2015年7月7日星期二
Hacking Team被攻击,攻击者公布400GB的文件 zz
臭名昭著的意大利安全公司Hacking Team被黑,攻击者控制了Hacking Team的Twitter账号,公布了400GB的电子邮件、内部文件和源代码(mega下载地址,磁链)。Hacking Team开发和销售互联网监控软件,被记者无国界组织列为“互联网的敌人”,虽然该公司坚称它不与专制政府做生意。根据目前已分析的内部文件,Hacking Team的客户包括了:埃及,埃塞俄比亚,摩洛哥,尼日利亚,苏丹,智利,哥伦比亚,厄瓜多尔,洪都拉斯,墨西哥,巴拿马,美国,阿塞拜疆,哈萨克斯坦,马来西亚,蒙古,新加坡,韩国,泰国,乌兹别克斯坦,越南,澳大利亚,塞浦路斯,捷克共和国,德国,匈牙利,意大利,卢森堡,波兰,俄罗斯,西班牙,瑞士,巴林,阿曼,沙特,阿联酋。Google也被发现与Hacking Team有业务往来,看起来是与地图和Google地球软件相关。
标签: Hacking Team
巴基斯坦第一部 Android One 手机发布,售价约702元人民币 zz
Google 在官方博客宣布在巴基斯坦发布一款型号为 QMobile A1 的Android One手机,售价 115000 PKR,折人民币约702元。此款手机搭载联发科4核心1.3GHz 的 CPU,1GB的RAM,8GB的ROM,4.5英寸854×480显示屏,使用的是最新版本的 Android Lollipop 5.1.1 系统。Android One 是2014年 Google I/O 大会上最引人注意的项目,Android One的目的是为了让谷歌控制的Android快速吸引到下一个十亿(甚至二十亿)的用户群,方法是在本地OEM的协助下提供具备竞争力的入门级产品。通过这种方式,厂商们不必再去担心软件或硬件,这也让它们能够更快地推出更多产品。从谷歌的角度看,Android One让他们可以更加严密地控制Android生态系统,并确保自己的服务和设计语言(Material Design)被放在了最重要的位置。
标签: Android One, google, QMobile A1
亚马逊开源它的TLS库 zz
亚马逊在Apache许可证下开源了它的TLS实现库s2n,代码托管在Github上。s2n只有6000多行代码,只相当于OpenSSL的1%多一点。OpenSSL备受人诟病的一点就是代码过于复杂,难以检查和安全评估,去年OpenSSL曝出高危漏洞Heartbleed之后,OpenBSD就创建了分支LibreSSL。亚马逊明确表示会支持OpenSSL,s2n并没有提供额外的加密功能,它只实现了SSL/TLS特性的一个相对小的子集。
标签: Apache, Github, OpenSSL, TLS
奇虎360和Go语言 zz
奇虎360的软件工程师在Go语言官方博客上发表文章介绍该公司使用Go语言的经验。尽管Google被封杀,但该公司主导开发的Go语言在中国非常受欢迎,而让很多人感到不可思议的是,奇虎是一家受争议的公司,同时还是封杀Google的帮凶。在Go博客文章中,奇虎的工程师称他们从2012年开始使用Go,被用于旗下产品的推送服务。奇虎的产品多为免费,它的收入来源与推送关系密切。奇虎工程师称,基于Go的推送系统最初运行在20台服务器上,有2000万的实时连接,一天发送200万条信息。今天,这套系统运行在了400台服务器上,支持2亿+的实时连接,每天发送超过100亿条信息。
中国的iPhone越狱产业链 zz
