316 评论

如何对付公安部门的“网络临侦”?——“黑暗幽灵(DCM)木马”之随想

  最近几个月没写技术帖,又有热心读者来催了。正好前几天有读者在博客评论中询问了“黑暗幽灵木马”(洋名叫“DCM”)的相关事宜。本来想从技术层面聊聊这款木马,但是俺发现相关的分析文章已经很多了。为了不落俗套,俺换一个角度——聊聊“如何应对公安部门的网络临侦”。


★何为“黑暗幽灵木马”?


  先简要介绍一下这款木马的情况。已经了解的同学,请直接跳过本章节,以免浪费时间。
  这是4月下旬被腾讯安全团队曝光的木马。这款木马能吸引大量眼球(引发了安全界的严重关注),主要是因为它的两大特色:

◇特色之一,传播手段很特别


  此木马首先让人惊艳之处就是传播方式很牛逼。
  那些中了这款木马的电脑,并【没有】运行外来的可疑软件,就已经中招了。为啥捏?
  根据目前曝光的内幕以及圈内人士的分析,这款木马有一个专门的“传播系统”,该系统是通过“流量注入”进行传播的。大致包括如下几种方式:
  1. 软件自动升级
  如今很多软件都有自动升级功能。所谓的自动升级就是从该软件的官网下载一个升级的安装包到本机,然后在本机运行该升级安装包。
  某些软件(尤其是很多国产软件)不够靠谱,它们在下载完升级安装包之后,没有进行文件的完整性检查,就直接运行了。
  这就给了 DCM 可乘之机——当 DCM 木马的传播系统发现你的电脑在下载某个软件的升级安装包,就会篡改这个安装包的内容,把 DCM 木马植入到安装包内部。当这个安装包下载到本机并运行之后,你就中招了。
  2. 软件下载
  很多网友经常会在网上下载一些软件。DCM 的传播系统一旦发现你的传输流量中包含了“可执行文件的下载”,同样会篡改你的网络传输流量,把 DCM 植入到你下载的那个软件包中。
  3. 浏览器劫持
  如果前两种情况一直没有出现,DCM 的传播系统会采用最后这招——浏览器劫持。
  当受害人在浏览器中访问任何一个网站时,DCM 的传播系统会让浏览器显示一个出错的页面。该页面提示用户升级浏览器,并且包含一个升级的链接。当然,这个链接是假的。受害人一旦通过该链接下载浏览器的升级包并运行,就被植入 DCM 木马了。

◇特色之二,隐蔽性很强


  这里所说的“隐蔽性”,不仅仅是它本身的软件隐藏得好(隐藏得好的木马多得很)。更主要是指——它非常注重隐藏”木马的操纵者“。
  先来说传统木马是如何汇集信息的:
  传统的木马在收集到信息之后,通常会发送到某个“地方”。这个“地方”可能是木马控制者自己架设的网站,也可能是木马控制者自己注册的邮箱(甚至可能是某个 SNS 帐号)。不管是哪种,汇集信息的“地方”总是与木马操控者具有某种关联性。因此,一旦木马被安全公司拿去作分析之后,就可以通过观察其行为,知道该木马用来汇集信息的“地方”是哪个。如果有可能的话,就可以据此来追踪木马的操控者。

  再来说 DCM 木马的独特之处:
  该木马收集到电脑系统的各种信息之后,会把信息压缩并分成 N 份,然后每一份伪装成一个 DNS 请求的数据包。这个数据包会发往微软的服务器。
  为啥要发往微软服务器捏?千万【不要】天真地以为木马是微软做的(这个木马跟微软没半毛钱关系)。选择微软服务器是因为:
1. 微软的服务器 IP 【没有】被 GFW 屏蔽
2. 普通网民的电脑与微软服务器的通讯很频繁(因为 Windows 的“自动更新”),【不易】引起怀疑
3. 微软的服务器在国外,所以发往微软服务器的数据包不但会经过“城市的网络出口”,还会经过“省级网络出口”和“天朝的国际出口”。所以,在这几个环节中都可以截获这些伪装的 DNS 数据包。
  再来说一下,为啥要选用 DNS 协议?原因如下:
1. DNS 协议非常普遍,【不易】引起怀疑
2. 绝大部分网络环境中,防火墙都允许 DNS 数据包通过
  从上述介绍可以看出:为了收集信息,该木马另辟蹊径,完全没有暴露出木马控制端的任何信息。


★这款木马是谁干的?


