top of page
Search
  • Writer's pictureIYP

橘子有虫、戒断 Facebook、损失放大镜、老大哥的耶路撒冷— Newsletters (01.11.2019)

中国如何参与耶路撒冷旧城的“老大哥”?Orange Livebox ADSL 正在泄露 WiFi 凭据,为什么非常危险?新的隐私保护技术如何挑断了监视资本主义的生命线?怎样才能戒断 Facebook?Twitter 上的 meme 如何成为了攻击的武器?华为在印度的“惊人一举”是什么?金钱为什么成为了一种病毒?“Airbnb“已废,我们还可以怎么办?



&1


【隐形暴力】#pressfreedom 著名记者 Khadija Ismailova 的银行账户被冻结。因此,她无法获得应得的阿塞拜疆政府的赔偿。该记者的律师说,欧洲法院对赔偿金支付施加的任何障碍都是非法的。Khadija Ismayilova 是阿塞拜疆著名记者,因其对阿塞拜疆当局的高调调查和批评而闻名。


2015年,她被判处7.5年徒刑。 2016 年,刑期被缓刑所取代。Khadija Ismayilova 最初入狱时,国际组织强烈要求释放她,因为逮捕是出于政治动机。


早在 2013 年1月,Khadija Ismayilova 就在抗议集会中被拘留并被判处罚款。她拒绝付款,然后她被判处社区服务。 2017 年4月,欧洲法院承认这是违法行为,并命令阿塞拜疆政府向 Ismayilova 支付 6,000 欧元的赔偿金和 2,000 英镑的法律费用。然而银行账号却被冻结了。


律师 Namazli 说他们将向欧洲委员会提出了申诉。


&2

In this flash report, Who Profits examines the ‘Mabat 2000’ visual surveillance program implemented in the occupied Old City of Jerusalem by the Israeli state and for-profit. Launched in the year 2000, ‘Mabat 2000’ – an acronym in Hebrew which stands for “technological & surveillance center,” and also a word which means “gaze” – is the Israeli police’s most comprehensive visual surveillance project in the Old City, saturating every street and alleyway with Close-Circuit Television (CCTV) cameras.


【中国参与制作耶路撒冷旧城的“老大哥”】#Surveillance 在这份新报告中,Who Profits 审查了以色列国家和营利部门在被占领的耶路撒冷旧城实施的“Mabat 2000”视觉监控计划。 2000 年推出的 “Mabat 2000” - 希伯来语的缩写,代表“技术与监控中心”,也是“凝视”这个词的意思,是以色列警方在老城区最全面的视觉监控项目,每条街道和小巷都有闭路电视(CCTV)摄像机。


Who Profits 记录了以色列公共企业集团 C. Mer Group 在“Mabat 2000”软件的安装、维护和实施方面的参与情况。此外,还有四家公司参与提供监控硬件:VideoTec,一家意大利私人公司;大华科技,一家上市的中国公司;索尼公司,一家公开上市的日本企业集团,以及以色列私人公司 Evron Systems


历届以色列政府扩大了市政边界,建造了12个非法定居点,以容纳20多万以色列定居者,促进占领旧城及邻近社区的巴勒斯坦人的住房,并开发了错综复杂的绕行公路网和轻轨网络,以建立一体化巩固以色列控制的基础设施。


与此同时,巴勒斯坦人被系统地与城市隔绝。大约 323,700 名巴勒斯坦人作为永久居民生活在东耶路撒冷,其中67%的人生活在贫困线以下。1967年至2016年期间,以色列当局撤销了 14,500 多名巴勒斯坦耶路撒冷人的居留身份。同时市规划部门实施了积极的强拆政策。


