不注重隐私的中国人连贼都做不成?澳大利亚如何杀死了隐私权?起诉以色列公司的结果可以是什么?无知和阴谋论之间是什么关系?如何击退审查“七骑士”之一?精美的圣诞礼物背后是多么残酷的现实?一部新的纪录片揭示 Facebook 和谷歌的真面目……
&1
【作恶是一种诱惑】美国国土安全部已经悄悄开始在白宫附近测试面部识别技术,受到公民自由联盟的严厉抨击 #Surveillance 美国特勤局(USSS)上月启动了一项试验计划,“在与白宫执法部门初步接触之前,确定面部识别技术是否可以帮助 USSS 抓捕一切他们感兴趣的目标,”DHS 在一份文件中解释道。
ACLU 指出,面对强大的监控技术,政策制定者正处在滥用和过度使用的巨大诱惑中,国会应该要求对这个新计划以及政府对人脸识别的其他用途给出答案。除非能够在不损害基本自由的情况下进行部署,否则应该彻底停止使用这项技术。
中国没有 ACLU 这样强大的公民社会组织,中国人需要自己的努力才能改变同样悲惨的状况。
&2
when SophosLabs stumbled into a stockpile of 22 mobile apps that, until last month, had been hosted in the Google Play Market and collectively downloaded more than 2 million times. Three of the apps dated back at least a year, and one of them (a flashlight app) had been downloaded at least a million times, but the majority of these malicious apps were created during or after June, 2018.
🐞【Google Play 里的 22 款应用发现含有后门】Sophos 公司的安全研究人员从 Google Play 官方应用商店发现了 22 款包含后门的应用,应用的总下载量超过 200 万,最流行的一款是手电筒应用 Sparkle Flashlight,其下载量超过一百万。
应用含有的后门能悄悄下载文件在攻击者控制的服务器上。这些应用主要被用于广告欺诈,研究人员将它们命名为 Andr/Clickr-ad,通过欺骗性的广告点击获取收入,它给用户带来的问题是电池续航力的下降和数据流量的增加。后门潜在可用于下载任何恶意程序。Google 已经从商店里移除了这些恶意应用。
& 3
【不注重隐私的人连贼都做不成】#China 一位毫无经验的勒索软件作者在身份曝光之后很快遭到当局的逮捕。
官媒报道,12 月 4 日 18 时许,东莞网警支队接省公安厅网警总队通报称,腾讯公司举报,东莞一名男子向多个计算机信息系统传播木马病毒,锁定目标系统文件,利用微信支付勒索钱财后解锁。
网警于 12 月 4 日 22 时查明嫌疑人真实身份为 22 岁的罗x泳,主要在东莞市东坑镇活动;12 月 5 日 15 时他们将嫌疑人抓获。互联网专家表示,找到该嫌疑人并不困难。因为勒索病毒作者在病毒代码里留下了能关联到身份的信息。😨
过去几天有超过 10 万台电脑感染了勒索软件,有意思是恶意程序作者建议受害者通过微信支付来支付赎金。微信支付是一个基于实名制的中心式支付平台,难以想象有经验的恶意程序作者会使用它。
中国安全公司火绒报告,作者身份已经锁定,称作者在病毒代码里嵌入了自己的 Github 链接。报告称,勒索病毒是通过供应链污染的方式传播的,植入到易语言编写的程序里,被植入病毒的软件超过 50 款。
病毒作者还利用豆瓣等平台充当 C&C 服务器,他们发现一台病毒服务器包含了两万余条窃取的淘宝、支付宝等账户密码。
& 4
Australia's House of Representatives passed the Assistance and Access Bill. The Anti-Encryption Bill, as it is known as, would allow the nation's police and anti-corruption forces to ask, before forcing, internet companies, telcos, messaging providers, or anyone deemed necessary, to break into whatever content agencies they want access to. "While the Bill can still be blocked by the Senate -- Australian Twitter has been quite vocal over today's proceedings, especially in regards to the [Australian Labor Party's] involvement," reports Gizmodo.
