Search

THINK BIG

On Every Little Thing | www.lotusruan.com

Category

Policy Research

A response to China Daily opinion piece on sexual harassment in China

It is appalling to read an opinion piece recently published in China Daily, titled “Weinstein case demonstrates cultural differences.” In the article, the author asked and China Daily tweeted, rhetorically, “What prevents sexual harassment from becoming a common phenomenon in... Continue Reading →

Advertisements

What happens when Weibo crowdsources censorship?

Almost everyone who reads something about Internet censorship in China have come across such descriptions, “10 Things You Can Say on Chinese Internet” or “The Great Firewall of China is sophisticated and powerful and that the Big Brother is watching... Continue Reading →

What Does China’s New Cybersecurity Law Mean for Chinese Internet Companies?

China has passed its first cybersecurity law on November 7, 2016, just a week after its third draft was proposed to the Standing Committee of National People’s Congress, often deemed as China’s rubber-stamp parliament. Many China watchers are concerned about... Continue Reading →

小心,黑客就在你身边!内附四个增强网络安全的tips

上周五,Dyn公司的域名服务器系统(DNS)遭到黑客攻击,导致美国东岸地区的网络瘫痪长达11小时,受影响的公司包括Twitter、Spotify、Netflix、Amazon、Tumblr、Reddit、PayPal等知名互联网大佬,以及其它使用Dyn Inc.服务器的公司。 调查发现黑客利用Mirai恶意程序感染的IoT僵尸网络发起攻击,或者说Mirai僵尸网络至少是发起本次攻击的一部分。Mirai恶意程序主要就是以类似路由器、DVR、安全摄像头之类设备为目标的恶意程序。 很多人不知道,这个恶意程序的源码造就被公布在网上,咱们自己也可以查到Mirai僵尸网络的分布情况。貌似目前已有至少120万IP受到Mirai感染, 而这其中,有我大中国公司的产品,主要报道中国杭州雄迈科技公司(Xiongmai)销往美国的DVR和IP摄像头。这家公司周日发了一封公开信,承认他们生产的设备“无意间”参与了本次攻击。产品中的默认密码成为安全缺口,造成了雄迈科技的DVR和IP摄像头被Mirai感染。 也就是说,很多用户在首次使用设备的时候根本没有改默认密码,即便那些密码可能是“1234”、“0000”、“password1”等一下子就能破解的组合。 咱中国用户虽然没有亲身感受到周五那场网络瘫痪的可怕,但网络安全越来越成为而且也应该成为我们生活中重要部分。不管你是普通人,还是像当年shi tao被雅虎卖了的常年和“境外反动势力”打交道的journalists, activists, civil society groups等,都应该习得一技旁身,以免哪天一不留神就被你的互联网运营商(ISP),那些给你提供邮件服务的互联网大佬,乃至你家一个小小的智能设备给卖了。 所以,具体有哪些途径可以尽可能地保证我们在网络上的个人隐私和信息安全呢?Well,以下是我学到的几点的,大家按需拿走。 一、使用加密的聊天软件 个人感觉这一点对那些常年与每咸对象打交道的记者、律师比较重要。首先你要保证你和对方的通讯是私密、安全的。要做到这一点,你要确保(1)你的设备没有感染恶意软件(有关啥是恶意软件,可以随便看看我之前给老板翻译的网络安全入门手册),(2)正在和你通讯的那个人是你想要联系的人(别小看这一点),(3)你用的聊天软件有点对点加密(end-to-end encryption,感兴趣的自己百度一下)。 基本上,据我所知,除了iMessage以外的短信,基本的家庭或手机通话,都是没有点对点加密的,也就是说,只要有心,谁都可以偷看偷听你的短信和电话。 目前,市面上比较好的加密的聊天软件都有: - Signal(斯诺登本人强势推荐啊):免费的聊天软件,信息和语音都被加密,iOS和安卓都能用,有移动和桌面版。 - WhatsApp:由于种种原因,这个貌似不适用于敝国。Anyway,如果你人在国外,又懒得下载其他聊天软件,WhatsApp就蛮够的,也是安卓和苹果通用,有移动和桌面版。但个人也不喜欢WhatsApp,此物前几周修改了自己的服务协议,如果你不小心点了“同意”,那么恭喜你,WhatsApp将不遗余力地把你的数据与非死不可共享,美其名曰”让服务更个人化“。 - Zom:极其小众的软件,敝国能用,不聊太多背景了,大家知道有这选择就好。 二、安全使用你的邮箱 首先的首先,不要点那些钓鱼邮件!听起来很简单有没有?听起来傻子都知道不要点那些垃圾、钓鱼邮件是不是?Well,呵呵……Easy said than done. 要知道,连希拉里竞选经理John Podesta这样的大腕儿也栽在了钓鱼邮件上。插播一则小故事,话说Podesta某天收到了来自“Gmail”的“官方邮件”,告诉他他的邮箱账号存在风险,必须马上重置密码,然后Podesta二话不说就点了“重置密码”的链接,然后的然后,就是有了维基百科”十月惊奇“事件……什么”重置密码“,”确认身份“之类的邮件,三思而点啊各位! 第二,如果你想通过邮件讲很重要的内容,请一定要用加密邮件。怎么实现呢?先去申请一个PGP(全程是Pretty Good Privacy,简单来说就是密钥),并叫上你要发邮件的对象也申请一个,在且仅在两个人都有PGP并互相认证了对方的PGP的情况下,你的加密邮件才能被正常阅读。至于怎么设置PGP,网上应该有很多教程,如果嫌阅读太麻烦,随便搜个教学视频看就好。 提一句,像Gmail这些邮件提供商的官方页面都不支持发送加密邮件或者解密邮箱,我个人用的是Thunderbird软件,自带PGP管理系统,so far so good。 三、用“复杂到阿妈到不认得”的密码 上周五震惊互联网界的黑客事件其实就是黑客利用了许多用IoT设备的普通用户没有修改默认密码或者使用非常容易破解的密码,哪怕你前几步都懒得做,管好自己的密码总是需要滴吧。... Continue Reading →

