至少已经注册过帐号)Git 客户端的基本使用Linux 或 Mac OS 命令行的基本使用常见翻墙工具的基本使用(不懂的同学,可以看俺博客上的各种教程)TOR 的使用(本文会重点聊到 TOR,俺写的 FAQ 在“这里”)★使用 GitHub 的两种方式◇B/S 方式——基于浏览器  这是最基本的使用方式。只要你注册过 GitHub 帐号,自然就知道如何用浏览器访问它。  这种基于浏览器的方式,有时候也称之为“Web 方式”。◇C/S 方式——基于客户端软件  除了浏览器方式,你还可以通过 Git 客户端软件来操作 GitHub 上的代码仓库。这种方式称之为“客户端软件方式”(为了打字省力,以下简称“Client 方式”)◇这两种方式的对比  B/S 方式最大的好处是:无需安装额外的软件(通常而言,你的系统中已经有默认的浏览器可供使用)。  B/S 方式的另一个好处是:GitHub 几乎所有的功能,都可以在浏览器界面上搞定。  但是 B/S 方式也有如下一些缺点:  1. 安全性  如果你经常在某个系统的某个浏览器上操作你的 GitHub 帐号。一旦该系统被入侵,很可能导致你的 GitHub 帐号也被入侵。  2. 易用性  有些大批量的操作,在 Web 界面上不太好搞。比如俺前几天上线的项目“太子党关系网络”,里面涉及到上千个文件(包括文本文件,图片文件)。如果通过 Web 界面进行批量操作(添加、删除、改名),就会很麻烦。  相比之下,“Client 方式”正好可以弥补“Web 方式”的这几个缺点。至于如何弥补,下面会聊到。★Client 方式支持哪些协议?  当你通过“client 方式”访问 GitHub 的服务器,可以走几种不同的协议。下面俺简要聊聊。◇Git 协议  此种协议,顾名思义,是 Git 专有的协议。除了用于 Git 客户端与服务端之间的通讯,其它场合用不到它。  注意:Git 协议本身是明文的(无加密)。◇HTTP/HTTPS 协议  HTTP 协议,大伙儿应该都熟悉,俺就不浪费口水了。  HTTPS 协议,通俗地说就是:“加密的 HTTP”。如今很多网站都开始支持 HTTPS(包括俺博客所在的 Blogspot,从去年10月也开始支持 HTTPS)。大伙儿对它应该也不陌生。◇SSH 协议  这个协议,对技术菜鸟可能比较陌生。这玩意儿,早先是 Unix 系统管理员用来远程管理服务器的。  SSH 是“Secure Shell”的缩写。显然,这玩意儿是加密的。★上述几种客户端协议的优缺点对比◇Git 协议  前面说了,此协议【没有】加密。如果你关注安全性,不应该用它。  首先,明文传输的协议,很容易遭受“旁路嗅探”(sniffer)——导致你丧失数据的【保密性】;  其次,明文传输的协议,很容易在传输过程中被修改(恶意篡改)——导致你丧失数据的【完整性】。◇HTTP 协议  明文的 HTTP 协议,同样【不】应该使用。理由同上,不再罗嗦。◇HTTPS 协议  HTTPS 是加密协议,避免了前两个的弊端。  它还有如下几个优点:  1

阅读更多

公司安全部门通知:“百度浏览器过度收集用户隐私信息,请在任何情况下都避免使用”

来源:http://www.v2ex.com/t/263898?r=flied文中提到的国外百度安全问题技术细节:https://citizenlab.org/2016/02/privacy-security-issues-baidu-browser/今早整个中国区收到公司总部安全部门经理的邮件,要求停止使用百度浏览器。邮件部分原文如下:It has recently come to my attention that the Baidu Browser is collecting excessive personal information and transmitting it back to Baidu. While many browsers such as Google Chrome collect data, they generally do it anonymously or allow the user to opt-out.