【隐私已死】⚠️澳大利亚众议院最终还是通过了饱受争议的反加密法案 “Assistance and Access Bill”,允许警方和反腐机构要求互联网公司、电信公司、信息服务商或任何被认为“有必要”的当权者去破解他们想要访问的任何内容,如果不同意可以强迫。
该法案仍然有可能被参议院挡下,但机会不大。此前科技公司已经对此表达了担忧,因为它们可能被要求开发后门,在必要情况下绕开安全限制、破解密码。澳大利亚执政的保守派政府已同意与主要反对党工党达成妥协,限制该法案的权力。
& 5
The Creepy Line: A New Documentary on the Power of Tech Giants. Although The Creepy Line has attempted to portray Google and Facebook as achieving a new level of nefariousness in this regard, the critical ingredient in the manipulation of voters remains the voters. It appears the voters are content to let themselves be manipulated. They could seek out news sources other than CNN or Google News or their Facebook news feed. Many simply choose not to.
【Facebook 和谷歌的真面目】#SurveillanceCapitalism ‘Creepy Line’ 是导演 MA Taylor 的新纪录片,现在正在亚马逊 Prime 流媒体播出。它提供了一个启发性的视角,让人们看清谷歌和 Facebook 如何影响用户对世界的看法,以及我们通常认为是这些公司的客户的用户如何根本不是真正的客户。事实上,用户是出售给第三方的产品。
Creepy Line 这个剧名来自 Google 前首席执行官埃里克施密特(Eric Schmidt)发表的描述,他表示:谷歌的使命是“get right up to the creepy line and not cross it”。
事实上,通过开创“ 监控商业模式 ”,谷歌多年来一直在踩着这个 “Creepy Line”。并不是说这对公司来说是一个很大的问题,⚠️ 正相反,很少有用户有动力停止使用 Google 产品。人们已经被谷歌彻底绑架了。
这就是对这种监视模式如何运作的最基本解释。Creepy Line 最有趣的是:电影制作者用简单的语言解释了极少数公司如何编制数亿人类的大量数据资料,以及用户数据是如何由编译它的公司卖掉的。
这部电影说明了在监控模式上运行的公司,我们对消费者主权、生产者主权和企业家 - 客户关系的旧概念并不像我们认为的那样适用。用户不是客户,谷歌和 Facebook 的盈利能力并不完全取决于用户的行为。
真正重要的是,Google 和 Facebook 可以继续从足够多的人那里提取隐私数据,以便向广告商销售产品。当然,这将需要 Facebook 和谷歌保持一个假装亲切的外观,继续骗取你自愿交出个人数据。一两个人醒过来根本没用,对破解监视资本主义起不到任何作用。这就是为什么像谷歌和 Facebook 这样的公司几乎不会顾及任何热门用户。那些人不是客户。真正重要的是广告收入。
更重要的是,这种控制信息的权力可能会通过控制选民对候选人的看法来扩展到操纵选举。
他们在理论上有权力这样做是众所周知的,而该片也或多或少地证实了这一点。也是我们曾经在《“定制人”将终结民主》一文中重点强调的。
更为危险的是,新闻消费者几十年来都没有从传统新闻媒体的明显偏见中学到任何教训。尽管万维网提供了大量的新闻、研究和意见来源,但大多数用户都满足于让其他人拥有主导自己认知的权力。
The Creepy Line 将谷歌和 Facebook 描绘为在这方面达到了新的邪恶程度,但操纵选民的关键因素仍然是选民自己。选民似乎满足于让自己被操纵。因为他们自己完全可以寻找除了 CNN 或谷歌新闻以及他们的 Facebook 新闻源以外的其他新闻来源,独立的媒体和真相。但是,许多人只是选择不这样做。
& 6
【被残害的记者 Khashoggi 的沙特朋友起诉以色列监视技术公司】利雅得皇室成员的尖锐批评者 Omar Abdulaziz 在点击了由 NSO 集团发送给他的钓鱼链接后,他与被谋杀记者的私密谈话暴露给了沙特当局,他现在要求该公司赔偿 160,000 美元。
该诉讼于周日在特拉维夫法院提起,由于与国际上对杀害 Khashoggi 的愤怒有关,因此可能会引发对该公司和以色列政府的更大关注,以色列政府授权监管技术的出口。以色列试图反驳,称“没有证据现实该技术已被使用”。