自 1967 年以来,以色列拆毁了东耶路撒冷的 2,000 多所房屋。由于以色列的建筑许可证极难获得,超过10万巴勒斯坦居民生活在不断强拆的威胁之下。


这种政策和做法是由暴力镇压的安全机构实现的,旨在抑制对以色列占领的任何形式的抵抗,同时设计一个“正常的外观”。监禁在以色列监狱的 5,640 名巴勒斯坦政治犯中,约有 500 名来自东耶路撒冷。儿童面临以色列当局的“集中逮捕运动”。仅在2017年,共有1,138名儿童被捕,还有许多人被软禁。这种军事监视设备越来越多地集成了高科技全景机制和算法,这些机制和算法由公共安全机构 - 主要是以色列警察和国家资助的私营安保公司(PSC)共同控制


该报告调查了在东耶路撒冷运作的多层全景监视和控制机制,特别关注“Mabat 2000”项目并揭露其中的企业共谋。


报告揭示了该项目在被占领城市更广泛采取的安全机构中的核心地位。它着眼于政府的具体政策,这些政策有助于警察和 PSC 在被占领的东耶路撒冷建立最先进的视觉监控网络。


此外,该报告还说明了以色列前安全机构成员如何将知识私有化并通过公司创造利润。最后,报告揭示了该系统对巴勒斯坦人的不利影响、旧城遗址和那里的巴勒斯坦居民被用作试验场的方式,及以色列和国际公司的营销工具。


&3

Over the weekend, a security researcher has discovered that nearly 19,500 Orange Livebox ADSL modems are leaking WiFi credentials. The attacker is exploiting a vulnerability affecting Orange LiveBox devices (CVE-2018-20377) that was first described in 2012.


【橘子有虫】#bug 上周末,一位安全研究人员发现,近19,500台 Orange Livebox ADSL 调制解调器正在泄露 WiFi 凭据。Bad Packets LLC 的联合创始人 Troy Mursch 说,他的公司已经发现至少有一个威胁行为者大量扫描 Orange 调制解调器。 Mursch 说,扫描于12月21日星期五开始。


攻击者正在利用2012年首次描述的影响 Orange LiveBox 设备(CVE-2018-20377)的漏洞。该漏洞允许远程攻击者通过访问获取调制解调器内部 WiFi 网络密码和ID(SSID)只需访问调制解调器的 get_getnetworkconf.cgi。


这可能存在各种危险。首先,攻击者可以将这些详细信息用于近场黑客攻击。像 WiGLE 这样的服务允许攻击者仅根据其 SSID 获取 WiFi 网络的确切地理坐标。由于 Orange 调制解调器还泄漏了 WiFi 密码,攻击者可以前往可能的高价值目标,例如公司或富有的家庭,并使用密码访问受害者的网络并对附近的其他设备发动攻击。


其次,此漏洞还可用于构建在线僵尸网络。 Mursch 指出,许多用户倾向于为调制解调器的 WiFi 网络重用相同的密码,但也为后端管理面板重复使用相同的密码。此面板可用于更改调制解调器的设置,但也可用于访问敏感信息。


Mursch 与 ZDNet 共享了一个包含近 19,500 个 Orange LiveBox ADSL 调制解调器的列表,他认为这些调制解调器容易暴露WiFi密码和SSID。绝大多数位于 Orange Espana(AS12479)的网络上,分配给法国和西班牙的客户。


这不是第一起发现数千台设备在线泄露凭证。 7月,NewSky Security 发现超过 30,000 台中国大华设备的默认管理凭据在 IoT 搜索引擎中缓存。同一家公司去年12月还被发现近 6,500 个串行以太网设备在线泄漏 Telnet 密码,今年5月再次发现巴西 ISP 已经将 5,000 多台路由器连接到互联网而没有 telnet 密码。



&4

New app to protect your privacy will run on iOS, Android, Windows, and Mac: FigLeaf's app will let you discover where your personal data has been leaked across the internet, and arm you with new tools to stay private.


