2011年12月31日星期六

GR Starred: 霍金寻找私人助手

著名的英国物理学家正在寻找私人助手。虽然薪水不高,但要求却不低。 霍金(Stephen Hawking)在寻找一位能开发和维护电子语音系统的助手,必须能熟练使用电脑,愿意旅行,能在没有说明书和技术支持的情况下修理电子设备。霍金患有肌萎缩性脊髓侧索硬化症,这种疾病让他几乎完全瘫痪。他在1985年因肺炎动了气管切开术后就完全失去说话能力,利用安装在轮椅上的计算机合成语音与外界交流。单调的机器语音差不多和霍金一样著名。霍金官方网站的招聘说明称,助理的薪水是每年2.5万英镑(约合24万人民币)。







from Solidot http://solidot.org/article.pl?sid=11/12/30/1045239&from=rss

2011年12月30日星期五

GR Starred: 政府网站泄漏大量用户信息

《南方日报》报导,广东省公安厅出入境政务服务网的网上申请数据遭泄露,由于该功能的权限控制错误,导致普通用户可以绕过登录环节,直接访问后台查看数据,在该网站提交过网上申请的用户均遭到泄密。泄漏的信息包括真实姓名、护照号码、港澳通行证号码,申请日期、状态,甚至还可以看到用户出生年月、邮寄地址、邮编、电话、证件有效期、出入事由等。广东省公安厅通过官方微博@平安南粤证实了信息泄露的问题,称网站漏洞现已修补完毕。







from Solidot http://internet.solidot.org/article.pl?sid=11/12/30/0216251&from=rss

GR Starred: 从今天起,我们关心粮食和蔬菜

这一年,镉米、地沟油、瘦肉精……我们的食品安全阵地不断报警;这一年,严打、入刑,已近陌生的词汇,频频现身于食品领域;这一年,吃好俨然成了一项福利,公司、政府或高调、或低调,四处择地种菜。2011,这是一个食品安全元年——“还能吃什么?”俨然已成国问。

from 南方周末-热点新闻 http://www.infzm.com/content/67049

GR Starred: 中产之困

国际上,中产阶层的达标线或者用量化的家庭收入来衡量,或者按照职业性质划分。而在中国,奔向中产的道路障碍重重。有些先行者被迫选择在美国当房东,在他乡圆自己的中产之梦。

from 南方周末-热点新闻 http://www.infzm.com/content/67093

GR Starred: 何处是“天堂”——一位河南返乡农民工有话说

当城市不断爆出食品危机之后,不知何时开始,城市人重新爱上了农村——专挑农村来的土菜土货,或干脆去农村租地种菜,在他们眼中,乡村或是安全食品的天堂。但河南省邓州市一个普通农民有话要说。

from 南方周末-热点新闻 http://www.infzm.com/content/67076

GR Starred: 谁动了我的隐私 - 隐私风险初探

原文:http://www.jinbo123.com/2592.html

现在各大网站发生帐号泄密事情,你还相信你的密码是安全的吗?我们上网还安全吗?我们应注意什么呢?,如何安全上网?这些什么都有待我们去学习及研究。现在转发80sec的一篇文章给大家看看,《谁动了我的隐私 ― 隐私风险初探》,希望你能对互联网安全的一些简单认识,全文如下:

[目录]
0×00 前言
0×01 隐私安全初探
0×02 "云"存储隐私风险
0×03 移动终端隐私风险
0×04 隐私威胁对抗
0×05 勺之终极奥义
0×06 结语

当你凝视着深渊,深渊也在凝视着你。 ― 尼采

0×00 前言
这篇小文很早就有了想法,但由于自己的种种问题,未能完成,就这最近发生的一些事情,有了整理和反省的决心,决定一鼓作气完成他,给自己,给他人一些借鉴。

自从信息时代的爆发,各种服务扑天盖地袭来,人们越来越接受将自己的一切置于这个庞大、新奇、无所不能的互联网之上,各种服务技术已极快的速度更新 换代、更多的生活支持,让人惊奇的同时也让人越来越依赖这个虚拟的世界。老一代的网民也许感触最深,就拿自己来说吧(当然我不是资深网民),email已 经不知更新了几代,从最初的SinaMail,到163Mail邮箱再到现在的Gmail;个人信息展现平台,从个人主页,到博客,再到现在的微博;数码 设备,从最初的网吧,到自己的第一台PC,到一屋子电脑、本子,再到各种智能化mobile设备;数码生活无时无刻的在改变,变的简单。有本书是这样说 的:人类进步的过程,就是越来越不加思考,已最小的代价去做某件事。互联网真的让人进步了吗?在我看来,人类进步的过程倒更像是一个退化的过程。

0×01 隐私安全初探
有点扯远了,回到主题。在互联网让我们"进步"的同时,我们每个人的各种隐私开始逐渐的暴漏在这个平台之上,恐怖的是人们已经越来越信任以及依赖互联网, 更恐怖的是我们已经不在可以很好的控制他们。在利益和不正常的目的趋使下,互联网的险恶不亚于现实社会。很多网民也许会认为我言过了,我只是想说,未见 到,不代表其未发生,互联网隐私问题上,还是要多多保持唯心的态度,举些例子吧:

