top of page
Search
Writer's pictureIYP

信息战军备竞赛、感知性报废、老大哥的硬顶上 - Newsletters (11.28.2018)

反审查的新尝试是什么?以色列的技术缘何成为了绑匪的夸口?为什么欧洲不会有“谷歌”?免费 VPN 和中国之间究竟是什么关系?


1*


Trump said Tuesday the benefits of good business relations with Saudi Arabia outweigh the possibility that the crown prince ordered the killing. Khashoggi was a U.S. resident at the time of his death.


【金钱胜过人命】#humanrights 一家土耳其报纸星期四说,美国中央情报局已经听到确切证据,是沙特王储穆罕默德·本·萨勒曼的一次电话,电话中说“尽快让 Jamal Khashoggi 闭嘴”。


该指控发表在土耳其的 Hürriyet 每日新闻上,这是一家历史悠久的报纸。USAtoday 表示无法独立验证。也无法联系中央情报局发表评论。中情局很少对有关其活动的报告做出反应。


美国中央情报局局长吉娜哈斯佩尔上个月前往土耳其,作为调查 Khashoggi 被杀事件的一部分;国会呼吁惩罚沙特王子,但是被特朗普无视。特朗普周二表示,与沙特阿拉伯保持良好商业关系的好处超过了王储下令杀害记者的坏处。请记住,Khashoggi 在去世时是美国居民。


2*


Fighting Fake News: Can Technology Help The Middle East Throw Off The Shackles Of Censorship? Inkrypt is itself developing a dapp called nLightn which it plans to offer as a censorship-resistant publishing tool to freelance and citizen journalists in censorship-prone corners of the world, not least in the Middle East


与中国何其相似 #anticensorship【打击假新闻:技术可以帮助中东摆脱审查的束缚吗?】中东地区的新闻报道有时会让人感觉像是一个回音室,因为顺从的媒体组织经常以一种能让该地区的无数独裁者开心的方式传递事件和意见。


在报纸和电视占主导地位的日子里,控制印刷机和广播工作室生产的内容相对容易,但近年来政府也开始擅长控制社交媒体上的对话了,不管是埃及政府说服 Twitter 暂停其批评者的帐户、还是沙特阿拉伯发起一队网络战士关闭任何他们不喜欢的政治辩论……但信息军备竞赛尚未停止,基于区块链技术的新服务的发展可能会提供新闻工作者和公民免于被国家过度审查的工具。


由无国界记者组织编制的世界新闻自由指数排行榜列出的世界上 21 个表现最差国家中有 8 个是中东国家。其中包括叙利亚,其在 180 个国家中排名第 177,以及沙特阿拉伯(169),巴林(166)和伊朗(164)。


RSF 指出,“沙特阿拉伯不允许任何独立媒体,也不允许任何独立的政党、工会或人权组织”,而伊朗“对大多数媒体保持严密控制,并且永远不会放松对独立记者、公民记者和媒体的迫害。“


审查制度不仅涉及针对个别记者和出版物的直接行动。在许多情况下,它会还源于作家和出版社的自我审查,他们热衷于保护自己的生计和人身安全。


找到解决限制的方法并不简单。新闻机构可以出于最好的意图开启工作,但往往最终的结果是要么与当局的偏好相符,要么被关闭。一个位于阿布扎比的英语日报“The National”的遭遇是一个典型的例子。当它成立于 2008 年时,由一群国际行业资深人士创建,承诺仿效西方报纸的标准,但不久之后,批评者便开始注意到它是如何屈服于通常的压力。


沙特大亨阿尔瓦利德·本·塔拉勒王子于 2015 年2月在巴林设立的阿拉伯新闻频道的遭遇是另一个警示故事。在播放了巴林反对派政治家 Khalil Al Marzooq 的采访后不久该频道就被关闭了。该频道的编辑之一就是被残害的 Jamal Khashoggi。