【损失放大镜】#privacy 当您想到数据泄露和隐私侵犯时会想到什么?谷歌、Facebook、WeChat、Amazon……好像太多了。消费者可能会因为不知道如何反击而感到无助,或者可能无法理解这种侵犯如何影响自己。FigLeaf 是一个由 Slava Kolomeichuk 和 Yuriy Dvoinos 主持的项目,正在开发跨平台的应用程序,帮助用户深入了解自己的个人资料如何受到影响,您马上就可以利用这个新工具来控制谁可以访问自己的私人信息。


FigLeaf 有一个100人的团队,一直致力于解决隐私问题。


通过该应用程序,用户还可以获得一些工具来收回自己的私人数据,并最终决定谁可以访问或不能访问它。Dvoinos 表示,即使用户选择保持完全私密而不共享任何数据,他们仍然可以享受互联网。这是最重要的。


FigLeaf 的应用程序仍处于私人测试阶段,能够发现您的个人数据是否以及在何处被泄露。据该公司称,了解您的暴露程度是提高安全性的第一步。


“用户可以立即了解自己的隐私的曝光方式和程度,”FigLeaf 的首席运营官兼首席营销官 Pankaj Srivastava 告诉 Download。“接下来我们知道可以如何保护这些信息。”


以窃取数据为生的公司经常依赖于使用重复密码的用户。FigLeaf 帮助用户构建更安全的密码,加密密码,并可以跨设备同步密码。Srivastava 表示该公司无法访问用户的密码。


FigLeaf 将提供的另一个工具是创建连接到真实帐户的虚拟电子邮件帐户的方法。用户可以使用虚拟帐户执行任何在线交易,并且即便在数据泄漏的情况下,个人数据也能受到保护。


该应用程序允许您通过简单地切换来选择哪些网站或公司可以访问您的数据。它类似于在任何其他应用中自定义您的设置。


在你处于完全被监视的环境中,你肯定会改变自己的行为,这就是互联网如何塑造了新一代的人类,把人们变成了当权者想要的样子。FigLeaf 的方法是为用户提供两全其美的选择:完全隐私和正常的在线状态。


“我们保护连接并移除所有跟踪器,”Dvoinos 说。“每当你上网时,大多数网站都会实现[至少] 80个跟踪器。”FigLeaf 的产品在隐私领域的潜在竞争对手中脱颖而出,了解利益相关者如何运作以及如何存储被盗数据是反击的关键。


FigLeaf 并不是第一个希望影响互联网消费者隐私和数据保护的计划。创业公司 Hu- manity 推出了#My31应用程序,据称可以通过所有权 title 让用户对其个人数据进行合法控制;反 Facebook 的应用程序 MeWe 更直接地与世界上最大的社交媒体平台竞争,以用户保护和隐私为主要目标。


FigLeaf 应用程序预计将于 2019 年第一季度推出,并将于2月底在巴塞罗那举行的移动世界大会上展出。目前,用户可以下载并试用 Windows 或 Mac 的私人测试版。Android和iOS测试版即将推出。


&5


【如何戒断 Facebook?】其实很简单,只需要三步。当然,与戒断所有东西一样,这需要您强大的毅力。


1、第一步(这本身就需要毅力)就是从手机中删除官方 Facebook 应用程序。如果您想访问 Facebook,可以使用移动网站。给自己制造一点障碍是非常有必要的。


2、第二步,设置屏幕时间限制。在 iOS 12 中,Apple 增加了屏幕时间功能,可以跟踪您使用不同应用程序所花费的时间。您还可以使用它来限制您可以在整个社交媒体上或仅使用 Facebook 上花费多少时间。

并且它适用于应用程序和网站。如果您只想在 Facebook 上节省自己的时间,那么您可以设置屏幕时间限制。屏幕时间功能会在您接近“极限”时提醒您,当然,您可以忽略提醒。所以,它可能不会打破你的成瘾,但它至少会让你更加一些关于自己浪费了多少时间的意识。


3、杀死算法操纵的 Newsfeed:


最后一步,如果你真的想阻止自己通过 Newsfeed 的盲目滚动,最好的方法就是完全删除它。另外免费的应用程序 Feedless 使用 iOS 的内容阻止功能可以完全隐藏 Facebook 网站上的新闻源。你仍然可以发布状态,检查通知,并做其他一切:只是你不会再无意识地滚动以浪费时间了。(Feedless 还可以在 Safari 中阻止你的 Instagram 和 Twitter 提要,每月0.99美元)。