1)拖库风险
这个词语在几年前也许还较为陌生,但最近一两年开始,已经算是人尽皆知了,黑客入侵有价值的网络社区,down掉会员库,建立庞大的社会工程密码库,或者根据社区性质建立人际关系库,做个分类,技术人员类,站长类,设计类乃至公司管理高层类。。。
它的价值除了密码和人际关系外,还可以挖掘一些更有意思的东西,比如统计密码习惯,密码提示问题答案,生日,手机,真实姓名,身份证号码,常用IP,住址,IM,信用卡号信息等等。
总之,一份库的价值,不在于做到做不到,而在于想的想不到。

2)电子邮件风险
国内外有很多开放的电子邮件系统,其邮件转发与登陆IP提示机制均不完善,在加上用户密码的万年不变,导致邮件的自动转发,代收等劫持攻击变的难以防范与 察觉(想让用户改密码,必须得让他们意识到自己帐户已经出现安全问题,但攻击者不会给你这个机会)。公司内部邮件系统也许有访问控制的保护,但依然阻止不 了转发机制,即使做到了定期检测员工邮箱转发或者干脆杜绝此类行为,但你也应该意识到,拿到内网可以访问mail系统的某个节点也是轻而易举的事情。
转发监听只是邮件攻击的一个方面,你的邮件系统是否可以伪造发件人,直接利用员工的信任关系进行客户端攻击呢,想必这个代价更低效果更佳显著吧。

3)即时通信风险
IM即时通信软件给人们的交流带来了新的体验,人们越来越接受并且依赖这个方式,前几天出现的大面积msn盗号诈骗事件已经说明一切,遇到此类情况还是当 面或者电话确认一下吧,不要因小失大。也不要把你的家人全都带到网上,因为你经历了互联网洗礼你的你可以识别这种欺诈,而你的家人未必。

4)电子商务风险
PS:这部分内容没有办法给出实际的证明,但相信无风不起浪,还是多保持保持唯心吧,你也可以直接跳过这部分内容,直接无视好了。
电子商务安全问题给用户带来的不必多说,今年甚至在早些时候某支付产品被大面积小额转帐事件已经表明在利益的引诱下什么事情都可能发生,法律已经组织不了 他们。然而,现在还有针对电子商务更为猥琐的攻击,订单劫持,网络商城中的每笔订单未必是按照平台逻辑那样走下去,也许中间有那么几行代码,几个程序给终 止掉,交给了其他物流及商品提供方,而用户和这个平台却浑然不知呢?

5)服务商风险
天下没有靠谱的服务提供商,或多或少都会存在一些不尽人意的地方,对安全理解方式的差异,都会在一些安全事件中成为决定性因素。服务商究竟会投入多少代价 来保护用户的隐私,以及保护隐私的出发点真的是为了用户么?比如规范这个东西,服务商会用自己的方式确定资源的所属者,用规范来进行管理约束,但你是否有 想过,这所谓的规范会把真正的所有者权益拒之门外?你们所谓的规范是否在起反面效果,被他人利用?
而服务商你们是否有所察觉,你们所掌握的大量用户隐私,是否是从你们内部问题而泄漏或者交易出去的?猎头模式也许就是个很好的例子吧。

黑客拿到用户隐私(比如邮箱,手机,IM,密码等)后,就会开始对目标的探索。其实现在的用户很聪明,应该是安全事件和新闻的功劳,从让人们知道不 能轻易接陌生人传来的文件,到现在不要在多处使用统一密码,比如社区级,Email级,QQ级,电商/网银级等等,聪明的用户不用多说就会给自己的隐私设 定多个安全等级,但这对大部分网民来说应该还要继续加油吧,笑~因为如果不是与互联网行业以及安全相关领域,还不能很好的做到这一点,即使是安全人员,也 会犯很勺的错误,哭~

必须要承认的一点就是密码早就已经不是可靠的认证因素了(邮箱也快了),我们不提各种密码库这个最直接的方法,简单的转个弯:密码提示问题答案,密码保护邮箱,这两个基本等同于密码的东西,就算你的密码已经可以和达芬奇般的相媲美了,但这其他的关联因素你有考虑到么?

做为用户的你是否会如实的使用"我的生日是那天","我的父亲叫什么","我的大学叫什么"此类问题?你是否会在你键盘上很惬意的用键盘区域组合做为提示问题?你是否密码做到了独立,而密码提示问题、邮箱却没有?你是否被自己杂乱无章的密码保护邮箱关系搞晕?

而服务提供商是否想到了,用密码提示问题取回/重置密码的用户并非是真正的所有者在操作?自己的会员库是否已经在产业链中满天飞而自己还在夸夸其谈 自己的安全?你是否会考虑到自己资源有效利用而不对用户进行有效的确认回收资源?你的隐私安全保障系统真的靠谱吗?用户合法认证后就不在考虑隐私安全问 题?

想说的太多,做为用户和服务商对安全都有很多要反思的地方。一个被"专家","安全人员"一直推荐强大密码来保障安全的方法,都会因为自己和他人很多因素所导致的问题而变的不堪一击甚至毫无意义。

好了,该醒醒了,不要只拿软件生成的随机高强度密码来保护自己的隐私了。

0×02 "云"存储隐私风险
由于"云"时代的到来,用户的隐私更是被传递到了"天空"中的每一个角落,在用户还在尽力对抗传统隐私保护的同时,"云"所带来的隐私泄漏问题已经拉开序幕,而且较结果来说,"云"带来的隐患更为致命。

DropBox开辟了一个数据存储新的时代,使用户的数据保管,使用更加灵活与安全。曾经也有过类似产品,但由于"云"概念的推动,加上由于它的成 功,使国内外更多打着"云"存储旗号的产品扑天盖地而来,更为迅速的占领PC,mobile,pad设备,一副势不可挡的架势,但扪心自问,你们真的准备 好了吗?

