分類:安全

Social Media Self-Defense

Recent events have raised conversation about the necessity for operational security in relation to social media. Discussions about how to maintain an online presence while protecting one’s private life and personal identity are cropping up in communities who had previously never felt the need to exercise operational security, and who had never considered the possibility of falling prey to compromised security and data breaches.

In the age of social media, there are a myriad ways our online presence may be used against us by a multitude of adversaries. From stalkers to prosecutors, any public information that can be attached to our identities may be used to their advantage and our detriment. It is important that we are mindful of the resources we make available to potential attackers.

繼續閱讀

毒樹之果,google與互聯網審查

話說google曾經幫助美國警方抓獲了兒童色情圖片持有者,而方法則是審查gmail郵件內容,具體請看http://www.williamlong.info/archives/3941.html
google的做法是符合現行美國聯邦法律的,但問題在於:在不事先告知用戶的情況下進行郵件內容審查並上報警方是侵犯隱私權的行為,也就是侵犯基本人權的行為。

注意,法律不能違背人權,違背人權的法律都是無效的惡法。 繼續閱讀

SSL/TLS的原理以及互聯網究竟是如何工作的(8)——奇妙的傳輸層!

我:都一個多月沒來這裡了呢,這次去拜訪一下誰呢……

TCP&UDP:啊,幽靈來了啊!你都很久沒來了啊,最近很忙是嗎?

我:最近事情是比較多……你們兩位是?

TCP:我是傳輸層的TCP(Transmission Control Protocol,傳輸控制協議)!旁觀這位是同樣大名鼎鼎的UDP(User Datagram Protocol,用戶數據報協議),你應該都聽說過吧? 繼續閱讀

看,這就是加密學!(1)——古老的加密學

話說咱們翻牆黨多多少少都聽說過加密學,啊,至少也聽過各種加密算法,什麼AES啊,RSA啊,對稱加密算法啊,非對稱加密算法啊,會話金鑰啊,公鑰啊,私鑰啊諸如此類的加密學名詞。

不過,聽說歸聽說,這些名詞究竟是個什麼意思,加密學究竟是一門怎樣的學科,恐怕就沒多少人清楚了。

那麼,就讓本幽靈在前面開路,和諸位一起看看加密學的世界吧! 繼續閱讀

優秀資料推薦和遲來的自我介紹

這幾天都在研究加密學,還沒想好怎麼科普比較合適,所以期待“信息的保密和認證”系列下一篇的讀者要等待一段時間了,稍微耐心一點吧:)在此之前我試著更新一下其他幾個系列。

這次我想推薦一些優秀的計算機網絡和網絡安全學習資料給諸位,不過在此之前我想做一下自我介紹 繼續閱讀

信息的保密和認證(3) ————證書,證書,到處是證書!

話說本幽靈在以前的科普里提到過N次數字證書[1]和中間人攻擊[2]這一問題,但一直都沒能說說這數字證書到底是什麼玩意,這次咱們就好好聊聊吧!

首先,諸位應該都清楚了,要想建立加密連接就要經歷這樣一些步驟:先是通信雙方身份認證,然後再協商密鑰,最後開始交換數據。

那麼就要解決身份認證和密鑰協商的問題了。應該會沒人天真到認為一個域名就能完成身份認證吧? 繼續閱讀

信息的保密和認證(2) ————不能被篡改!

話說上次[1]本幽靈開了個頭,大體聊了聊信息傳遞時可能遭到的攻擊以及數字簽名是怎麼回事情,這次就來聊聊如何防止信息不被篡改。

上次已經說過了,單純的加密是無法防止信息被篡改的,攻擊者大可以在密文裡增加刪除字符或者改變密文順序或者進行重放攻擊,還可以直接冒充通信雙方中的其中一方來釣魚。啊,對了,還可以進行中間人攻擊[2]呢。 繼續閱讀

信息的保密和認證(1)

我們在互聯網上發佈和接收著各種各樣的信息:瀏覽網頁,發佈文章,下載文件,上傳視頻,網購……諸位,我們肯定希望自己接收或發佈的信息不被篡改吧?我們肯定不希望自己被釣魚吧?我們也不希望自己幹了嗎都被別人看得一清二楚吧?

很可惜互聯網先賢們在設計互聯網的時候重點放在連接上了,而沒有考慮安全,導致我們所熟悉的互聯網到處是漏洞: 繼續閱讀

為什麼沒有人發現NSA的大規模監控

Shawn the R0ck 寫道 “thinkst的分析師們覺得隨著Snowden越來越多的曝光NSA所幹的醜事,雖然我們已經越來越清晰的看到了NSA在面對複雜系統時仍然出色的系統性工程能力,但我們還是會問一些問題,但其中最該問的一個問題是:「如果NSA的大規模監控已經到了這種程度,他們是怎麼做到讓人們察覺不到他們的存在?」 繼續閱讀