要进行设置,请从 App Store 下载 Feedless。转到设置> Safari>内容拦截器并启用 Feedless。

现在,当您在 Safari 中访问 Facebook 时,您将不会在 NewsFeed 中看到任何帖子。如果你愿意,你可以禁用它,但这意味着放弃。


打破任何成瘾都是困难的,Facebook 也不例外。通过使用网站、屏幕时间和 Feedless 的组合,我成功地养成了好的习惯。你也可以做到。


&6

Security researchers said they’ve found a new kind of malware that takes its instructions from code hidden in memes posted to Twitter. The researchers said that memes uploaded to the Twitter page could have included other commands, like “/processos” to retrieve a list of running apps and processes, “/clip” to steal the contents of a user’s clipboard and “/docs” to retrieve filenames from specific folders.


🐞【黑客通过隐藏在 Twitter 上的 meme 中的命令来控制恶意软件】Trend Micro 的安全研究人员近期发现了一种新的恶意软件,它会从攻击者控制的 Twitter 账户上所发布的 meme 中检索黑客所发布的命令。这种命令下发方式加大了恶意软件相关的流量的检测难度,因为在这种情况下,这些恶意软件流量看起来是合法的 Twitter 流量。


使用合法的 Web 服务来控制恶意软件并不是头一回,过去的也曾有黑客使用合法的网络服务,例如 Gmail、DropBox、PasteBin 以及 Twitter 来控制恶意软件。


而此次,Trend Micro 发现黑客利用了隐写术将发送给恶意软件的命令隐藏在 Twitter 上的 meme 中。


“这种新的安全威胁(标记为 TROJAN.MSIL.BERBOMTHUM.AA)是值得人们关注,因为恶意软件是通过合法的服务(流行的社交网络平台)接收的命令的,黑客往帐号上传了一个看起来无害但包含恶意代码的 meme,除非封禁这个恶意帐户,否则它就一直生效。”Trend Micro 发布的报告说道。


“截至2018年12月13日,Twitter已经下线这个帐户。”


攻击者将“/print”命令隐藏在 memes 中,该命令是让恶意软件截取受控制的机器的截图,并将其发送回 C&C 服务器,服务器的地址是通过http://pastebin.com网站上的一个硬编码 URL 获得的。


BERBOMTHUM 恶意软件会下载攻击者指定的 Twitter 帐户的内容,扫描 meme 文件,并提取其中包含的命令。


这个黑客使用的 Twitter 账户创建于2017年,分别在10月25日和26日发布了两个 meme,用于向恶意软件传递“/print”命令。

根据 Trend Micro 的说法,该恶意软件正处于早期开发阶段,其中 Pastebin 论坛上存放的链接是指向本地。



&7


【华为-印度】#Huawei 中国电信设备制造商华为表示,它正积极与印度政府和电信运营商合作,并准备提供其源代码进行筛选和测试,以减轻安全问题。


“在英国,政府已经建立了一个测试中心,我们已将源代码放在该中心进行全面筛选和测试。 印度也提出了安全问题,我们已承诺向印度政府提供源代码。我们将是唯一一个这样做的人。我们现在就准备这样做,“华为首席执行官 Jay Chen 在印度表示。


该高管继续强调老一套的话称,华为是100%员工所有的公司,并非中国的国有或上市公司。


美国东部时间周五报道称,尽管美国呼吁抵制,但印度不太可能禁止华为在该国销售5G设备,这与之前的立场相反。


印度移动运营商协会(COAI)周一为华为进行了辩护,有报道称电信设备和服务出口促进委员会(TEPC)计划就国家安全问题寻求对中国电信设备制造商的限制。然而该行业机构在给电信部长的信中敦促政府不要根据 TEPC 提出的“涉嫌问题”匆忙作出任何决定。


华为上个月底已经与印度电信公司就5G试验提交了联合申请。Chen 说,该公司正在与印度的所有三家私营电信公司进行讨论。 “我们正在等待 DoT 对这些测试的最终批准。我们也正在与他们合作进行试验。“他补充说。


请注意:印度市场在高堡奇人大战中的敏感性高堡奇人的美方剧本



&8

An update on the Snowden refugees: If even an internationally recognized human rights lawyer, and Canadian citizen, is not safe in Hong Kong and is forced to flee for simply doing his job, where does that leave his vulnerable clients, asylum seekers, including the Snowden Refugees?