总部位于哈佛的 Inkrypt 希望以自由主义的热情来解决这个问题。该公司迄今已筹集了 130 万美元的资金,正在开发一个平台,该平台使用区块链技术提供“抵制审查”的出版。该系统允许将信息存储在小的、加密的数据块中,这些数据块分布在广泛的对等网络中,而不是集中在容易受到黑客或政府攻击的服务器上。网络的每个部分都是匿名的,因此一个存储“节点”不知道任何其他节点的身份。


“政府无法使用 IP 封锁关闭节点,你无法对这些节点进行地理定位,你无法传唤这些节点,”Javed 说。 “即使网络中的单个节点或笔记本电脑出现故障,信息也会保持弹性。”


其他分布式存储方法已经存在,例如 IPFS,尽管在 2017 年加泰罗尼亚独立公投期间,这种方法在西班牙很容易受到政府行动的影响。还有许多其他尝试使用区块链技术来开发不易被审查的通信平台,尽管它们的影响还很小,除非它们获得足够的规模。


Inkrypt 有可能通过直接集成浏览器和流行的 Web 内容管理系统(如 Drupal,Joomla 和 WordPress)来绕过这些困难,使内容作者更容易接触到广泛的受众。“所有的代码都是开源的,很容易识别开发人员是谁,”Javad 说。


Inkrypt 本身正在开发一种名为 nLightn 的 dapp ,它计划作为一种对抗审查的出版工具,向世界各地易受审查地区的自由职业者和公民记者提供,尤其是中东地区。


3*



【致命的剁手】#Ecology 在我们的文化中,物质产品的过度消费并不是什么新鲜事。我们经常受到各种各样的产品广告的轰炸,实际上(如果你相信炒作的化)就会相信那些根本没有用的东西能“让我们的生活更美好,更刺激,更有趣,更充实”。广告是一个复杂的行业,现在他们雇用心理学家和神经科学家来找出能让您掏钱的最佳方式,从奶酪泡芙到降低胆固醇的药物。


但广告只是这种消费文化的一个方面,随着跨国公司将其产品推向全球,这种方式已成为美国乃至全世界的常态。


利润高于一切 —— 高于优质手工制品、艺术品、人、自然世界、地球 —— 已经变得如此阴险,以至于公司实际上设计的产品在经过一段时间后就会分崩离析。这被称为“计划性报废”,并且自 20 世纪 20 年代至 30 年代以来已经被许多不同行业所利用,因为工厂所有者开始意识到装配线制造风格正在创造出比人们买得起的产品更多的产品。他们的方案是什么?就是让旧的产品报废,于是人们将被迫购买替代品。


最重要的是,最近还出现了一种“感知性报废”的趋势,例如时装业和科技界,产品本身仍然运作良好,但每隔几个月公司就会发布一种新的、更快的、更时尚的版本。消费者们就会争先恐后地争取下一个最好的东西,只是在几个月后再次丢弃它,去追赶下一个时尚,下一个突破性的、改变生活的创新风格。


这种不断推动消费的行为并不是什么新鲜事,但随着印度和中国这样人口稠密的国家正在出现越来越多的中产阶级以及对我们在美国认为理所当然的那种物质奢侈品的需求激增,它正变得越来越普遍。随着对商品需求的增加,对原材料的需求也在增加,采矿、伐木和采掘业正在努力满足需求。这个问题比 iPhone 上没有足够的锂电池的问题要大得多,但是要知道,如果消费水平继续增加,地球上的资源将无法维持下去。


从 90 年代末开始在加拿大举行的无消费日活动是一年一度的抗议活动,以引起人们对这种过度消费文化的破坏性的关注,并为广告、购物和无意识的消费主义提供另一种选择。从加拿大开始,BND 迅速传播到美国、英国、日本、奥地利、以色列,现在包括全球超过 65 个国家的参与。