当用户蜂拥而至时,是否考虑到了数据相互间访问控制问题,是否真的做到位了?
多平台的客户端,是否有仔细研究过他们的安全风险差异?

移动平台的用户可能更多时候会暴漏在公共网络或不安全的WIFI环境中,这些用户更容易使用移动日程,或即使备份联系人,短信,邮件内容等信息同步到"云"平台,这样与传统的文件存储截然不同,安全更是上升了一个等级,更是与用户个人隐私息息相关。

用户对于"云"的存储服务来说,照片、视频、文档等数据除了分享存储外,还有一个重要的需求就是备份。备份数据对于用户的意义是极为重要的,轻则为 市面上少见的资源,重则个人、企业机密数据。这都源自我们对这个新生体验的信任,以及传统方式的怀疑,毕竟云确实很好保障了用户数据的可用性。黑客在传统 隐私攻击结束后,利用掌握的用户资源,对可能存在的云服务在次进行扫荡,比如Dropbox,Evernote,Picasa,SAE,Icloud等各 种云服务,相信那结果会另你我都意向不到,泄漏只是结果之一,还有更糟糕的结果就是篡改。我想,是时候好好整理我们七零八落的资源了。

吐槽一些个人对云存储隐私泄漏方面的担忧,不管它是多么的神秘,多么的强大,也逃不过"木桶"命运,它始终都会有块短板在那里,也许是整个认证流程 机制,也许是传输机制,也许是用户隔离机制,也许是服务器层面安全,也许是应用层安全问题。"云"至今还是一个起步摸索过程,还有很多未遇到的问题,所以 很多解决方案也略显幼稚,旧问题还未解决,新挑战已经到来,要如何面对?

详细的云安全会在剑心近期的一篇文章中详细解说,拭目以待。

0×03 移动终端隐私风险
随身携带你的隐私跑来跑去听起来是见很酷的事情,放在哪里都不如放在身边安心,加上现在智能手机的牛逼化,它已然成为日常生活中必不可少的设备,真的有那 么一天移动设备消失了,也许我们连如何出行都会忘记。人类进步的另个体现就是越来越便捷的去做事情,曾经要回到家里,坐到电脑面前来处理的事情现在很多都 可以随时随地的在移动终端上完成,这是我认为移动终端成为未来主导趋势的主要原因。

由于国内的优良风气,移动设备不越狱,不root,不装一堆的破解软件,不刷机似乎都是很逊的事情。但不要忘记,所谓的越狱,不过是对你设备上的系 统进行localroot的操作,我们将手机系统的安全机制主动打破。历史上就出过利用IOS上安装openssh默认密码盗窃用户短信,以及 android上电子市场恶意应用收集用户设备信息,恶意应用吸费等安全先例。我自己在闲暇时间也在研究比如通过改掉用户通讯录达到欺骗;以及短信在发送 接收时是否可以先进行替换、截取和阻断等操作,威胁目前的手机验证机制;甚至电话进来时我是否可以获取触发信号,启动个小录音程序,然后发给远方的某个孩 纸。。。做这些是因为窃取用户信息等攻击只能说明目前移动终端的攻击还不成熟,黑客还在摸索阶段,但做为安全人员,我们不得不先行一步,预知可能会出现的 攻击。
(很多灵感来自目前的帐户手机验证机制,这个机制真的安全了吗?智能手机上我是抱怀疑态度的。)

LBS的泛滥让人们找到了新的乐趣,主动将地理位置和活动信息等进行分享,不说已经处于线上的信息,单单是这个功能就让人毛骨悚然。定位信息攻击现 在还没有成型,但可以展望一下它会给我们带来的麻烦。各种移动设备会通过GPS,WIFI,3G,A-GPS等手段获取用户当前的地理位置信息,在我了解 的国内某款带有定位功能的应用,它会将你的地理位置信息已POST方式发送包括你地理信息的数据流传回服务器,然后返回同样是数据流形式的数据文件,程序 展现你附近的好友,整个流程都是明文HTTP的。假如数据传输格式已透明,我将北京按100平米大小的区域在地图上切块,然后得到经纬度信息对全北京的经 纬度范围进行遍历,那我可以知道每个使用此款应用的人所处位置,自然想遍历某一个人的位置也有了可能。当我想一些流氓推广也许会涉足的更早一些:)

谁会保证这种服务商的应用和接口安全?谁又会保证我们越狱,root过的设备不存在恶意收集地理信息的风险?谁又会保证我们的通话、短信是真实的?现在想的应该都是占有市场与捞钱吧。。。

越是与我们生活贴近的东西,越要提高警惕。

0×04 隐私威胁对抗
隐私安全的本质就是两个对象相互信任问题,从用户角度:我相信自己的习惯,我也相信服务商的努力;从服务商角度:我信任自己目前的安全保障手段,我也信任 用户会重视好自己的隐私保护。一旦用户和服务商乃至他们自己出现相互信任的情况,那隐私安全问题就会接踵而来,怀疑才是安全进步的根本。