以色列国防部拒绝对其出口政策发表评论。
Abdulaziz 在2018年6月收到并点击了发送到他手机的链接,因此遭受了恶意软件攻击,设备完全被接管。该诉讼称,Abdulaziz 在点击链接后就面临了沙特当局越来越多的骚扰,包括拘留了他在沙特阿拉伯的家人。他和被残害的记者 Khashoggi 之间的通信也因此被沙特当局截获。
两个月前,来自利雅得的一支由15名成员组成的团队在伊斯坦布尔的沙特领事馆扼杀并肢解了 Khashoggi。他的遗体直到现在还没有找到。
下面是 Khashoggi 和 Omar Abdulaziz 之间在 WhatsApp 的通信,在今年8月由于 Omar 感染了以色列最臭名昭著的间谍软件,私密通信被沙特截获。两个月后 Khashoggi 就死了。
通信中 Omar 还说:“我很高兴你在国外,你很安全”。
然而,事实证明,流亡并没有获得任何安全。
这种间谍软件 —— 以色列 #NSO 生产的 #Pegasus —— ⚠️ 已经感染了45个国家,被用来监视异议人士。❗️亚洲有香港(之所以没有发现中国的感染者,是因为无法对中国做DNS缓存探测)在这里看到详细报告:《Report:以色列 NSO 生产的间谍软件 Pegasus 在45个国家被用于监视和攻击异议人士及活动家 — 亚洲有香港》
& 7
The slow strangling of Ecuador’s democracy: As Ecuador’s government delivers for the elites, the space for democratic resistance is being restricted, writes DANIEL McAVOY. It is increasingly clear that the case of Lula in Brazil is not only meant to be a model to drive that country backwards but a model for the continent as a whole. Our solidarity with Latin America has to be about defending more than social progress but, tragically for a region with such a history of brutal dictatorship, about defending democracy itself.
【厄瓜多尔民主的缓慢扼杀】DANIEL McAVOY 写道,随着厄瓜多尔政府为精英阶层提供服务,民主抵抗的空间受到严重限制。
美国的军用飞机飞越天空,抗议教育不公的学生们面临政治迫害。这不是拉丁美洲的黑暗和遥远的过去,这就是今天的厄瓜多尔。这一切清楚地提醒着人们社会正在如何退步。
在世纪之交席卷拉丁美洲的社会变革是现代人类历史上最先进的进步之一。委内瑞拉、玻利维亚、巴西、阿根廷、尼加拉瓜、乌拉圭和其他国家的政府共同推倒了数十年的欠发达、排外主义、贫困和不平等。在拉斐尔·科雷亚的领导下,厄瓜多尔是左翼潮流的核心部分,在短短十多年的时间里,贫困人口减少了三分之一,不平等程度比几乎任何其他拉美国家都要低。
精英们被迫缴纳税款,为卫生和教育方面的巨额投资提供资金。
外交政策重新定位,重点是与地区邻国的合作,远离美国的统治,这种统治使拉丁美洲的历史变得更糟。厄瓜多尔踢出美国军事基地就是最好的例证。
但自从科雷亚的任期于2017年5月结束以来,他的继任者列宁莫雷诺已经开始打倒这一社会进步所依赖的每一个支柱。
拉丁美洲的任何政府都不能在为其人民提供服务的同时、在与美国的关系中保持更大的独立性。不仅仅是由于地理上接近世界上这个最大的军事超级大国扭曲了拉丁美洲的政治,更有,华盛顿为了自己的利益而支持每个国家的统治精英。所以列宁莫雷诺与美国的密切关系是所有进步人士的担忧。
美国副总统迈克·彭斯在春季访问厄瓜多尔,开始破坏厄瓜多尔曾经的主权外交政策。此后,在厄瓜多尔开设了一个新的美国安全合作办公室 - 这个办公室曾经在科雷亚任期内被关闭。一架美国军用洛克希德飞机现在飞越厄瓜多尔的天空,其借口是“打击有组织犯罪”。
本周厄瓜多尔外交部长正在华盛顿会见国务卿迈克庞培。媒体猜测这是对委内瑞拉的进一步压制和结束厄瓜多尔对 Julian Assange 的庇护的一部分 —— 由于担心维基解密暴露美国在阿富汗和伊拉克的战争罪行。
渐进的国内政策也受到挫折。莫雷诺决定取消私人公司欠国家的数十亿美元,这说明了他的政府对阶级的忠诚,但反对他的政府新自由主义转变的抗议活动也正在加剧。学生们反对计划在2019年进行的4亿美元的教育削减,工人们的游行集中在政府结束燃料补贴等政策导致的生活成本上升。