今日,半个美国遭遇网络瘫痪

相信关心这一行的人都听说了,10月22日美国发生了一件大事——提供动态DNS服务的Dyn公司报告遭到DDoS攻击,其下美东地区的网络服务大规模瘫痪,攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括鼎鼎大名的GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud、Paypal、Playstation Network、 CNN、Etsy、 Squarespace、、 Spotify 和 Shopify等。最新消息是攻击者疑似WikiLeaks维基解密支持者,说是因为不满奥马巴政府向厄瓜多尔施压,导致厄瓜多尔政府在最近这几天限制了维基解密创始人、目前在厄瓜多尔避难的阿桑奇的互联网活动,直接给断了网。 听到这事儿的时候我简直炸了……要知道这可不是一两个网站因受攻击而瘫痪,而是提供服务的基础设施,互联网的主心骨在一个早上连续——不是一次,是连续两次——黑客成功攻击。想想互联网在我们生活中的重要性,那种感觉就像小时候想看电视、要赶作业啥的结果来了一个全是大停电,心塞。 话说回来,到底什么是DDos攻击?像Dyn这样提供互联网基础设施的大公司为什么也躺枪了?DDoS跟咱们有啥关系? DDoS(发音类似D - Dog-s)全程是Denial of Service Attack,直译过来是“拒绝服务攻击”,形象一点地就叫“洪水攻击”,是网络攻击的其中一种手法。根据维基定义,“其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其对目标客户不可用。”用白话说,就是往目标服务器砸各种垃圾、无用数据,服务器短时间内无法承载如此大量的数据请求,进而运行缓慢、中断乃至停止,最终导致其他所有用户都无法使用正常使用某网站或该目标提供的服务。 在今天早上针对Dyn的攻击中,黑客主要利用DDoS攻击Dyn公司的DNS管理系统,即域名系统。互联网上每一个网站、网页都有自己对应的IP地址,由于历史和现实原因,IP地址长得非常抽象(诸如192.222.210.00,相信很多学校内网的地址看起来都这样),除非所有用户都像《最强大脑》那帮神人,不然基本没谁会记得成千山万亿网页的地址。 有了DNS就好办了,说白了DNS就好比是互联网版本的电话簿或联系人表,有了这个系统,咱们就不需要记着老王具体的8位或者13位数的电话话吗,而是随便一翻“老王”这个人,按个健,这电话就拨出去了。每次咱输入一个正常人能看懂、好记的网址,如www.zhihu.com 或者www.ruan-yang.com, 你的浏览器就会自动把这个地址通过DNS系统自动翻译成对应的IP地址,然后把你带到相应的网站。 正常情况下,这套“翻译系统”万试万灵,因为在同一时间内请求访问某网站或某服务器的用户总是在相应可控范围内,一般大公司都能应对。但如果像今天早上这一波攻击,黑客恶意利用DDoS以及一些受感染的所谓的“僵尸网络”(botnet)时,麻烦就来了。