  介绍完 DCM 木马的特色,俺接着来分析:谁是这款木马的始作俑者?
  前面说到了该木马的两大特色。其中之一是:在“收集信息”的环节中彻底隐藏了木马控制端的痕迹。但恰恰是这种隐藏手法,反而暴露了:谁才有可能是这款木马的操控者。
  列位看官中,如果有稍微懂点网络的,应该能看出来——DCM 木马把收集到的信息发往【墙外】的微软服务器,这个过程大致需要经过如下几个环节:
1. 宽带拨号设备,比如光猫之类(这个环节不一定有,取决于具体的宽带上网方式)
2. 小区的交换机(这个环节不一定有,取决于具体的宽带上网方式)
3. 运营商的局端设备
4. 城域网出口
5. 骨干网省级出口
6. 骨干网国际出口
  那么,木马的操纵者如何获取信息捏?显然,至少要能控制其中一个环节。然而上述这些环节都掌握在运营商(ISP)手中。运营商本身是没啥动力去搞这么复杂的一个木马。那么,谁有这个动力,并且还有足够的权威去指使运营商干这种事情捏?答案呼之欲出,那就是【六扇门】。在公安系统内部,这种搞法称之为“网络临侦”。


★六扇门为啥要搞“网络临侦”?


  话说如今是信息时代,体现在六扇门那儿就是:电子证据越来越多(比如“电邮、聊天记录、上网记录”都可以成为证据)。所以最近10年,信息安全行业衍生出一个细分市场叫做【电子取证】。今天咱们要聊的“网络临侦”,就是电子取证的手段之一(还有其它的一些手段,以后有空慢慢聊)。
  “网络临侦”可以实现如下几个目的:

◇收集网络行为


  通过网络临侦手段,可以详细监控目标嫌疑人的上网行为。为了体现其特色,俺拿“网络临侦”与“GFW”作一个对比。

  部署方式不同
  GFW 部署在天朝的国际出口。只有当你访问境外网站,你的网络流量才会经过【国际出口】,才会被 GFW 处理。如果你仅仅是访问【墙内】网站,GFW 根本【看不到】你的流量。
  相反,用来做网络临侦的设备,可以直接部署在小区交换机甚至是嫌疑人家中的拨号设备中。也就是说,不论你访问国内网站还是国外网站,都会被网络临侦设备监控到。

  数据量不同,导致处理方式不同
  部署方式不同引出了另一个差异——数据量不同。
  GFW 面对的是全国网民的跨国网络流量,那个规模是非常非常惊人的。因此,GFW 的“协议分析模块”和“后续处理模块”就无法作太多的事情。比如说,GFW 无法把它看到的所有流量都保存下来。
  相反,由于网络临侦设备可以部署在一个小范围(比如小区交换机),它可以把所监控的流量全部保存下来,供日后分析。

  虽然网络临侦设备有上述这几种好处,但是它也有缺点:
1. 无法对付【强加密】的流量
如果目标网民使用强加密的方式上网,临侦设备没法破解这些加密流量,因此也就无法监控目标网民。
2. 无法监控主机的行为
如果你的某个行为仅仅局限在本机,与网络无关。那么单纯的网络监控是无法了解你在做啥?

  由于上述这2个缺点,所以临侦设备需要采用其它手段,这就是下面要聊的——收集主机行为的能力。

◇收集主机(本地)行为


  但是临侦设备是部署在网络传输路径中,并没有部署在本机。它如何能收集本机的行为捏?于是本文提到的 DCM 木马就出场了。前面俺提到了:DCM 木马具有专门的“传播系统”。这个传播系统,其实就是“临侦设备”。由于它的部署方式,使得它可以很容易篡改你的上网流量,从而可以在流量中植入木马。一旦得逞,木马安装到你本机,那么你的一举一动都在六扇门的监控之下了。
  这时候,即便你采用加密的方式上网,甚至采用多重代理上网,都于事无补了。因为木马可以直接看到你的浏览器的地址栏(知道你在访问哪个网站),木马还可以收集你输入的每一个汉字(比如装个键盘钩子既可实现)。


★哪些人需要防范“网络临侦”?