阅读更多

最怕,是没有规则

来源:https://kenengba.com/post/3400.html数学的世界里,充满了规则和推理。现实世界里,买东西要给钱,过马路要等绿灯,也充满了规则。然而,并不是每个人都按规则出牌。最近任志强因为批评「媒体姓党」而被删掉新浪和腾讯微博,随后被一大波姓党的媒体批判,气势之大,50年来,难得一见。今天我不是要为这位网红说话,他肯定不缺一个为他说话的人,但在一个生而平等的世界里,我们理应捍卫每个人说话的权利。我今天,为自己说话。小李的故事小李不是一个演员,没拿过奥斯卡,他是一个小学二年级的学生。小江不是新闻工作者,他是小学三年级的学生。有一天,小江把正在走路上学的小李拦住,揍了一顿,小李哭着问:「你为什么揍我?」「因为你瞅我了!」第二天,小李远远看到小江,就把头低下,一直避免眼神接触,但小江还是把小李拦住,又揍了一顿,小李哭着问:「你为什么又揍我?」「因为你穿了蓝色的裤子!」第三天,小李穿了一条红色裤子,一路戴着墨镜上学,小江走了过来,又把小李打了一顿。「你为什么还是揍我?」「我讨厌穿红色裤子的人!」小李想,我让我爸开车送我到学校,应该就不怕被揍了吧?小李爸爸开着车送小李上学,谁知途中遇到碰瓷,一看原来是小江,小江不仅讹了500元,还把小李和小李父亲也揍了一顿。「你为什么揍我们?」「我讨厌有雨刷的车!」小李终于受不了每天被小江欺负,让父亲给他转学,搬到了另外一个镇上。而小江,把揍人的目标换成了小董,董先生不是公务员,是一名小学三年级的学生。小丑的故事诺兰的《蝙蝠侠:黑暗骑士》是一部好电影,里面有几句台词我印象特别深刻,大致是这样的。蝙蝠侠在打击罪恶时,总能摸清坏人的思路和目的,对手可能是为了钱、为了做实验、为了报仇等,依据这些目的,他总能顺藤摸瓜找到敌人的藏身处,一举消灭(逮捕到警察局)。而当他遇到小丑时,他发现他根本摸不清小丑的套路,小丑出牌从来没有规则 — 也没有目的 — 如果有,那就是没有目的地制造混乱。小丑和蝙蝠侠,可以说是硬币的两面,一正一邪、一个行事有规则,另一个,则毫无底线。所以蝙蝠侠系列电影和漫画里,小丑一直是蝙蝠侠最难对付的敌人,即便到了年迈的时候,小丑依然从疯人院走出来,肆意破坏,制造混乱。博客的故事2006 年,我开始在 blogspot 上博客,我很担心有一天它无法正常访问。后来,这一天来了。2007 年,我买了一个空间、注册了 kenengba.com ,开始写独立博客。写了几个月后,我收到了第一次删帖通知,我删了。因为不删,我的网站可能被拔线。2007 年下半年的某一天,网站服务商将我的博客停掉,说因为我的某些内容,整台服务器被搬走了。幸好,我每天都有备份数据。2008 年 7 月,我接到电话问我是不是「可能吧」站长,我心里窃喜,以为有人要投广告。谁知,对方是管理部门,要求我删帖。我也删了。2009 年年初,我正在北京的一个酒店和一个女孩睡着,还没睡醒就被电话吵醒,依然是 2008 年 7 月那个电话,还是那个人的声音 — 他 — 显然没换工作,他催我快点操作,因为他领导很着急,我眯了两眼后,也按命令删了。2009 年年底,「可能吧」服务器在北京,服务器管理员 P 同学给我发来邮件,让我删 9 篇文章,我不想删,我将服务器搬到了美国。2010 年 3 月 23 日,「可能吧」无法在国内访问,直到现在。有人我问怕不怕,我怕。我怕的不是我自己在说话过程中受伤,而是我爱的人被误伤。所以第一次删帖后,我将那些我认为可能比较敏感的词语,在中间插入了特殊字符,以为可以躲过追踪;第二次删帖后,我开始掂量我准备写的话题,是不是真的要写;第三次删帖后,我根本无法摸清帖子被删除的理由;第四次删帖后,我对规则依然一无所知。所以,后来「可能吧」像小李那样,搬离了那个小镇。苹果与 Google 的故事两周前,苹果 CEO Tim Cook 公开发表言论,拒绝为 FBI 开发能方便 FBI 解锁 iPhone 的工具,具体是可以让其无限次无延迟暴力破解密码。FBI 的理由是,这对反恐有好处,如果不能解开那些恐怖分子的 iPhone,可能美国将面临更多恐怖袭击。而苹果的理由是,用户的隐私应该被保护,强迫公司破解用户手机会侵犯用户隐私。Tim Cook 的言论发表后,硅谷的 CEO 们纷纷战队表示支持。这时肯定会有人挖出两条新闻出来质疑美国互联网公司的双重标准。Telegram、Twitter 等公司删掉了恐怖组织 ISIS 的相关帐号。苹果、Google 等公司每年都会按照各国政府的要求,删除相应的信息,或将某些用户信息递交给政府调查部门。第一件事中,实际上 Telegram 删掉的是那些在网上公开的宣传恐怖主义的 Channel,而那些使用 Telegram 私聊的恐怖分子的帐号并没有被删除。Twitter 也是如此,被删掉的是那些公开的恐怖分子账户。因为:美国的法律禁止恐怖主义科技公司按照用户协议,保护用户隐私第二件事。实际上,Google、苹果、微软、Facebook 等公司每年都会发布「透明度报告」,公布各国政府要求删除的条目数量、获取的用户信息数量等。各国的法律不尽相同,所以有些内容在国家 A 被删除,可能在国家 B 还存在。这就是规则。有人可能会问,他们这不是给政府提供用户的隐私么?哪里有底线,哪里有规则可言?依「法」提供特定信息和依据「有关部门」要求提供特定信息,是两码事。依「法」提供特定信息并不代表敞开大门让政府随意获取信息,而是按规则披露,这些规则,在用户首次使用产品时,也给用户做了展示。规则的存在,还让互联网公司有权不为政府提供便利,就像苹果那样。因为这样的便利一旦存在,它将不仅仅被用于反恐,另一方面,用户隐私是互联网公司的生存根本。但不提供便利不代表不依法提供特定信息,这依然是两码事。你我身边的故事说到底,这个世界需要规则。如果你定义了一个规则,让每个人都可以说话,那就不要剥夺他人说话的权利。如果没有规则,或定了规则却凌驾在规则之上,甚至,为了自己的欲望,随意修改规则并且同时当球员和裁判员,世界将没有秩序可言,那时,人人自危,仿佛历史倒退半个世纪。如果没有规则,我们看到的世界将是:那些不听话的大 V 肯定被整,可能被关小黑屋一星期,可能被朝阳群众举报嫖娼并在电视上道歉,甚至,被关掉微博并让所有同姓的媒体一起批判。如果没有规则,即使你派上千兵万马,也只是制造一时间的磅礴气势;如果没有规则,即使你每天在每台电视上投放半小时的蓝色背景广告,也不能让这个世界充满和谐;如果没有规则,朝阳群众,将不仅仅出现在北京。世界需要清晰的规则,这是你我,能安全生活在一个地方的根本。翻墙技术博客订阅地址及社交帐号