黑客可以将你或者我的,乃至成千上百万台个人电脑受感染,组成成一个个控制节点,利用你我手中的电脑向Dyn之类的目标发送垃圾数据包,最终导致网站瘫痪。 DDoS有多普遍?会对我们造成威胁吗? 首先,不论是哪种网络公司,不管我们是谁,任何人都面临着或大或小的网络风险。 史上第一个受到DDoS攻击的公司可能是美国纽约互联网服务提供商(ISP)Panix。1996年9月12日,Panix遭到实用伪造源IP地址的DDoS攻击,结果导致大部分邮件、新闻、网页服务等无法正常运营。时至今日,DDoS已经成为最普遍、最常用的攻击手法之一。有数据表明,在黑市上,用低至150美元就可以雇人进行长达一周的DDoS攻击,平均每天有两千次DDoS在世界范围内上演,三分之一的网络瘫痪事件都与DDoS有关。 最直观的DDoS攻击的后果就是经济损失。2001年前后,一系列DDoS攻击事件让雅虎、eBay、Amazon等网站长时间中断服务,涉及的经济损失达数百万元。类似的事件不胜枚举。 近年来,DDoS不仅越来越普遍,而且越演越烈,规模越来越大:从2010年DDoS攻击规模首次突破了100 Gbps,到2013年全球最大反垃圾邮件非营利组织Spamhaus受到的300Gbps DDoS攻击,到2015年最后一天,BBC网站承受的世界纪录级别602Gbps流量的DDoS攻击,每个“世界纪录”被打破的时间越缩越短。 值得关注的是,2010年以来,DDoS攻击似乎有逐渐从牟利为主转变为部分群体表达政治诉求、意识形态以及抗议的常用手段。 2010年,Visa,万事达MasterCard和贝宝Paypal都遭遇了DDoS,攻击者是现在大名鼎鼎的“匿名者”(Anonymous)团体,后者为报复这三家金融机构封锁WikiLeaks的账户并取消相关金融服务,对其发动DDoS攻击,并讽刺性地将那场攻击形成命名为“Operation Payback”。 2015年的那次针对BBC的攻击则由黑客组织“新世界黑客”(New World Hacking)发起。该组织成立于2012年,是一个仅仅有12人的团队,据说是8男4女,组织成员自称曾对抗ISIS。 再比如这次的Dyn事件就疑似是阿桑奇和维基解密的“死忠粉”所谓。(好玩的是维基解密自己在推特上跳出来呼吁攻击者“停止攻击,你已经成功表达了自己的观点”。) 我们作为一介网民可以怎么应对? 在所谓的“物联网”(Internet of Things)这个概念下,路由器、数码相机、电脑乃至智能家电能越来越普遍,虽然给我们带来了便利,其实也有着极其大的潜在风险。由于这些设备一般需要密码登陆,而普通网民一般不会使用密码管理工具(强势插入一句,我个人非常建议大家用密码管理工具,有空专门写篇短文讲讲),不是用厂商默认密码就使用自己脑海中记住的不停重复使用的几个密码。这些密码其实非常容易被黑客猜到,也非常容易遭到DDoS。 前段时间,黑客利用Mirai 僵尸网络,使用了 61... Continue Reading →

Blog at WordPress.com.

Up ↑