今年3月,中国的太极越狱团队邀请了国外知名的iPhone黑客到中国来介绍越狱技巧。越狱是绕过苹果iOS限制安装第三方应用商店和应用的一种说法。Google的Android允许你安装第三方应用商店,但iOS则有着严格的限制,越狱者通常是利用了系统的漏洞去安装第三方应用,而苹果通常会通过更新系统去堵上越狱的漏洞,这是一个猫与鼠的游戏。在中国,iPhone非常受欢迎,但付费购买应用还没有成为每个人的习惯,越狱下载破解软件因此就流行起来,因为流行它也逐渐的产业化了,中国的互联网巨头甚至公开支持这一做法,不在乎会惹恼苹果。而发现iOS 0day漏洞的黑客能以数千美元到数十万美元的价格将其出售给中国公司。目前中国最流行的第三方iOS应用商店是阿里巴巴的PP助手,它不需要越狱就能安装在iOS设备上,但PP助手利用了其它方法绕过了苹果的安全政策,它利用企业证书,而企业证书本应该用于企业在内网分发定制应用,它们被严禁用于商业用途。苹果可以撤销这份证书,但PP助手也能轻易获得一份新的证书。
标签: Alibaba, iPhone, PrisonBreak
2015年7月2日星期四
当企业被出售,你的信息也会被出售 zz
很多互联网公司的隐私政策中,都包含有在被收购、破产出售或其它交易的情况下转移用户私人数据的措辞。在Alexa Top 100网站中,有85家公司都包含此类措辞,其中包括亚马逊、苹果、Facebook、Google、Hulu和LinkedIn。 以Hulu为例,订阅者的姓名、出生日期、电子邮件地址、浏览的视频和设备位置等信息都可能作出交易的一部分转移给一个或多个第三方。对互联网公司的这一做法,得克萨斯州的首席检察官助理Hal F. Morris说,就好像是“我们永远不会出售你的数据,除非我们需要或公司出售。”2年前,德州的一家网络约会公司True.com在破产程序中试图将其4300万用户的信息出售给加拿大的一家约会网站,出售的数据包括了用户姓名,出生日期,性取向,种族,宗教,刑事定罪,照片,视频,联系人信息等。由于网站的隐私政策中没有声明未经用户许可出售或共享用户个人信息,所以得克萨斯州可以进行干预阻止出售200万得州居民的数据。但如今网站都学聪明了,消费者不再能享受这一保护。
标签: Privacy
劫持用户手机挖掘狗币莱特币的应用开发者 zz
美国联邦贸易委员会公开了一份和解协议,一位开发移动应用劫持用户手机挖掘狗币莱特币的开发者同意向新泽西州支持5万美元。Ryan Ramminger开发的应用叫Prized,去年它被趋势科技的研究人员发现内置了挖矿程序,利用用户的设备挖掘挖莱特币、狗币和夸克币。它没有在服务条款和描述中提到会利用用户设备从事计算密集型任务如挖莱特币和狗币。为了避免用户注意到手机的异常情况,矿机程序只在充电时激活。Prized通过官方市场Google Play发布,其安装量在一万到五万之间。
不需要访问源代码就能修正软件bug zz
在本月美国计算机学会举行的编程语言设计和实现会议上,MIT的研究人员展示了名为CodePhage的系统,它不需要访问应用程序的源代码就能自动修正其bug。CodePhage的工作原理类似于器官替换,有大量的开源项目实行了相同的功能,CodePhage系统就是识别目标软件有故障的组件,然后将“捐赠者”的好组件拼接到目标软件上替换故障组件。但说起来简单实际上很复杂,因为不同的软件使用了不同的编码标准,不同的变量名,不同类型的变量,变量可能是局部的也可能是更高级的,而CodePhage需要识别这些联系,让捐赠的组件能完美工作。研究人员在会议上用CodePhage修复了7个发现bug的开源程序,花费时间从2分钟到10分钟不等。
欧盟从2017年停收漫游费,平等对待流量 zz
欧盟周二同意了最终版的电信法,以法律形式确定从明年起网络流量将得到平等对待,同时将从2017年6月15日起停止收取手机漫游费。法律文件仍需得到欧洲议会和欧盟各国政府的批准才能生效。他们基本上会确认批准。根据新法,运营商应对所有网站流量一视同仁,这一规则被称为“网络中立”。法律将于明年4月30日生效,它比美国颁布的类似法律更温和,允许运营商针对视频会议等特殊服务订立确保达到最低互联网质量标准的协议,前提是不妨碍其他用户的网络访问。
标签: EU