如果想最大化的保障自己的隐私,不管是新步入互联网的新兵,还是在网上摸爬滚打了几年的老兵,都要开始对自己一系列的应用帐号体系进行威胁建模。可 以试想自己所有的认证都是不安全的,那么每个认证节点的沦陷它都会导致什么结果?会不会像多米诺骨牌一样引起连锁反应,导致兵败如山倒的局势。

a)对于用户:
我想,首先要做到的就是认证因素的独立,密码和提示答案根据服务的唯一化;其次是认证因素的隐形化,比如关键email,不要被搜索引擎录入,最好的办法 是有专门做保护的邮箱,而不做他用,密码与提示答案不要有可猜测的可能性;然后是认证因素异常报警,不管我们如何做,总会有大意的地方被人利用,那是否可 以做到异常的及时发现,即使做不到,那也尽量定期检查吧,最大化减少损失;最后是认证恢复因素相互之间关系的清晰合理化,保护链是否有脆弱的节点。

b)对于服务商:
隐私保护的第一道门―密码,还是要帮用户把把关的,哪怕是做个弱密码的警告提示;提示问题答案,我见过好多不允许自定义问题的产品,这样可以减少程序逻 辑,减少了由输入带来的诸多不可预测因素,但作为服务商,至少给用户一个选择的权利吧。。。;密码保护邮箱这里万万不可发送明文密码给用户,因为一来让黑 客知道你的库是明文的,二来黑客拿到密码而不改的话用户是很难发现自己帐户异常的,最后每次密码重置将旧密码做个归档,日后做个身份判定依据也是不错的办 法,当然,用户隐私你掌握的越多越直接,你的担子也就越重。

以上提到的服务商其实都已实现,那么在这个问题依旧的时代仅这么做还是解决不了问题的。该有些变革的东西拿来提一提了。
1)新认证因素
腾讯已经做到了这个变革,废除邮箱取回密码的形式,取而代之的是手机身份确认,和三重密码提示问题。费掉邮箱这个不稳定认真因素真的是大快人心,虽然代价 有些大,但效果说明一切的,不少安全人员也把QQ的安全等级与Gmail划等号,腾讯的做法还是非常值得现在互联网厂商所学习的。

2)IP
这个还是要提到腾讯的案例,异地保护机制在很多人眼中是个费力不讨好的功能,很多在外地工作的朋友回到家上QQ就出现了诸多尴尬,一些同事出差也因此闹过笑话,从产品角度用户感受来讲,这个功能还有很大的提升空间,但从安全角度来讲,这是对用户负责的表现。

3)行为
之前做过一些用户异常分析,黑客和用户所有者对待同一资源时有很多不同,举例来说,你经常登陆自己的帐号,那你会很少用到密码取回功能;你也很少做出在出 差的时候对密码进行修改操作;你很少对自己的帐户做出连续的错误登陆与错误密码取回操作;看好"很少"这个字眼,因为总有那么一些用户,那么一些情况会打 破这种常规,服务商会选择多数用户的行为特征,那最后那一小撮用户可能就会被钻了这个空子成为最大的受害群体,这是一个挑战,也许永远不会两全。

4)双因素认证
这个在游戏领域进步和推广蛮快的,但做到登陆这一层我感觉还不够,还要继续融入到后面的用户其他关键修改查看等操作上,毕竟还是不能完全信任认证这个流 程,Google这里做的就不错,可以借鉴。你的认证也许可以被绕过或者劫持,另一些头疼的逻辑问题也会导致认证的无力,比如下面要提到的平行权限。另 外,我们也要相信,双因素保护并不是终结,而是个新的开始,不要被经验所束缚。

5)平行权限
几年前测试项目的时候还要检测账户间的权限是否通用,是否可以通过修改用户ID达到权限漂移的效果,拥有自己的账户信息,就等于拥有了全站用户信息这种情 况已经绝迹了才是。但最近看了某些电商暴漏出的问题后,感觉自己真的是大错特错了。平行权限也许还好,那些无认证的访问就更让人揪心了呐。

6)极端因素
做为服务商的你,会收回用户的通行证吗,再次注册的肯定不是之前的所有者了吧,因为我们都不知自己的帐号什么时候会被回收。当用户密码取回机制被多次而锁 定的时候,拒之门外的是黑客还是真正的用户?修改密码邮箱还要保留旧邮箱的有效性来保障用户安全,是否也帮助了黑客?好吧,我承认这些问题太极端,服务商 也会因用户此类需求而动怒吧,就此打住。

7)态度问题
跟某国内知名安全公司的人交流,探讨一些目前风头正足的电子商务公司对待安全的态度。他对很多电商公司的评价可以用"物流"两字概括,内部根本不考虑用户 隐私以及自身安全风险,即使考虑,也是由于舆论压力,之后又不了了之。这未必是领导层的无视,多数是由下到上的工作汇报过程中出现了隐瞒。这也正是乌云平 台对互联网的目的之一,让厂商看到自己问题的所在,让厂商找到可能存在的巨大安全隐患。安全问题,事实说明一切,而非一己之言。
关于"拖库"问题,服务商究竟是如何面对的呢?应该分为两种,一种是已经确认了自己会员库外泄,但碍于压力与束手无策,采取对用户隐瞒的态度;另一种是对 自己会员库外泄情况浑然不知的服务商,还对自己的安全抱有一丝幻想的侥幸心理,太平一天是一天;对于这两者,不论会员库的泄露与否,都应该明白一个问题, 最初库掌握在少数人手中,价值连城,随着这份资源的共享与传播复制,慢慢的会贬值甚至廉价出售,直至出现在P2P网络中(也许吧哈哈),这一天到来的时候 什么都晚了。通知全体用户修改密码?别傻了,能拿走第一次就能在拿走第二次,问题的本质不在这里。那些还在调查的服务商可以歇歇了,别把精力放在这里,还 是仔细想想对策来应对传统认证机制的加强与升级吧。

能最大化保障隐私安全只有一种办法,双方互不信任,以各自的努力共同来完成隐私保护的难题。但从现实情况来看,用户没的选择,只能信任服务商,因为从用户的选择开始,就已经决定了这一切。也就是说,现在互联网用户隐私保护,还是再由服务商起到关键性作用。

所以,你的隐私,谁做主?