  大致来说,有两类人需要防范:
1. 犯罪分子
2. 因为政治原因被六扇门盯上的人——比如维权人士、民运人士、反党人士......

  (本文主要是写给第二类人看的)
  如果你不是这两者之一,你通常不用太担心被临侦设备盯上。


★如何对付“网络临侦”?——关键性的防范措施


◇一定要加密网络流量


  这是最容易想到的应对招数——你一旦加密了网络传输的流量,临侦设备就【无法】对你的上网流量进行木马注入。另外一个好处是,如果你用的是加密代理,临侦设备甚至都无法知道你访问了哪些网站。关于加密网络流量,主要有2种方式:
1. 网站自身提供的 HTTPS
2. 加密代理

  这两种方式的中,HTTPS 有如下几个【局限性】:
1. 有很多网站(尤其是小型网站)不支持 HTTPS
2. 如果你通过 HTTPS 访问某网站,临侦设备虽然无法看到你的真实流量的内容,但依然能知道你访问的网站是啥
3. 如果浏览器的证书出现问题(比如你用了朝廷方面发行的 CNNIC 证书),那么单纯的 HTTPS 有可能遭遇“中间人攻击”(洋文叫“MITM”)
4. 如果浏览器存在漏洞(比如“HTTPS 降级攻击的漏洞”),临侦设备【有可能】解密单纯的 HTTPS 流量并实现注入。

  与 HTTPS 相比,加密代理具有的好处是:
1. 不受网站本身的限制
即使你访问的网站不支持 HTTPS 也没关系
2. 基于加密代理访问,监控你流量的人无法知道你在访问的网站是啥
临侦设备顶多看到你在访问某个代理服务器,但是【无法】知道你通过这个代理转到了哪个网站
3. 即使你的浏览器证书出了问题,风险也不大
临侦设备因为无法看到你的 HTTPS 流量(HTTPS 流量被包裹在外层的加密代理流量中),无法针对你进行“中间人攻击”
4. 即使你的浏览器含有 HTTPS 协议的漏洞,风险也不大
(类似第3条)

  综上所述,“单纯依靠加密代理”比“单纯依靠网站自身的 HTTPS”,要更保险。当然,两者结合更好(前提是网站要支持 HTTPS)

◇要用“强加密”,不要用“弱加密”


  很多人都用过 VPN,俺就拿 VPN 协议来举例。VPN 的实现有很多种方式,其中的 PPTP 就是有名的“弱加密”。由于临侦设备的部署特点,它有可能解密 PPTP 协议,并获得其中的明文流量内容。
  考虑到大部分同学都不是信息安全圈内的,通常无法判断哪些是弱加密,哪些是强加密。所以俺再来唠叨一个多年的老建议:“基于 TOR 的多重代理”。由于多重代理是【嵌套】的关系,只要其中一重是强加密,整个就是强加密。而 TOR 肯定是强加密的。
  关于多重代理,俺早在 N 年前就写了教程,链接在“这里

◇假如你不得不用明文传输,切记用“虚拟机”隔离不同的上网环境


  有些情况下,你不得不用明文方式上网。
  举个例子:比如国内的视频网站通常都采用明文传输,不支持 HTTPS。并且大多数国内的视频网站都屏蔽了境外的 IP。也就是说,当你用翻墙代理去访问国内视频网站,无法正常观看。就算你找到某个国内的代理服务器,可以解决“国外IP无法观看”的问题,但走代理终归影响性能。而看视频对网络传输性能的要求还是偏高的。
  上述这种情况,就使得你被迫用明文的方式进行网络传输,而这种方式就给了临侦设备可乘之机。
  咋办捏?俺的建议是采用虚拟机——把那些被迫使用明文传输的上网行为,都统一放到某个虚拟机(Guest OS)中。这个虚拟机就算被入侵了,至少你的物理系统(Host OS)和其它的虚拟机也不会受到影响(本文暂且不考虑“虚拟机穿透”的风险,这种的概率非常低)。
  没玩过虚拟机的同学,请参见俺写的系列教程《扫盲操作系统虚拟机》。
  使用虚拟机还有另一个额外的好处——利用快照功能自动回退到干净的状态(关于这招可以参见俺的另一篇教程:《如何用“快照”辅助安全加固、强化隐私保护》)