中国通过国家安全法 zz
人大常委会以154票赞成,0票反对,1票弃权基本上是全票通过了国家安全法。目前人大网上还没有公布国家安全法的全文,只有草案二次审议稿可以浏览,不清楚草案和正式法律文件之间存在多少差异。在新闻发布会上,华尔街日报的记者质疑国家安全的定义过于宽泛和措辞模糊,人大常委会法工委副主任郑淑娜回应说,“‘国家安全’一词,在上世纪中叶被西方大国应用于法律规定。半个多世纪以来,从一些西方国家的国家安全战略和相关国家安全立法来看,对此定义不完全相同,但有一点是共同的,就是:维护国家安全的核心是维护国家核心利益和其他重大利益,有的国家把它称为‘生死攸关的利益’ 、‘极端重要利益’,包括生存、独立和发展等方面。任何负责任的政府在维护核心利益时,都会态度坚决、不容争议、不容妥协、不容干涉。世界各国都是这样做的。中国自然不会例外。”
标签: 国家安全
RFC 7568呼吁淘汰不安全的SSLv3 zz
根据互联网工程任务组的RFC 7568提议,SSLv3不应该再被使用,因为它已经不再安全。SSLv3早被TLSv1.0/1.1/1.2协议替代,但客户端和服务器仍然支持SSLv3。RFC 7568推荐拒绝使用SSLv3安全通信的请求。Google安全团队成员去年报告在SSL 3.0中发现了被称为POODLE的安全漏洞,允许攻击者计算出加密通讯的明文内容。Chrome已经移除了对SSL 3.0的支持。
照片显示NSA在思科路由器中植入后门 zz
思科收购OpenDNS zz
美国网络设备供应商思科宣布收购提供免费域名解析的OpenDNS。思科计划在其云服务方案中整合OpenDNS,增强其威胁防御能力。用户输入网址解析域名通常是向ISP运行的DNS服务器发出请求,但ISP的DNS服务器并不那么可信,这是OpenDNS或Google DNS等第三方DNS服务出现的原因。但问题是思科并不是那么可信的公司,NSA就曾在思科的设备中植入后门。所以思科收购OpenDNS令很多人感到担心。
外国情报监视法庭裁定NSA可恢复搜集电话数据 zz
外国情报监视法庭(FISA)裁定NSA可暂时恢复大规模搜集美国人电话通话数据的项目,包括通话时间、日期和时长,以寻找与外国恐怖分子联系的线索。美国一家上诉法院今年5月做出裁决,爱国法案从未授权NSA搜集此类数据,因此这一项目被中止。该项目于6月1日失效的一天后,美国总统奥巴马签署了自由法案,对大规模搜集电话通话数据项目进行了重大改革和缩减。 FISA的判决允许该项目根据新法律恢复运作180天。在这六个月内,NSA将建立一个替代性系统,使电信公司得以储存有关数据。
Windows 10将与联络人共享WIFI密码Windows 10将与联络人共享WIFI密码 zz
The Register报道,微软计划在所有Windows 10版本上默认启用 WIFI Sense功能,该功能将与你的联络人共享你的WIFI密码。用户的联络人包括了Outlook.com联络人、Skype联络人,可选Facebook好友。共享WIFI密码被认为是一项安全风险,这对在企业无线网络内工作的Windows 10笔记本电脑用户而言更是如此。WIFI Sense最早被引入到Windows Phones 8.1中,用户需要在SSID中添加 add _optout才能不会被 WIFI Sense共享。
2015年7月1日星期三
许多VPN软件被发现会泄露用户信息 zz
越来越多的人使用VPN软件绕过审查和加密通讯避开监视。英国研究人员分析了14款知名VPN软件,发现其中11款会因为名为IPv6 leakage的漏洞泄露用户信息。网络运营商正在加速部署IPv6协议去替代地址空间枯竭的IPv4协议,但许多VPN只保护IPv4流量。研究人员使用了被动监控和DNS劫持两种手段获取用户信息,他们检查了不同的移动平台,发现苹果的iOS比Google的Android安全。
订阅 博文 [Atom]