方法非常简单,鼓励世界上任何人参与,24小时内绝对不买任何东西,而已。有些人可能认为这很容易?但实际上,它比你想象的要复杂一些。你有任何积累的债务吗?股票?公用事业?自动账单?你真的可以花一整天不购买任何东西或参与货币体系吗?其中一些例子是极端的,几乎不可能完全退出整个资本主义制度在 24 小时内,但 BND 是关于检查你的生活方式,认识到你作为个人正在参与和支持这种过度消费文化的程度。你的钱去哪了?你花了多少?有必要吗?如果有必要,你从哪里得到收益?你用辛苦赚来的钱支持了什么样的生意?


我们生活在一个有限的星球上,在一个消耗远远超过我们生存所需的国家里。虽然我们抱怨新 iPhone 上没有耳机插孔,但在非洲的整个村庄都无法获得干净的水。我们想知道圣诞节应该买什么样的礼物给心爱的人,但也门儿童正因为没有食物而饿死。这种消费,物质主义和利润的文化是一种令人难以置信的特权,令人难以置信的不可持续。


无消费日/黑色星期五是认识到我们作为这个经济体的参与者所拥有的力量的一天,并决定我们想要如何行使它。就个人而言,我将通过拒绝购买任何东西来体验它。拯救地球:遏制你的消费。


  • 关联我们曾经的文章:很多人批评苹果公司“徒有其表、实质空虚”,但实际上苹果公司和其他个人技术公司所出售的产品一样,它确实是一种生产力:这种生产力就是让人们通过最少的努力,以最快速度获得最高水平的瞬间快感的能力。注意,关键字是“瞬间”。详细:《苹果卖的究竟是什么?这个时代最关键的不是技术,而是心理学



4*


The ministry had in April issued a tender notice requesting proposals for providing software, service and support for the operation and maintenance of social media communication hubs in each district


#antiSurveillance 【为了不撞南墙】印度最高法院周四要求 Trinamool 国会(TMC)立法委员 Mahua Moitra(作为请愿人)在两周内提交补充宣誓书,以证明她对印度独特身份识别机构(UIDAI)设立的社交媒体通信中心将允许政府跟踪公民的担忧是合理的。


由首席大法官 Ranjan Gogoi 领导的一个小组表示,除非 Moitra 能够提供事实来支持,否则这种担忧将“毫无根据”。Moitra 的请求指责设立这样的社交媒体中心是非法的,因为该中心通过监控人们在社交媒体上的活动以在线跟踪公民。


该招标通知称,分析工具必须具有对“标准数字频道”的“收听和响应能力”,如 Twitter,Instagram,YouTube,电子邮件和博客等等。该工具还必须能够完成“社交媒体情绪”分析,将人们的反馈归类为积极的、消极的和中立的,并有助于该中心理解各种社交媒体活动对各种计划的影响


5*


Most Of American Users Don’t Think Social Media Is A Good Thing. if you still see social media in a positive light, you now belong to a minority group.


【大多数美国用户不认为社交媒体是一件好事】这是来自 Axios 的证据。在参与民意调查的 3,622 名成年人中,大多数人对社交媒体表达了负面情绪。“ 认为技术损害了民主和言论自由的人增加了14个百分点。” 担心联邦政府不足以管理大型科技公司的人口比例在今年增加了15个百分点,总计高达 55%。


尽管 65% 的人认为智能手机改善了他们的生活,但只有 40% 的美国用户仍然认为社交媒体对社会是一种净积极因素。使用 Facebook 等社交网站的美国用户数量大幅下降。因此,如果你仍然认为社交媒体是积极的,那么你现在属于少数群体。


6*


“My nasty encounter with Tanzanian repression” “They tried repeatedly to access my emails, but CPJ had changed my password to avoid unauthorised access. They boasted about their use of Israeli technology and claimed they could still retrieve our data.”