0×05 勺之终极奥义
关于前几天80sec被黑事件,剑心已经给出文章进行了详细的分析,其实这对于我们来说也是个好事,安全事件促进安全进步,这不是什么糗事。但平心而论, 这次攻击报道的矛头针对80sec来说确实有点不妥,一些公司和个人在事情未公布之前做了很多离谱言论,贻笑大方。因事情源自我,所以还是当事人来说明事 情经过比较有依据。

80sec与我的博客同处一服务器,这个博客使用了之前稍重要的一个live邮箱做密码保护,这个live邮箱用了一个年代更为久远的163邮箱做保护,因为时间原因,这里大意了,酿成了惨剧。

攻击者之前做了很多信息收集工作,很幸运找到了我这个年久的163邮箱地址,然后对我帐号进行最大化渗透,虽然我的密码和问题答案不是那么幼稚,但 163邮箱保护链造成了一个缺口。当他们想通过密码取回机制搞定我163的时候,他们中了500W,因为我的163邮箱居然被系统回收了!!!然后这些人 光明正大的注册了这个邮箱,"理所应当"的重置了live邮箱密码,最后登陆了我的博客进行了后续的80sec渗透,具体情况就可以关注剑心的那篇文章 了。

从这个部分,也对自己的帐号链体系出现的漏洞进行了反省:
1)对服务商机制的不了解
163回收用户资源所有权的做法是一直不知道,因为很少用他们的邮箱,但就回收用户资源这块,不是很理解。

2)保护链机制的关联性
自己帐户经常是A保B,B保C,这样一旦出现断层,保护机制会逐步崩溃。

通过这次反省,也对自己的帐户体系进行了一系列的加固与重建。问题发生就是发生了,没有必要做狡辩给自己挽回面子,而且也没感到有什么丢人的,相 反,我倒是蛮感谢这么伙不知性别的人,给已经麻木的我上了课。如果有机会,我倒是很想跟他们成为朋友,整个过程思路很清晰,遇到比较棘手的问题也没放弃而 是继续寻找突破口,值得欣赏呐~

0×06 结语
文章仓促,涉及的方面有些杂乱,难免有表述不清与错误,望谅解与指正。另外还有一些半成品想法由于还不成熟,暂且不提,有新的研究成果就同步80sec。 隐私以及身份认证已经是个被安全压力提到风口浪尖的话题,也是更被用户所关注的。现在,看这篇文章的你,是否有了马上检查自己帐户体系的打算?
在次引用尼采的那句话:当你凝视着深渊,深渊也在凝视着你。

谁动了我的隐私 ― 隐私风险初探原文地址:http://www.80sec.com/privacy-risk.html



转载请注明转载自:佐仔志本文链接地址: http://www.jinbo123.com/2592.html
订阅本站:http://feed.feedsky.com/jinbo123投稿联系:

翻越防火长城,你可以到达世界上的每一个角落。(Across the Great Firewall, you can reach every corner in the world.)翻墙利器赛风3下载地址: http://dld.bz/caonima326

http://dld.bz/caonima745




from "GFW Blog(功夫网与翻墙)" via 数字时代 in Google Reader http://www.chinagfw.org/2011/12/blog-post_29.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+chinagfwblog+%28GFW+Blog%EF%BC%88%E5%8A%9F%E5%A4%AB%E7%BD%91%E4%B8%8E%E7%BF%BB%E5%A2%99%EF%BC%89%29

GR Starred: 安全研究员演示对GSM移动设备的新攻击

在28届混沌计算机大会(28C3)上,安全研究人员演示了对GSM移动设备的新攻击技术。 去年的混沌计算机大会上,德国安全研究员Karsten Nohl报告GSM系统使用的A5/1加密算法存在安全漏洞,可以利用低成本的开源方案解密和监听通话。在今年的大会上,Nohl和同事演示了一种新的攻击,利用基于开源软件的移动电话模拟器模拟拨打电话和发送短信,让目标手机收到昂贵的账单。Nohl指出,犯罪分子已在运用这种方法,一些用户收到了多达数千欧元的巨额账单,电话和短信来自收费昂贵的加勒比海。Nohl呼吁移动运营商、网络设备供应商和设备制造商改进GSM加密技术,升级到A5/3加密标准。







from Solidot http://it.solidot.org/article.pl?sid=11/12/29/0637224&from=rss

2011年12月29日星期四

GR Starred: 1903年:马可尼无线通信被劫持

《新科学家》一篇文章回顾了一百多年前发生的一次暴露系统不安全的黑客攻击,这也可能是黑客在世界上首次利用莫尔斯电码进行侮辱以破坏马可尼公司的公开演示。 1903年6月的一个下午,意大利发明家马可尼(Gugliemo Marconi)和物理学家John Ambrose Fleming在伦敦皇家学院首次公开演示远距离无线通信,马可尼曾夸口发送的信息完全保密,不用担心被劫持。突然之间,神秘而强大的无线脉冲打破了沉默,它的信号强大到控制了碳弧投影机,发出了莫尔斯电码信息。首先,它不断的重复“老鼠”这个词,当时这是一句骂人的话;接着开始针对马可尼个人,称这个意大利佬欺骗了公众,之后有更多粗鲁的话。究竟谁是搞乱者?原来是愤愤不平的发明家Nevil Maskelyne,他因为马可尼专利阻止他使用无线而恼火,于是通过设置发射机干扰和劫持了信号,演示了技术漏洞。Fleming抨击这次攻击是对科学的侮辱。 ,







from Solidot http://it.solidot.org/article.pl?sid=11/12/28/1124256&from=rss

GR Starred: 密码管理规范

原文:http://igfw.tk/archives/6975


下面是贝壳自己总结的密码管理规范,大家可以参考一下。

概念解说

  • 网络密码和本地密码。网络密码通常很难暴力攻击,尝试速度受到网络限制,而且尝试一定次数后还可能被管理员发现。而本地密码则相对比较容易攻击,我假定本地密码攻击可以达到每秒测试2^30个密码。