阅读更多

研究发现中国电信和联通会向网络注入虚假内容

来源: http://www.solidot.org/story?sid=47287以色列海法理工学院和国防承包商Rafael的研究人员在预印本网站arxiv发表论文(PDF),指出中国的核心网络运营商中国电信和中国联通会利用带外注入的方法注入虚假内容。注入广告等内容的行为一般发生在边缘ISP——即直接向用户提供网络接入服务的ISP,但研究人员利用netsniff-ng工具捕捉和分析1.5PB数据之后发现,核心网络运营商也会这么做。伪造的非用户请求内容是通过带外的方式注入到流量中,类似国家级审查系统,但不是为了政治目的而是出于商业目的。虚假内容的注入持续时间通常只有2到3天,研究人员承认可能难以重现。所谓的带外注入是指网络运营商被动监视了所有流量,在需要改变数据包的内容时,伪造的数据包会伪装成有效的数据包注入到服务器和客户端之间的连接,抢在有效数据包之前传输到客户端,这时候客户端会接受伪造的包而抛弃有效的数据包。这种攻击方法只适用于非加密内容,使用HTTPS可以防止此类攻击。在研究中,研究人员观察到的注入虚假内容现象主要发生在中国,发生在两个最大的亚洲基础网络运营商(电信和联通)的自治系统内,注入的内容除了广告还涉及到恶意程序。注入的广告域名包括了阿里巴巴的is.alicdn.com,jiathis.com等;指向域名wa.kuwo.cn的JS脚本注入被认为是恶意的;重定向链接使用了网址www.baidu.com/?tn=95112007_hao_pg,推荐标签是hao123.com——一个众所周知的广告软件关联网站。翻墙技术博客订阅地址及社交帐号

阅读更多

CDT/CDS今日重点

【CDT月度视频】十一月之声(2024)——“一路都被撞没了,估计一圈都没了”

【年终专题】“13条生命换不来1条热搜”……2024年度“每日一语”

【年终专题】“中文互联网上的内容每年都以断崖式的速度在锐减”……2024年度404文章

更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间