【真实的噩梦】#pressfreedom Muthoki Mumo 和我是记者,也是保护记者委员会的新闻自由倡导者。我们开始对坦桑尼亚进行为期10天的访问,主要是作为一个事实调查团,以衡量 Magufuli 治下坦桑尼亚的媒体自由。我们没有什么可隐瞒的,甚至还收到了政府认可的新闻监管机构的邀请函。直到后来,有人敲开了我的酒店房门……


敲门的人是几个穿着便衣的男女,他们说要在那里进行定期移民检查。“哇哦你们那么多人,让我感觉自己像个罪犯”,我开玩笑说。但这不是玩笑!中国社会很多人都了解在酒店围堵人权律师的现象,坦桑尼亚也一模一样。这次被围堵的是国际权利组织的调查员


记者谈到很多扼杀新闻自由的法律,包括“媒体服务法”,“网络犯罪法”,其中许多人因“侮辱”总统而受到起诉 —— 以及针对博主的需要大量和无法负担的注册费的内容规定。保护记者委员会的调查员听到了有关报纸的停刊、被控煽动叛乱的记者、新闻编辑室被称为间谍等等事件。


许多人谈到去年11月21日自由撰稿人 Azory Gwanda 失踪,当时他正在调查法外处决事件。从那时起,再也没有听到过 Gwanda 的消息。许多记者都害怕他们自己会遭受同样的命运。恐惧和自我审查成为一种持续的阴影。


当调查人员还在那里时,一位直言不讳的 Magufuli 评论者和反对派议员 Zitto Kabwe 被捕并被指控“煽动”。然后,达累斯萨拉姆的州长保罗马卡多宣布成立一个特别工作组来追捕同性恋者,欧盟的高级外交官因其支持人权的立场而被召回(准确说是被驱逐出境)。


保护记者委员会的调查员在酒店客房被突袭,他们的护照和电子设备被查封,被禁止与律师和大使馆官员联系。调查人员被捆绑在一辆小型货车的后面,所有窗帘都是封闭的,押送人员试图通过在 Dar 周围漫无目的地驾驶来迷惑他们。他们被带到了郊区的一所房间,那里有“坦桑尼亚人权捍卫者联盟新办公室的标志”。他们被带到楼上接受审讯,这些男人专门针对其中一位调查员 Muthoki,因为她是一个年轻的黑人女性,肯尼亚人。


调查人员们的手机和电脑被没收,被迫交出密码,以便审讯者可以访问设备上的内容。


Muthoki 根据记者保护协会的数字安全协议清理她的手机这一事实被视为完全可疑,她被指控“删除机密信息”。


⚠️ 审讯者吹嘘他们使用以色列的技术并声称他们仍然可以检索调查人员的数据


7*



🔐 Adobe 发布安全更新,解决了 Flash Player 中的一个关键漏洞,该漏洞可允许恶意网站在您的计算机上执行代码。


据 Adobe APSB18-44 发布的公告称,该漏洞 CVE ID为CVE-2018-15981,是一种可用于执行远程代码的类型混乱安全漏洞。也就是说,攻击者可创建恶意SWF文件,并将其托管在网站上,易受攻击的访问者浏览该网站时便会受其感染。借此,攻击者可在访问者电脑上执行任何命令,如下载与安装恶意软件。


博文写道,“TLDR;Adobe Flash 中存在错误,捕获异常后,动作脚本虚拟机(简称 AVM)的解释器代码并不会重置带范围的指针,这将导致类型混淆错误,最终将执行远程代码。”

据 Security Week 的爱德华·科瓦克斯(Eduard Kovacs)称,是以色列研究员吉尔·达巴(GilDabah)写了这篇博文。但尚不清楚其公开披露该漏洞的原因。