  • 密码长度推定使用如下计算方式。使用年数乘以攻击频率,得出攻击者在密钥使用期限内能尝试的最大次数。为了安全起见,尝试范围不应当超过总体密码空间的一定比例。以此推算出密码空间大小,进而推算出信息位数,然后还原为密码位数。
  • 数字密码,字母密码,数字字母混合密码,大小写数字混合密码。数字密码的信息量是3.3bit/位,字母为4.7bit/位,混合为5.17bit/位,全混合5.96bit/位。


密码原则

  • 一次一密。除了零级密码,不要为多个系统设定一样的密码。有些系统并不像我们想像的安全,一旦这个系统出问题,被还原原始密码,就会牵连到其他系统。

  • 定期更换。没有什么密码能用一辈子。

  • 写下来。因为一次一密,所以我们会有大量的散碎密码。不写下来是不保险的,写下来是不安全的。折衷一下,还是写下来,保存好吧。推荐用高级密码加密低级密码的方法,例如keepass。
  • 生成型密码。用一个特定字符串+网站名,做sha-1然后取最后8位。这样的密码满足一次一密,不容易破解,不需要写下来,唯一的问题是你要现算…


零级密码

  • 零级密码是有些不需要保护的情况下,又非设定密码不可。对于这种情况,你只能设定一个不算密码的密码。例如常用机器的用户密码。这些密码可以通过livecd/liveusb轻易修改,因此没有一点保密价值。

  • 零级密码不需要安全性和保密性,因此好记就行。例如111,222,选一个常用的,爱用多久用多久。


低级密码

  • 低级密码是用于保护一些你不希望别人看到,然而别人看到并没有直接损失的内容。例如家里机器的性能数据,普通相册的访问密码。这些内容被别人看到不会产生伤害,然而无成本的放出这些内容有潜在的风险,或是你自己主观意愿希望保护,内容安全性要求又不特别高。

  • 我假定低级密码在网络上会受到100次/年的攻击,本地密码会受到1小时/年的攻击,可用时间五年,穷举空间不超过总密码空间的1/1000。
  • 网络密码的攻击信息量为log2(100 * 5 * 1000) = 18.93bit。使用数字密码应在6位以上,字母,混合,全混合应在4位以上。

  • 本地密码的攻击信息量为log2(2^30 * 3600 * 5 * 1000) = 54.10bit。使用数字密码在17位以上,字母在12位以上,混合在11位以上,全混合在9位以上。
  • 结论,低等级的密码长度小,使用数字也并不难记。推荐使用4位以上字母(反正混合使用长度也没有下降),不要使用常见组合还有单词。推荐方式是将自己喜欢的一句英文首字母简写前后颠倒使用。例如:I will be back,对应密码bbwi。


中级密码

  • 中级密码用于保护一些你不希望别人看到,别人看到会对你产生损失的内容。例如你的帐薄,日记等等。中级密码使用时,最主要的风险已经不来自于密码本身,而是使用密码的环境。包括电脑是否安全,中途网络是否安全,旁边人的肩窥攻击。

  • 我假定中级密码在网络上可能会受到10000次/年的攻击,本地密码会受到100小时/年的攻击,可用时间1年,穷举空间不超过总密码空间的1/100000。
  • 网络密码的攻击信息量为log2(10000 * 1 * 100000) = 29.90bit。使用数字密码应在9位以上,字母在7位以上,混合应在6位以上,全混合应当在4位以上。

  • 本地密码的攻击信息量为log2(2^30 * 3600 * 100 * 1 * 100000) = 65.07。使用数字密码在20位以上,字母在14位以上,混合在13位以上,全混合应当在11位以上。
  • 结论,中级密码开始,数字密码的位数就太长了,人类记忆很难记得。推荐使用8位以上字母密码,产生方式同上。


高级密码

  • 高级密码用于保护一些有价内容,例如公司标书,银行账户。高级密码要注意更换,最长不要超过半年。

  • 我假定中级密码在网络上可能受到1000000次/年的攻击,本地密码会受到8700小时/年的攻击,可用时间0.5年,穷举空间不超过总密码空间的1/10000000。

  • 网络密码的攻击信息量为log2(1000000 * 0.5 * 10000000) = 42.19bit。使用数字密码应在12位以上,字母和混合应在9位以上上,全混合应当在8位以上。
  • 本地密码的攻击信息量为log2(2^30 * 3600 * 8700 * 0.5 * 10000000) = 77.15。使用数字密码在24位以上,字母在17位以上,混合在15位以上,全混合应当在13位以上。

  • 结论,高级密码使用字母都很难记忆了,只有写下来。千万注意保存好写下的密码,一旦丢失或者泄露,绝对不是闹着玩的。熟悉计算机的可以使用 keepass配合版本管理器,支持linux/windows/android。尤其是android版本,虽然不方便修改,但是方便使用,非常好用。


特殊密码

  • 所谓特殊密码,就是银行账户。这类密码分级上应当属于高级密码,然而大家可以看到,高级密码长度应当在12位以上,而银行卡密码最大长度只有6 位。这主要是因为银行为了安全做了特殊设计,五次密码猜错就会警告或者锁定,破解难度远远高于网络密码。如果你的银行密码是全随机的,可以放心使用,不过 建议一年一换。如果你的银行没有五次猜错警告并锁卡功能,立刻换银行!