【5年了,他们仍在追捕 Snowden 的律师】#humanrights 即使是国际公认的人权律师和加拿大公民,留在香港也已经不安全了,如果律师都要被迫逃离,那么他帮助的弱势客户 ——包括 Snowden 和难民们在内的寻求庇护者能躲到哪里去?


这些难民的处境已经很糟糕,而且一直正在恶化。现在是加拿大最终处理申请并将这些勇敢的难民带到安全地带的时候了。与此同时,非营利组织已经支付了近两年的生活费用给这些难民。但是过去两年来这些生活费用加起来超过15万加元(香港真的很贵!)。NGO已经筹集了很多,但也不得不花费很多,现在储备已经枯竭了。


协助者在网站上呼吁:“一如既往,感谢所有人。没有你们的帮助,我们不可能做到这一点,当我们把这些难民带到安全地点时,你会知道你在拯救他们的生命中发挥了关键的作用,无论你是捐赠还是仅仅是在社交媒体上分享我们的内容。你的支持对这些难民家庭以及我们所有试图帮助他们的人来说都意味着整个世界!”



&9

American Universities’ China Problem: fear of offending the Communist regime has spread to American campuses Some of the blame belongs with China, but much of it belongs with the US universities themselves.


【金钱是一种病毒】根据一些中国学者上个月发布的一份报告,中国共产党利用含糊的威胁诱使美国教授和学生避免可能冒犯中国政府所谓敏感性的话题 —— 例如研究或讨论西藏、台湾、新疆、人权和中国政治。在一所大学接待了达赖喇嘛尊者之后,北京进行了报复,禁止进入该大学的中国学生和学者获得中国政府的资助。


当人们委托的这些原本应该追求真理的机构开始躲避真理时 —— 特别是他们才能做那些我们很难自己做的学术研究 —— 所有人都会受苦。


大学的求实角色的重要性不容小觑。医学研究人员提供有效和无效疗法的数据;经济学家衡量不同政策选择的影响;社会学家研究公共机构和个人经历如何影响教育及其结果;政治学家分析政府 ……美国大学的完整性很少受到质疑,因为在假设学者享有学术自由。


相比之下,中国学者居住在一个截然不同的世界。10年前我在北京工作时,经常遇到那些不得不小心自己说些什么话的学者。2010年,我与北京大学 - 中国最优秀的教授共同主持了一个项目。当其中一位发言者提到政权批评家刘晓波的名字时,他变得焦躁不安。教授担心他会被降职或者减薪。


十年之后,对冒犯共产党政权的恐惧已经蔓延到了美国校园。一些责任属于中国,但其中大部分责任属于美国大学本身。通过越来越多地依赖中国资金,他们陷入了深刻的利益冲突:坚持学术自由、还是取悦北京。


在过去十年中,对中国的经济依赖程度大幅增加。大学以创纪录的数量招募中国学生。入学人数飙升 400%。根据美国商务部的数据,中国学生每年的学费估计为 120 亿美元。


大学请求中国资金扩大市场。纽约大学、约翰霍普金斯大学、杜克大学等与中国政府的大学合资建立了分校,接受了中共的慷慨捐赠和土地捐赠。资金紧张的大学寻求中国资金来举办孔子学院,有些人认为孔子学院是宣传中心。据美国教育部披露的消息,自2011年以来,中国消息来源说为77所美国大学捐款超过 4.26 亿美元。这个数字几乎肯定是轻描淡写了,因为大学只需报告超过 250,000 美元的捐款,这个数字也不包括非现金支持。上周,据透露,与外国贿赂有关的中国企业集团 CEFC 帮助哥伦比亚大学能源中心筹集了50万美元。