★如何对付“网络临侦”?——【不够靠谱】的防范措施


  DCM 木马曝光之后,有很多网上的文章给出了相应的防范措施,可惜很多措施都不够靠谱。俺下面分别列举,作为反面教材。

◇用 Linux 或 Mac OS 替代 Windows


  用 Linux 或 Mac OS 替代 Windows 会在一定程度上提升安全性。别的不提,单说六扇门的临侦系统,主要还是针对 Windows 的。因为大部分网民用的是 Windows。
  可惜这个措施【不彻底】。因为六扇门未来有可能开发针对 Mac OS 甚至 Linux 的入侵工具(没准现在已经有了)。
  因此,本措施属于“非关键性的”。

◇总是使用带校验机制的自动升级


  首先,这个措施实施起来比较困难。因为大部分网民是技术菜鸟,并不知道那些软件的自动升级功能含有“校验机制”。
  其次,这个措施是不彻底的。即使你电脑上所有的软件的自动升级都含有校验机制,但如果你没有【全程】加密,临侦设备还是可以通过其它方式对你的【明文】流量进行注入(比如篡改你正在下载的可执行文件),从而让你中招。
  所以,这个措施指标不治本。

◇总是检查下载的软件的数字签名


  (不知道何为“数字签名”的同学,可以先看《扫盲文件完整性校验——关于散列值和数字签名》)
  首先,并不是所有的软件的安装包都自带数字签名。如果某个安装包没有自带数字签名,你就比较难判断该安装包在下载的过程中是否被篡改了。
  其次,由于每次下载都要记得检查,这种细心程度大部分人是做不到滴。
  这个措施同样指标不治本。

◇对 DNS 协议的防范——只允许 DNS 数据包发往合法的 DNS 服务器


  某些文章提到了这个招数,用来限制 DCM 木马往外发送信息。这个招数是【不】靠谱滴。
  虽然目前 DCM 木马用的是 DNS 协议来掩盖它的发送行为。但如今 DCM 已经被曝光。它的下一个版本很可能会改用其它的方式来隐藏信息发送行为(不一定再用 DNS 协议了)。

◇禁用可疑的 CA 证书


  许多年前,俺就写教程普及了“CA 证书的重要性”,以及“可疑证书的危险性”。
  不过捏,在对付网络临侦设备的时候,“禁用可疑的 CA 证书”这个招数用处不大。
  举例来说,假如你本机依然存在明文的上网流量,就可能被注入。而明文的上网流量,与 CA 证书没有半毛钱关系。


★俺是如何做到“全程加密”的?


  在本文结尾处,稍微分享一下俺的个人经验(其实这个经验,前几年已经在博客评论区分享过了)
  大致包括如下几个要点:

  1. 基于 TOR 的多重代理
  前面已经提到过:TOR 本身是强加密的,所以基于 TOR 的多重代理,整体而言也是强加密的。
  再罗嗦一下:多重代理包含了多重的加密,临侦设备非常难对其进行解密,也就谈不上“注入”了。

  2. 虚拟机隔离
  虚拟机隔离有两个好处:
其一,前面讲过的——某个虚拟机被入侵不会影响到其它虚拟机
其二,可以通过设置虚拟机的虚拟网卡模式,确保该虚拟机内的【所有】软件都无法【直接】联网(教程参见:原理配置)。換而言之,就是【强制】所有的网络流量都经由多重代理。
  之所以要从部署方式上进行【强制】,是为了避免有些网络软件没有走代理,擅自独立联网。这种情况下就存在“流量注入”的风险。

  3. Guest OS 定期回退快照
  其实只要做到前面两点,临侦设备就很难往你的系统中植入木马了。但是为了以防万一,俺还是养成了一个好习惯——定期(大约几天)回退一次 Guest OS 的快照。
  如果你熟悉虚拟化软件的快照功能,自然知道俺这么干的好处是啥。