但在民主方面,逆转可能是最尖锐的。
2018 年厄瓜多尔对民主自由的攻击令人恐惧。首先,莫雷诺总统组织了一次多问题公民投票,尽管没有得到宪法法院的批准,但仍在继续进行。
其中一个较为模糊的问题被用作借口,利用一个全能的“临时性委员会”来摧毁宪法法院法官并使其职位架空、取代总检察长和全国选举委员会、司法委员会和其他成员,塑造与政府更加一致的机构。厄瓜多尔显然违反了世界各地总统制中体现的三权分立。
Correa 政府的主要盟友遭遇了特别的针对性。事实上,成功管理该国十年的主要政治人物甚至无法注册一个政党 - 这是在即将举行的选举中的一项要求。
科雷亚的前副总统因对缺乏正当程序的担忧而被判入狱。他目前正在进行为期数周的绝食抗议。政府、而不是司法部门,最近提出了禁止科雷亚前政府所有成员离开该国的禁令。法治似乎太可有可无了。
所有这一切的真正目标当然是拉斐尔科雷亚本人。这位前总统面临着一连串的辱骂和指控,因为现任政府试图找到某种方式 - 任何方式 - 将他定为犯罪并阻止他重返前线政治。科雷亚在最近的一次采访中表示,最多有14项指控被提起。
最严重的也是最拙略的指控是称他“参与”绑架政治对手,但是没有任何证据。对于这些指控完全没有证据,厄瓜多尔政府未能成功要求国际刑警组织采取逮捕令,将科雷亚从他现在居住的欧洲带回来,以回应这些指控。即使是控方的律师也在说:“我觉得我们迫害Correistas(Correa 的支持者)是因为他们是 Correistas,而不是他们的行为。”
然而,具体的指控并不重要。正如在巴西发生的事那样,这一战略旨在阻止候选人重新参与政治,或强迫他们离开该国,以此推翻十年的社会进步。正如科雷亚最近解释的那样,正在发生的是一波政治迫害。右翼知道,在公平的民主斗争中,它不会赢得对新自由主义回归的支持。
越来越清楚的是,巴西卢拉的案例不仅意味着成为推动该国倒退的典范,而且是整个非洲大陆的恶劣典范。我们对拉丁美洲的支持必需不仅仅是为了捍卫社会进步,更多的是要捍卫民主本身。
& 8
Giuliani can’t figure out how URLs work, blames Twitter for liberal bias. "Twitter allowed someone to invade my text," Giuliani tweeted.
【真的不是笑话】Rudy Giuliani 在担任个人律师之前曾就唐纳德特朗普的网络安全事宜提供过简要建议,不过他甚至不了解域名是如何运作的。并且,由于缺乏理解导致他发明了关于 Twitter 的荒谬阴谋论。
这一切都始于 Giuliani 在推特上发表的一条推文:就是下面这样。你能看到他忘了一个空格。
如果有人发推文中存在有效的 URL,Twitter 会自动将其转换为超链接。在这种情况下,.in 是印度国家的顶级域名,因此 Twitter 将“G-20.In”解释成了 URL,并将其链接到了 http://g-20.in/。
结果一位名叫 Jason Velazquez 的亚特兰大恶作剧爱好者就这么找到了灵感,他认为这是个机会,于是迅速注册了 G-20.in 域名。
“我想,我可以买到这个并把我想要的东西放在上面'”,他告诉NBC说。
结果是一个简单的网站,上面的内容是宣布“唐纳德J.特朗普是我们国家的叛徒”,并包括与穆勒调查有关的信息的链接。
这是个有趣的玩笑。但是 Giuliani 可没被逗乐,他认为这是一种巫术,是推特在背后捣鬼,把辱骂特朗普的内容“嵌入”了他的推文。额。
Giuliani 的确表现出了一个受迫害妄想的典型症状。但是如果你仔细想想的话这件事并没那么好笑。当我们寄希望于传授安全知识时经常会被技术外行误会为“别有用心”,比如渗透测试,如果对方不能准确理解黑客这个概念,结果很可能发生的麻烦会比 Giuliani 的阴谋论要严重得多。
& 9
58 NGOs, professionals, hosting services and non profit Internet access providers ask Emmanuel Macron to renounce to its European Regulation project to censor the whole Web for dubious security reasons: ‘this Regulation would lead to mass surveillance of our online exchanges and to private and automated censorship of information, contrary to the humanist project that you intend to promote at the European level.’