学术自由是受害者。


一个最近的调查,对500名在美国的中国学者的采访发现,其中约 68% 的受访者被确认为自我审查。正如普林斯顿大学东亚研究荣誉教授佩里·林克(Perry Link)最近所说的,“我们不谈论'台独”,我们谈的是“两岸关系”。我们不谈论“占领西藏”,我们不会把六四大屠杀称为“大屠杀”。6月4日是“事件”,或类似的事。“


该报告认识到了对学术自由的威胁,建议美国大学更仔细地审查他们接受的中国捐款,以确保他们不会限制学术自由。


但是,这样的提议基本无效。因为,中国的捐款从未明确限制学术自由。相反,是人们自己在担心如果不能充分地自我审查就无法得到北京的支持


减少干扰的唯一方法是让大学优先考虑说出真相的历史使命。大学仍然应该欢迎中国学生,但他们需要停止接受中国政府的资金。立法者、商人和公众依靠无偏见的研究来帮助他们做出明智的决定。如果我们的大学再也不能被视为真理的仲裁者,谁能做到?


罗伯特·普雷希特(Robert E. Precht)是总部设在纽约的法律智囊团 Justice Labs 的主管。此前,他曾担任中国公共利益法律网络主任和密歇根大学法学院助理院长。


&10

German City Wants Names And Addresses Of Airbnb Hosts; Chinese Province Demands Full Details Of Every Guest Too. That information provides a very handy way of keeping tabs on people travelling around the province who stay in Airbnb properties and the like


【“Airbnb“已废:德国城市想要了解 Airbnb 房东的名字和地址;中国的省也要求每个客人的全部细节】#privacy 像 Airbnb 和优步这样的在线服务喜欢将自己定位为“共享经济”的一部分。事实上,它们只是租赁行业的新曲线,利用互联网广泛的可用性来扩大参与和简化谈判。这导致了在线服务和传统的当地监管机构之间的紧张关系,这是 Techdirt 2016年在美国发现的事。需要提醒的是,类似的战斗仍然在全球范围内进行。正如 Out-Law.com所报道的那样,这就是德国正在发生的事:


慕尼黑市要求 Airbnb 向其提供超过允许的最长租期[一年内的八周]的所有租房信息。具体而言,在 2017 年1月至 2018 年7月期间,它希望 Airbnb 向当局提供所有公寓的地址以及房主的名称和地址。


Airbnb 向慕尼黑行政法院提出了质疑,该法院刚刚裁定这家美国公司必须遵守德国法律,即使其欧洲办事处位于爱尔兰。他们说该请求是合法的,并且与欧盟的隐私法规“没有冲突”。


最后,它裁定如果不符合其信息要求,慕尼黑市威胁要对 Airbnb 征收 300,000 欧元的罚款,这也是完全可以的。据推测,Airbnb 将对此提出上诉,但如果最终 Airbnb 输了,可能会鼓励德国其他城市也提出类似请求。至少事情还没有在中国发生的那么糟糕。


根据 TechNode 的帖子:


中国东部的浙江省要求包括 Airbnb 在内的共享平台向该省的公安部门报告所有者和客人的一切信息。平台需要检查、登记和报告双方的身份,包括客人计划抵达和离开出租房的时间。


该信息提供了一种非常方便的监控在该省旅行的所有人的方式,只要他们住在 Airbnb 等共享房产里。这是中国当局如何强迫数字服务监视公民的又一个例子。


上述两个消息不仅仅是希望说明无死角监控的“全球化”问题,并且,更重要的是,提醒人们尤其是敏感人士,需要尽快想到更可靠的旅行计划(此处不方便提示)。⚫️


感谢帮助 iYouPort!

PayPal 捐赠渠道已开通 https://paypal.me/iyouport

15 views0 comments
bottom of page