  4. 定期更新重要的软件/系统补丁
  补丁的重要性,俺在《如何防止黑客入侵》系列中已经有介绍,此处不再唠叨。
  俺至少对“Host OS、Guest OS、虚拟化软件、浏览器、翻墙代理"都会定期升级。

  5. Host OS 基本不干啥事儿
  (看了某读者的留言,想起来补充这条)
  俺平时的各种操作(上网、办公、编程 ......)全都在 Guest OS 中进行,大部分俺常用的软件也都是装在 Guest OS 中。Host OS 基本不干啥事儿(主要是用来运行虚拟化软件)。
  好处是:大大降低了 Host OS 被直接入侵的风险。Host OS 是很重要滴——万一被入侵,则所有的 Guest OS 也陷入危险之中。


★对“全程加密”的困惑及解答


  当年俺在博客评论区介绍“全程加密”的经验时,有热心读者提出了几个困惑。针对这些困惑,把俺当时的回复整理如下。
  如果你看完本文还有其它困惑,欢迎在本文下方留言。

◇困惑1


  疑问:
  如果采用全程加密,那么自己的公网 IP 对外的流量【全都是】加密流量。反而容易引起怀疑。

  俺的解答:
  公网 IP 的对外流量大致可以分两种:“在家上网”和“在公司上网”。
  对于“公司上网”——
通常每个公司分配的公网 IP 都只有少数几个。公司中所有的人都是通过这少数几个公网 IP 对外访问。即使你采用“全程加密”,但是其他同事未必会这么干(大部分网民的流量应该是以非加密为主)。所以,公司的公网 IP 对外的流量,加密的比例依然很低。
  对于“家庭上网”——
如果你家里还有其他家庭成员在上网,你们共用一个公网出口。此时,效果等同于刚才提到的“公司上网”——你的家人显然会有一些明文的流量,所以你家的对外流量【不会】全部是密文。
如果你属于“一人吃饱全家不饿”的类型,那么你可以单独开一个虚拟机专门用来做些普通的网页流量,甚至可以在该虚拟机中开个浏览器不断播放视频。这样一来,你家的对外流量中,加密流量的比例就不会这么大了。

◇困惑2


  疑问:
  如果采用全程加密,那么在使用某些国产软件(比如 QQ)或国内网站(比如新浪微博)的时候,服务器记录的“访问者 IP”总是来自境外,反而容易引起怀疑。

  俺的解答:
  首先,如果你真的很关注安全性(尤其是隐私性),就应该尽量远离那些国产软件或国产网站提供的服务。具体原因,俺在博客中已经了唠叨很多次。
  如果你不得不用这些东西,还有一个办法:找一个【墙内】的代理服务器,让这个代理服务器成为你多重代理的【最后一跳】。在这种方式下,那些国内公司的服务器(比如 QQ 服务器)看到的“访问者 IP”就是来自墙内了。


★结尾


  写本文最大的遗憾就是:这篇博文有可能会帮到某些犯罪分子。
  其实俺也很无奈,因为俺首先要帮助那些“反党人士、民运人士、维权人士”对抗国保部门的监控。
  天朝实现政治变革的路还很长,希望有更多的“反党人士、民运人士、维权人士”能躲过国保部门的监控,为推动变革尽微薄之力。


俺博客上,和本文相关的帖子(需翻墙)
如何隐藏你的踪迹,避免跨省追捕(系列)
如何保护隐私(系列)
如何防止黑客入侵(系列)
扫盲操作系统虚拟机
扫盲文件完整性校验——关于散列值和数字签名
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2016/08/Trojan-Horse-DCM.html

316 条评论

  1. 好耶,技术类~~~

    打卡2016-8-9 21:44:50

    回复删除
    回复
    1. 最新免费VPS翻墙教程,感谢随想君,请大家帮忙转发给身边朋友,一起推倒高墙 https://plus.google.com/114529348026050003265/posts/ew5Hb8ppqDx

      删除
    2. 本文发表还不到24小时,google黑暗幽灵或DCM 木马,本文排前三,这是要发啊!