【击退七骑士之一】#anticensorship 58 个非政府组织、专业人士、托管服务和非营利性互联网接入提供商要求 Emmanuel Macron 放弃其欧洲监管项目,因该项目是出于可疑的安全原因要求审查整个网络。
欧洲各国政府于12月6日举行会议,就此案文寻求共同立场。该条例将利用人们对恐怖主义的恐惧对整个互联网进行审查以形成寒蝉效应。并且,它只会加强谷歌和 Facebook 的霸权、并威胁我们所有人在线交流的私密性。
公开信写道:虽然欧盟委员会和贵国政府没有以令人信服的方式证明以全面审查的形式打击所谓的恐怖主义的有效性和必要性,但是你正在强迫互联网的所有参与者对没有经过法庭评估其危险性的内容采取行动,并要求在很短的时间内执行。
这些义务对整个欧洲数字生态系统极为危险。实际上,履行这些义务所需的经济、人力和技术手段已经大大超出了互联网几乎所有参与者的能力范围:很少有人能够在一小时内回应任何会员国发出的删除请求。以类似的方式,国家当局要求实施的监视措施和自动审查是完全不可行的。
因此,为了遵守这些新的限制,中小型经济参与者就只能把这些义务的执行外包给极少数网络巨头,这一切都鉴于执行人的财力,于是他们将能够首先支持谷歌和 Facebook。这种外包将导致经济和技术的严重依赖,这将严重损害整个欧洲的数字经济。
非营利组织和协作组织别无选择,只能关闭其服务。因此,该法规的结果只能是大大减少欧洲的数字多样性,并将其余部分提交给已经处于近乎垄断状态的少数几家巨头公司,其霸权早已应该受到争议而不是继续被加强。
最后,该规则将导致对我们所有人的在线交流以及私密信息的自动审查和大规模监视,这与您打算在欧洲层面推广的人文主义项目完全背道而驰。
我们,这个生态系统的参与者和基本自由的捍卫者,要求你放弃这个项目。
& 10
Disney's £35 Ariel doll earns a Chinese worker 1p: Undercover investigation exposes illegally long working hours and low wages for staff at factory producing toys for Disney. “Children love Disney’s toys but we want their parents to understand that there’s no Christmas magic going on here: those toys were made with cheap labour by women working illegally long hours for pennies.
【残酷的圣诞玩具】今年圣诞节,当全世界成千上万的孩子们兴奋地撕开礼物包装纸的时候,看到那些闪闪发光的娃娃 - 他们可能认为这是圣诞老人在北极的快乐精灵为他们制作的。但现实是残酷的,这些漂亮的礼物来自中国血汗工厂里一群可怜的工人。#humanrights
民权团体 Solidar Suisse 和中国劳工观察与卫报合作发布的一项调查发现,过度和非法加班、基本工资率低至每小时85便士、没有假期或病假工资、永远都是高水平的疲惫,这就是这些工人面对的现实。大部分女性劳动力为其他国际玩具公司制作迪士尼玩具和产品,包括美泰公司的 Fisher Price 品牌。
工人报告说,如果他们病假三天或更长时间,他们就会被罚款或被解雇。河源市华东工厂的工作人员表示,他们在一个月内加班175小时,在此期间仅休息一天 - 严重违反中国劳动法和玩具业行为准则。
今年早些时候进行的这项调查也突出显示了严重的性别不平衡,男性在管理层中的比例远远超过了女性,但女性占劳动力的 80%。
Princess Sing&Sparkle Disney Ariel 娃娃,售价 34.99 英镑,就是在这里制作的。许多网上商店已售罄缺货,并在圣诞节前几天等待货源补充。在上一季度,它帮助迪士尼消费品部门实现了 2.64 亿英镑的营业收入。而生产线上的每个女性工人每生产一个娃娃只能获得1便士。
在淡季,工人每月赚取约 2000 人民币(228英镑); 在旺季期间,他们一般能赚到约 3000元。而去年的一项调查显示,中国人的月平均工资为 7,665 元。
玩具厂里有很多女工,其中一些人年纪大了。所以,当工作时他们需要戴上老花镜。他们非常谨慎而迅速地工作,但有些时候,生产线负责人会说他们的工作太慢或者会对他们喊叫。每当女工被大吼大叫时,她们就永远不会说一句话,并会默默地继续处理手头的任务。
“孩子们喜欢迪士尼的玩具,但我们希望他们的父母明白,这里没有圣诞魔法:这些玩具是由被迫长时间非法工作的妇女们用廉价劳动力制造的。
& 11
Cryptographic crumpling: The encryption 'middle ground' for government surveillance. Researchers believe a new encryption technique may be key to maintaining a balance between user privacy and government demands. The new technique would allow governments to recover the plaintext for targeted messages, however, it would also be prohibitively expensive.