  • 不过银行密码最大的风险,在于很多人为了方便记忆,使用了自己或者亲友的生日。根据统计,在银行密码中使用生日是最多的,其次是电话号码,车牌号码,门牌号码。不过限于实验次数,多数是实验生日。

  • 对于这类密码,推荐一种好记又够强的数字产生方式。将亲友的生日顺序颠倒使用。不要对外说明或者暗示是哪个亲友,也不要泄露颠倒方法。这样造成的 穷举范围通常在3000-5000之间。即使是你的熟人心怀鬼胎,也很难猜出密码。就算用的是他本人生日,都未必猜的到。如果将他们的电话号码顺序颠倒, 则效果更好。


其实上面条例林林总总,贝壳自己都未必全部遵守。例如一次一密,有些账户密码还是一样的。不过经过我本人评估,这个风险比较低,可以接受而已。 至于我的主密码长度——这个可以透露。是14位数字大小写混合密码,有效信息量82位。部分还带有特殊字符,信息量91位。即使以最严苛的标准来看,都足 够解密者算到5年后了。


翻越防火长城,你可以到达世界上的每一个角落。(Across the Great Firewall, you can reach every corner in the world.)翻墙利器赛风3下载地址: http://dld.bz/caonima326

http://dld.bz/caonima745




from "GFW Blog(功夫网与翻墙)" via 数字时代 in Google Reader http://www.chinagfw.org/2011/12/blog-post_28.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+chinagfwblog+%28GFW+Blog%EF%BC%88%E5%8A%9F%E5%A4%AB%E7%BD%91%E4%B8%8E%E7%BF%BB%E5%A2%99%EF%BC%89%29

2011年12月27日星期二

GR Starred: Swype 给你龙的力量 -- Dragon Dictation 整合

分类:






看见上图那个火的标志吗?相信用过 iOS 装置的朋友们都有听闻过 Dragon Dictation 这个由 Nuance 公司推出的语音输入程序了。现在它已经整合到「滑行输入法」Swype 了。不过,新的元素不只有语音输入,程序现在还支持包括繁简体中文等数十种语言(包括广东话,而且好鬼准啊!)。其次,它还懂得在「swype」了一堆字后,在字里行间中找出有意义的组合呢。要留意的是这个是 Beta 版本,功能可能有点不完善。如果你手持的是 Android 或是支持 Ovi Store 的 Nokia 手机的话,现在就可以到第二个引用来源下载了。继续阅读里有示范影片。


继续阅读全文 Swype 给你龙的力量 -- Dragon Dictation 整合

引用来源 | 引用来源 | 引用来源 | 此文章网址 | 转寄此文章 | 回应


from Engadget 中国版 http://cn.engadget.com/2011/12/26/swype-gets-a-new-beta-adopts-dragon-dictation-for-speech-to-tex/

GR Starred: 怎样上网才安全?

最近国内密码门事件愈演愈烈,继技术网站csdn密码明文被泄露之后,国内最大的论坛天涯的密码也泄露,由于多数人习惯一个密码到处用且用到老,一个密码暴露,意味着将被连锅端,说严重点,甚至意味着在数字世界里被定点清除。


小雨是我多年的革命同志和好友,新浪微博是我们互相联系的主要工具。可是,最近我发现一个很诡异的现象,她的头像换成了一个锥子脸美女(她年轻时也是美女,不过是样板戏里柯湘那样的美女),而且所发的内容都是广告。再一查她的时间线,上面全是各种垃圾广告。我第一感觉就是她被盗号了。电话之,果然。不仅如此,她的新浪邮箱、新浪博客由于都和微博使用同一个密码,也都被盗号。


被盗号的后果是灾难性的,原因不仅仅是帐号被用来发垃圾信息,而是私信的曝光。由于新浪微博私信带一个“私”字,许多人就想当然地认为,它很隐私很安全,其实大错特错。私信是所有网络通讯里最不安全的,不但因为会当成公开信息误发,而且事实上完全暴露在第三方眼前。新浪微博工作人员可以查看你的私信,只要他们愿意;其他人可以轻松浏览你的私信,如果你使用公共电脑,而忘记退出微博登陆;盗号者可以轻易得到你全部私信内容。


就拿我和小雨来说,我们的私信里有彼此的电话号码、家庭住址,还有就时事、文艺、以及共同朋友的私下讨论,这些信息不但很私人,而且很敏感。如果破解者公布这些信息,那带来的麻烦是可想而知的。


既然新浪私信不安全,那我批量删除私信总安全了吧?也不安全。因为私信对话的一方删除私信,在另一方那里依然显示,除非两个人都约好一起看完私信就删除,阅后即焚。那样才相对安全一点,说相对安全是因为,删除的私信和其他删除的微博一样,依然储存在新浪微博的数据库里。新浪不死,隐私不灭。在网络世界,你永远找不到一台信得过的碎纸机。