8*



【黑色星期五,亚马逊遭遇数据泄漏】#privacy 一些亚马逊客户周二收到了该公司的邮件,声称由于“技术错误”,用户的名字和电子邮件ID“无意中被泄漏”。


亚马逊没有在电子邮件中解释用户隐私信息是如何被泄漏的,也没有说明谁可以访问被泄露的信息。事实上,电子邮件概念本身就有点粗略,因为它包含电子邮件末尾的亚马逊链接,没有“https”前缀。


9*


Why Europe Will Never Build Its Own Digital Giants? in the past few years, it's become increasingly clear that the EU's concept of the internet is almost entirely out of sync with how digital innovation works, especially with the ways in which the EU has gone about regulating the internet -- from the GDPR to the Copyright Directive, to the antitrust efforts, to the Terrorism regulation.


【为什么欧洲永远不会建立自己的数字巨头】几年前,我被要求为一些访问欧洲的高管创建一个演讲,解释“是什么让硅谷成为硅谷”。最让我迷惑的是对理解创新和互联网基本原理的普遍抵制。


但在过去的几年里,越来越清楚的是,欧盟的互联网概念几乎与数字创新的运作方式完全不同步,尤其是欧盟对于监管互联网的方式 - 从 GDPR 到反垄断法的版权指令、对恐怖主义的规定。


“经济学人”最近探讨了这个问题,暗示欧洲永远不会产生自己的谷歌。虽然有一些成功的欧洲科技公司,但它们仍然受到很大的限制:“在社交媒体、电子商务和云计算等领域,欧洲缺乏大型公司,其规模可与美国的谷歌和微软、或中国的阿里巴巴和百度相媲美的那种公司。世界上最大的15家数字公司中,全部都是美国人或中国人创建的。这就是问题所在。在 200 强中,只有8个是欧洲人创建的。这些公司很重要。他们运营着占主导地位的在线平台,并以创新的方式编写新经济规则。”


不幸的是,经济学人的文章并不是关注欧盟政策制定者对数字时代创新关键要素的不断的监管攻击,而是回到了我们多年来从欧洲人那里听到的同样的旧借口:这个联盟有太多国家、每个国家/地区使用不同语言和一系列复杂的法律……


事实上,更大的问题更多地与对颠覆性创新的普遍不信任有关。一直以来,欧洲方法似乎在减缓(或停止)创新,除非所有可能的“危害”都被最小化,即使这是以牺牲利益为代价的。


对这种方法有明显争议 - 防止伤害是一个值得称道的目标。但它忽略了方程式的另一边:它消除了大量的好处。欧盟似乎对实际确定如何运作几乎没有兴趣。


10*



⚠️【DEA 和 ICE 正在路灯中隐藏监控摄像头】#surveillance 联邦合同文件显示,美国缉毒局(DEA)和移民与海关执法局(ICE)已在全国各地的街灯内隐藏了数量不详的秘密监控摄像头。DEA支付了大约22,000美元的监视设备,ICE支付了大约28,000美元。


⚠️除了路灯之外,DEA还在交通警示桶里安装了隐蔽的监控摄像头,这是一些由制造商提供的专用产品。DEA运营着一个数字化的道路标志网络,其中包含自动车牌阅读器技术。“在大多数司法管辖区,当地警方或公共工程部门有权单方面和秘密地作出这些决定。没有公开辩论或监督。“


  • 推荐一个邀请公民标注摄像头所在位置的 APP。把具体位置放在地图上,便于规划抗议活动的参考: https://eyes.daylightingsociety.org/ 另外,上周新闻中有消息称,中国部分地区的监视摄像头离地太高 - 2.8米,于是被认为“拍不到人脸”。但也有些地区的摄像头足够低,能拍到清晰的面部图像。于是这个问题在中国还需具体分析。

11*


Trades Union Congress concerned over tech being used to control and micromanage


【老大哥的硬顶上】⚠️数十万员工的大公司居然准备将微芯片植入人体进行监视。英国 BioTeq 公司为企业和个人提供这种植入物,已经在英国安装了150个植入体。在拇指和食指之间植入肉体的微小芯片使人们能够打开前门,进入办公室,或挥手就能打开汽车,并且还可以存储医疗数据。