【真的可以“平衡”吗?】#encryption 对于全世界的政府而言,公众的加密安全与政府需求的监视之间永远都是矛盾的。官员们正在向技术公司和应用程序开发商施加压力,这些公司和应用程序开发商提供端到端加密服务,他们被要求为警察部队提供破解加密的途径。
然而,当你向这些服务提供后门的那一刻,你正在创造一个弱点,不仅警察和政府可以使用,任何威胁行为者都可以使用,并且破坏加密整体的安全性。
随着美国国家安全局的大规模监视和数据收集活动成为头条新闻,对政府的信心及其对真正的犯罪案件进行间谍活动的能力开始迅速减弱。
现在,加密和安全通信渠道的使用越来越受欢迎,技术公司正抵制在加密协议中植入刻意弱点的努力,双方都不愿意让步。
那么在这种情况下可以做点什么?也许从一开始,就必须付出一些代价。
波士顿大学的研究人员认为他们可能已经提出了解决方案。上周,该团队表示,他们已经开发出一种新的加密技术,可以为当局提供一些访问权限,但不会在实践中提供无限制的访问权限。
换句话说,这是一个中间立场 —— 一种打破加密以安抚执法的方式,但不能达到对公众进行大规模监视的程度。
波士顿大学研究副教授和密码学专家 Mayank Varia 开发了这种新技术,称为加密 “crumpling”。在一份记录该研究的论文中,主要作者 Varia 表示,新的加密方法可用于政府目的的对加密数据的访问,同时保持用户隐私在合理水平上。
这种技术使用两种方法 —— 第一种是模块化算术组的 Diffie-Hellman 密钥交换,制造一个“极其昂贵”的难题,必须解决这个难题才能打破协议,第二种是“基于哈希的工作证明,以对每个消息的“恢复”施加线性成本”。
该团队表示,这种情况也只允许“被动”解密尝试,而不是中间人(MiTM)攻击。通过将加密谜题引入到每个消息加密密钥的生成中,密钥将可以解密,但是需要大量资源才能解密。此外,每个关键字都必需独立完成整套解密工作,这意味着“政府必须花费精力来解决每个问题。”
为了防止未经授权的破坏加密的尝试,该技术充当了一个看门人,它比单个关键难题更难解决。虽然这不一定能阻止国家支持的威胁行为者,但它至少可以阻止个别的网络攻击者,因为对他们来说成本太高不值得。
新技术将允许政府恢复目标消息的明文,但是,它也会非常昂贵。例如,使用今天的硬件,70 比特的密钥长度将花费数百万美元,这样可以迫使政府机构更仔细选择目标,并且高额的费用可能会防止滥用。
该研究小组估计,政府每年可以破解少于70个密钥,预算接近 7000 万美元,每条消息还可能需要额外花费1,000到100万美元,这些数字很难更低了,特别是因为在没有上下文数据的情况下,来自可疑目标人的单独一条消息不太可能确保定罪。
该团队表示,crumpling 可以适用于常见的加密服务,包括 PGP,Signal,以及全盘和基于文件的加密。该研究由国家科学基金会资助。
~~~
💡 研究人员开始使用无监督机器学习算法来对大量域名信息数据集进行分析,以发现新的威胁并进行拦截。一旦恶意域名开始活跃,机器学习算法就可以快速识别出攻击活动的恶意域名。《如何利用机器学习检测恶意活动?》
感谢帮助 iYouPort!
PayPal 捐赠渠道已开通 https://paypal.me/iyouport
Comments