考虑到上网越来越不安全,有必要建立一整套安全策略。以下是我个人的做法,供大家参考:


1、使用Gmail作为主力邮箱。


email地址是所有联系方式里最基础、最有效、最牢固、最高级的,在Alibaba等网站,被定为最高级别的个人信息,email也是其他网络应用的基础,是找回、修改密码的依据。只要email不被攻破,你的网络防线就是牢固的。


email服务有很多种,你应当使用Gmail作为主力邮箱。


我们知道,Gmail在大陆经常抽风,有时登陆起来很困难,这使得很多人弃而转投国内的163、QQ等邮箱。我要说的是,迄今为止,没有一个邮箱的安全系数比Gmail更高,这也是为什么有关部门对它刻骨仇恨,恨不能置之死地而后快的原因,也是你经常登陆不上去的原因。


申请Gmail邮箱,请点这里:mail.google.com/mail/signup


2、使用Gmail两步验证(2-step verification)服务。


由于Gmail也可能被攻破,Google推出了一个物理解决方案,就是两步验证(2-step verification),把Gmail与手机绑定,每次新设备登陆,都要通过手机短信、或者语音验证,这大大增加了Gmail的安全性。考虑到有时候出门在外手机没电、没带或者丢失,Gmail还会分配给你10个验证码,可以事先抄下来,留作不时之需。总之,有了2步验证,Gmail几乎牢不可破,这大大增加了其他网络服务的安全系数。


Gmail设置2步验证,请点这里 https://accounts.google.com/b/0/ManageAccount


3、购买一个vpn服务


vpn不但可以帮你翻墙,绕开网络封锁,更顺利地登陆Gmail等服务,而且还可以有效保护你的真是身份,尤其是访问国内那些流氓网站的时候。


vpn有很多种,我推荐Astrill,不但可以在电脑上用,还可以在移动设备例如iPhone上用。一般来说,一次买三个月或者半年,更为靠谱,因为如果你一次性买了一年,可能用了半年,它就被封了。


4、每个网络服务都用不同密码


不同的服务用不同的密码,这应该称为上网第一守则。


密码要超过16位,使用大小写字母、数字、$$%%@#等字符混编,并且定期更换。


为了更好地管理密码,推荐使用软件辅助管理,我用的是1Password


对于国内任何网络服务,都不要用主邮箱,随便找个邮箱糊弄一下就可以了。


5、珍惜生命,远离私信。


国内无论微博、qq、旺旺的私信功能都是极其不安全的,要象远离毒蛇,远离火坑一样,远离它。想聊天,用Gtalk,要说事,用Gmail,实在不行用电话,千万不要相信私信。它真是一个害死人的东西。这里面有很多血淋淋的教训啊!


推友 @raptorz补充说: “其实私信的不安全之处在于:任何微博第三方,只要你用了,它实际上就都可以访问你的私信。这一点还是twitter比较安全,第三方使用私信需要用户的单独授权。”


6、重视网络安全,不仅为保护自己,还为保护朋友。


也许你自己对网络隐私、数字资产不重视,但是你的朋友可能不这样想,为了他们,请保护好你的邮箱,你的微博,你的推特,你一切跟别人发生交集的网络工具,不要因为自己的疏忽,而累及他人。


本文由自动聚合程序取自网络,内容和观点不代表数字时代立场


定期获得翻墙信息?请电邮订阅数字时代


© grass mud horse for 中国数字时代, 2011. |
Permalink |
No comment |
Add to
del.icio.us

Post tags: , , , , ,
穿墙阅读数字时代? 请发电邮(最好用Gmail)到: chinadigitaltimes+subscribe@googlegroups.com
请在谷加上 跟随我们
如何 订阅《中国数字时代》
获得免费代理请点击 这里
赛风新产品-Psiphon 3 客户端软件下载地址
欢迎网友参与“中国数字时代敏感词开源研究项目”,请跟随该项目的谷加互动帐号,目前的新浪微博搜索敏感词列表在此






from "GFW Blog(功夫网与翻墙)" via 数字时代 in Google Reader http://chinadigitaltimes.net/chinese/2011/12/%e6%80%8e%e6%a0%b7%e4%b8%8a%e7%bd%91%e6%89%8d%e5%ae%89%e5%85%a8%ef%bc%9f/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+chinadigitaltimes%2FzKps+%28%E4%B8%AD%E5%9B%BD%E6%95%B0%E5%AD%97%E6%97%B6%E4%BB%A3+%C2%BB+%E7%BC%96%E8%BE%91%E6%8E%A8%E8%8D%90%29

2011年12月23日星期五

GR Starred: 国内多家大型网站使用明文密码

黑客公开了多家国内大型网站的用户数据库。在经历了年初匿名组织攻击索尼等网站,泄漏上亿用户数据库的事件之后,此事本身并不让人惊奇。让人万分惊讶的这些数据库竟然大量使用明文密码。技术网站CSDN、在美国上市的社交网站人人网、游戏网站7K7K和178的用户数据库都包含了电子邮件地址和明文密码,多玩网的数据库则混杂了加密和明文密码。如果用户在多个网站上使用相同密码,他将面临身份窃取的巨大风险。为了改进安全,可以考虑使用基于Web的密码管理服务LastPass去管理密码,LastPass可以生成随机密码,用户只要记住一个主密码就可以了。今天并不是互联网的初创时代,对于为什么这么多大网站使用明文密码,有人推测可能是审查和监管要求。







from Solidot http://internet.solidot.org/article.pl?sid=11/12/22/0648252&from=rss