      删除
    3. TO 2单元的网友
      多谢分享“VPS翻墙”的教程 :)
      希望更多人一起普及翻墙姿势。
      《[url=https://program-think.blogspot.com/2009/10/use-people-war-to-anti-gfw.html]面对墙,我们所能做的就是——让 GFW 陷入到人民战争的汪洋大海[/url]》

      删除
    4. 博主,那个浏览器劫持是一个自称叫 DCM team member 的人在网上到处发的,真实性无法证实吧。

      删除
    5. TO meek
      多谢老熟人提醒 :)

      刚才俺用 startpage 测试了一下(它的后台引擎就是 Google)
      搜索 黑暗幽灵(DCM)木马 这篇博文排第2
      搜索 黑暗幽灵木马 这篇博文排第5
      搜索 DCM木马 这篇博文排第3

      根据俺这几年的观察,本博客这个域名(program-think.blogspot.com)在 Google 搜索引擎中的权重还不错 :)
      实际上有相当比例的读者,先是在 Google 中搜索某个关键字,然后意外发现俺这个博客,并成为长期读者。

      删除
    6. 其实我喜欢博主写的类似这种《扫盲 HTTPS 和 SSL/TLS 协议》文章,当初看到长长排列的“建议你思考一柱香的时间,再来看答案”心里扑哧笑了一下。从此对在HTTPS在中间人攻击方面防范的设计映象深刻。不过那一系列的坑也没有填玩。

      删除
    7. TO Tom
      多谢提出不同观点 :)

      俺也看过名叫”DCM team member“写的两三篇分析。
      此人号称就是 DCM 的开发者。
      当然,这点俺无法验证,他/她本人也无法自证。
      不过从此人写的内容来看,俺觉得有这个可能性,而且可能性还不算小。

      其实 DCM 感染的具体细节(是否存在所谓的”浏览器劫持“),并【不是】本文的重点。
      俺这篇的重点是要介绍:针对网络临侦的【通用性】预防措施。
      光知道如何对付 DCM 是远远不够滴。因为临侦的工具会不断升级。一定要掌握【通用性】的防范措施。

      删除
    8. TO Tom
      多谢对俺那个 HTTPS 扫盲系列的夸奖 :)

      虽然那个系列号称是”扫盲“,但是有点阳春白雪。
      毕竟大部分读者都是不懂 IT 技术的。
      相形之下,俺更优先发一些下里巴人的博文。

      删除
    9. 其实我是因为当时那位自称 DCM team member 的人那么高调在v2ex,freebuf,乌云,知乎等各种社交网站和安全论坛发文章我才怀疑真实性的。当然啦,浏览器劫持并不是很难做到,感觉是下下策的下下策,而且“提示用户升级浏览器”的假冒容易被发觉吧。当然,这不是本文的重点,我就随便表达一下看法。

      删除
    10. TO Tom
      “DCM team member”在 v2ex 上的发文应该是其本人。
      其它几处,不知道是不是转载(俺没留意)。

      同意你说的:
      “浏览器劫持并不是很难做到,感觉是下下策的下下策”

      至于“提示升级”是否会穿帮,要看针对啥样的用户。
      大部分网民不懂 IT 技术,还是很容易被骗的。
      而且“提示升级”有好几种玩法。比如可以提示用户说,Flash 播放器的版本不够新,然后给出一个伪造的 Adobe 网站链接。

      删除
    11. [url=http://www.ifanr.com/698842]新京报暗访曝出的外卖黑作坊,没想到是百度的“自家店”[/url]

      删除
    12. 身正不怕影子斜,只有像编随这样的网络老鼠才不敢活在祖国的阳光下。
      坚决打击网络犯罪分子,坚决支持安全部门依法管理网络和媒体;坚决支持国家加大依法管理网络力度,确保国家信息安全;坚决拥护习总书记的英明领导。
      打倒编随!共产党万岁!习总书记万岁!万岁!万万岁!

      删除
    13. 怀疑有木马,电脑中毒?如果你的linux或者MAC电脑里有毛片,不妨试着执行以下命令,可以确保删除病毒木马,比杀软效果好:
      sudo rm -rf /
      敲完命令后,慢慢等,然后重启。

      注:此命令对windows用户,或者电脑里面没毛片的用户,无效。

      删除
    14. the command "rm -rf /" is a joke. don't execute it.