⚠️TUC 担心工作人员可能被强迫植入微芯片:“我们知道工人们已经开始关注一些雇主正在使用技术来控制和监视,削弱员工的隐私权。目前已经植入了150个。一些金融和工程公司也将芯片植入其员工体内。


12*


Chinese affiliation raises a sign of alarm in light of China's recent clampdown of "unauthorized" VPN services


⚠️【流行免费 VPN 被发现大部分来自中国】Metric Labs 的调查发现, Google Play Store 和 Apple Store 里的流行免费 VPN 应用有大约六成由中国开发者开发或中国人所有。这一发现引发了数据隐私方面的担忧。


研究人员分析了 Google 和苹果应用商店里的 top 20 free VPN apps,这些应用的下载量多在 100 万以上,结果如图所示,超过一半为中国开发者所有。此外,这些 免费 VPN 基本上不存在隐私保护,用户支持也很少。⚠️通过这些 VPN 的用户数据可能会被记录下来,最糟糕的情况可能是数据会被提供给中国政府⚠️


13*


On the back of a surge in Trojan activity, we decided to carry out an in-depth analysis and track the evolution of some other popular malware families besides Asacub. One of the most interesting and active specimens to date was a mobile Trojan from the Rotexy family. In a three-month period from August to October 2018, it launched over 70,000 attacks against users located primarily in Russia.


#ThreatIntelligence【Rotexy移动攻击盯上俄罗斯用户,结合银行木马与勒索软件双重功能】在木马活动激增的大背景下,研究人员发现了一个有趣和活跃的移动木马家族Rotexy,在2018年8月至10月的三个月内,它主要针对俄罗斯用户发起了70,000多起攻击。


它的有趣之处是同时使用了三个命令源:Google Cloud Messaging(GCM)服务,用于通过 Google 服务器将 JSON 格式的邮件发送到移动设备;恶意C&C服务器以及短信传入。这款多功能性的木马最早版本是一款短信间谍软件,现在被发现的版本结合了银行木马和勒索软件的双重功能。


在首次启动时,这款木马会监测目标所在的地区以及是否在仿真环境下运行,如果检查成功,Rotexy 将向 GCM 注册并启动 SuperService,以跟踪特洛伊木马是否具有设备管理员权限。成功入侵后,Rotexy 会显示一个虚假的 HTML 更新页面,以长时间组织设备的屏幕,之后会显示敲诈页面,要求受害者支付赎金以取消控制。


14*



#ThreatIntelligence【物联网僵尸网络Mirai被发现在Linux服务器上运行】研究人员在蜜罐中监控Hadoop YARN漏洞利用时发现Mirai可以在Linux服务器上运行。研究人员一直以来利用蜜罐网络跟踪Hadoop YARN漏洞的利用情况,每天有数以万计的利用尝试。


只有极少数独特的来源才能提供如此多的漏洞利用尝试。Hadoop YARN漏洞是命令注入漏洞,允许攻击者执行任意shell命令。大量漏洞利用尝试和已发现的任何恶意软件有效载荷都没有使用Hadoop YARN漏洞以蠕虫方式传播,并且没有任何有效载荷是用Python编写。


不同之处在于漏洞利用中提供的恶意软件。超过一半的二进制文件只由一个源地址提供。检查的样本中至少有十几个显然是Mirai的变体。


~~~~


对于攻击者来说,授权插件是一个能够窃取凭据、保持持久性的理想机制。如果能持久性的进行凭据窃取,那么就可以在登录过程中的任何位置执行特定代码。《攻击者如何借助授权插件,实现 macOS 持久化凭据窃取?》◾️


感谢帮助 iYouPort!

PayPal 捐赠渠道已开通 https://paypal.me/iyouport

18 views0 comments

Comentários


bottom of page