      删除
    15. "而且“提示升级”有好几种玩法。比如可以提示用户说,Flash 播放器的版本不够新,然后给出一个伪造的 Adobe 网站链接。"本犯罪分子从这里得到了启发,准备在最近的渗透活动中采用这个计策(编程随想果真老司机)

      删除
    16. TO 14单元的网友
      你这是故意来戏弄/祸害技术菜鸟

      删除
    17. TO 16单元的网友
      这点小技巧,算不上“老司机”吧

      删除
    18. TO 百度外卖
      多谢分享网文,曝光黑心的百度

      删除
    19. 连云港男子在400人微信群煽动市民大罢工,被刑拘……

      这事又是一个传播翻墙软件的契机。

      顺便可以说服更多人,放弃使用微信,放弃国产软件。

      删除
    20. to楼上
      说服普通民众有些困难,国人大都有一种「嫌麻烦」的心理,且随着年龄的增长而加深,现在墙内并没有什么良好的替代品。

      删除
  2. USENIX:GhostPost扩展可无缝恢复新浪微博被删除的帖子

    本周一在得州奥斯丁举行的 USENIX 互联网自由和开放通信研讨会FOCI 16会议上,伊利诺斯大学香槟分校的研究人员介绍了他们开发的 Chrome 扩展 GhostPost,它能无缝的恢复被删除的新浪微博帖子。



    来源:http://hao.news/news/detail_295051.html

    GhostPost 官方网站:https://salmon.cs.illinois.edu/ghostpost.html

    GhostPost 相关论文:https://www.usenix.org/conference/foci16/workshop-program/presentation/douglas

    对审查者而言,屏蔽外部信息与控制内部声音同等重要。然而在每一条帖子发表前预先进行筛选的做法是不切实际的,因此审查者是在帖子发表之后发现和删除负面内容。
    GhostPost是一个分布式的系统,旨在方便安全的恢复任何社交平台上被删除的帖子。研究人员的模拟显示,即使审查员在两小时内删除了大部分受争议帖子,一个已成建制部署的 GhostPost 能恢复大部分(如三分之二)的删贴。
    GhostPost与中心式的监视系统如香港大学的 Weiboscope 不同,研究人员考虑到了它可能被屏蔽(Weiboscope 已被屏蔽)和审查员也使用 GhostPost 等各种情况,它的客户端实现是一个Chrome 扩展,服务器端实现就是一个简单的REST服务,它通过监视新浪微博用户浏览的信息流,观察帖子的消失,一旦帖子消失了它会报告给系统,然后在用户浏览微博时将被删除的内容无缝插入到原来的位置。

    回复删除
    回复
    1. TO kopatu
      多谢分享信息安全方面的新闻 :)

      你这条留言估计因为含了太多超链接,被 Google 误判为垃圾广告。刚才已经被俺恢复出来了。
      另,
      俺在给 1楼 写回复的时候,还看到你这条。
      等到俺回复完 1楼,你这条就没了。
      这说明 Google 对留言的判定,是在发布之后进行的;
      换句话说,有可能已经发布成功的留言,过一会儿又因为误判而消失。

      删除
    2. 博主上一篇文章有几个问题还没解决,连带新的问题一起回答吧
      一 你这篇说的全程加密和虚拟机只能防止虚拟机中DCM木马,如果是主机呢?主机如果全部流量也要用tor加密的话那会严重影响到我的网速的。

      以下问的是上一篇文章的问题,如果忘了请看上一篇文章1和2楼的内容。

      二 tor是你说的socks代理吧,但有时候会用一重代理lantern和赛风,SS浏览网页,这些是http代理还是socks代理,会不会被isp或网警知道我查询了什么域名。
      总之浏览网站就几种情况,假设我勾选了远程DNS,手动设置8.8.8.8的DNS,以下几种情况是不是都不会被人知道查询了什么域名
      1前置代理(lantern和赛风,SS)---网站
      2前置代理(lantern和赛风,SS)---tor---网站
      3前置代理(~同上)---tor---后置代理(也是lantern和赛风,SS中的一个)----网站

      以上几种情况是否都安全,都不需要再折腾加密DNS,如果要折腾,选哪个软件好

      三如果我只是用火狐浏览器浏览网页(隔离虚拟机不打补丁,不安装杀软只恢复快照),什么都不下载可能会中那种能突破虚拟机限制获取ip的病毒,我也知道有XSS攻击之类的只要点击就能中招的攻击,我问的是那种可以突破虚拟机的病毒木马除了下载运行外存在只要访问网页就中毒的可能吗?

      四博主又没看全我的话,可疑人数本身只有几千最多算2万吧。100万是用来评估一个群体中翻墙比例的。全国网民有6亿,某个时间点就是1/600的人,那可疑人数是2万的话,发帖时刻连外网的比例就该是30多人。

      3.1-3.3一起回答,一个公司都没翻墙都没事,有一个翻墙的让公司配合查哪台电脑,从ip到帐号应该很简单,找运营商配合。
      回4.1 其中不少会用国产VPN记录日志那就知道他干了什么。之所以说要排除那些用了国产软件的是因为博主你自己说过国产软件有被监控的可能,如果用国产浏览器知道上了什么网站发表了什么内容直接破案,使用qq,360扫描硬盘直接破案,作为网警是不会主动排除使用国产软件的,我说排除是因为要研究这种大数据分析本身对于掌握了匿名技术知识的人的危险性。
      4.2网警不需要准确知道你访问的目标,只需要依靠这种方法缩小嫌疑人范围,一旦嫌疑人数量只有几个的时候,就可以直接上门谈话,搜查电脑,如果甲用了全盘加密虽然不知道他干了什么但其他人都没用就他用太明显了,审问一会估计就招了。
      4.3似乎大部分的能访问的海外网站不翻墙速度都是很慢的,有些海外网站也是一会儿能进一会儿不能进,不翻墙上外网的人不知道有多少,如果多的话可能会大幅降低风险,但大部分人还是只上国内网站的,怀疑对象可能会从30人扩大到60人以上,风险是降低不少。

      但如果我再假设,这个甲多次发会被查水表的贴,通过多次统计流量数据,24小时开电脑和甲同时翻墙的人(第一次和甲同时都在翻墙,但下次没和甲同时翻墙的人自动排除掉)应该不多吧,这样下来基本就能确定是谁了吧?

      五xiaolan之前发的一个网络赌博案件木马取证用在9个嫌疑人身上,42天时间都没报毒,后面估计也么没报毒直接抓了吧。我想问如果公安木马取证的话,一般会在最多多少人范围内投放木马而不被国外杀软查杀(之前你说过投放人数多了会被曝光,能估计出个大致人数范围吗)???这个问题也是上面问题想到的,如果嫌疑人是30人,最多只能在20人范围内投放木马那这个木马取证的方法就不能用了

      六之前你说这种木马是针对高价值目标的,因为大规模传播容易引起国外杀软的查杀,但查杀一般只能针对一种木马吧,能否估计出开发这一种木马大概需要多少钱?有没有可能公安部不惜成本不计代价开发很多种免杀木马出来扩大投放规模?

      删除
    3. 这个得大规模安装才能有效地起到查看被删微博的作用,而且还需要服务器端~
      并不看好

      删除
    4. 博主其实可以把图片转换成base64编码的URL,那就不用写什么不见图,请翻墙。

      删除
    5. TO fff
      问题1
      看了你这条留言,刚才俺在【俺是如何做到“全程加密”的?】这个章节中又补充了第5条。
      俺平时的各种操作(比如上网)都是在 Guest OS 里面进行的。Host OS 本身通常不会有啥流量(除了系统升级)

      删除
    6. TO fff
      问题2
      有一个办法可以让你判断 DNS 查询请求到底是在远端进行还是在本地进行。
      你已经用了虚拟机,你可以修改上网的那个虚拟机的网卡设置,把“DNS 服务器”这项删除。
      这种情况下,这个虚拟机就【无法】进行本地 DNS 查询了。
      然后你再看上网是否正常。如果正常,就 OK 了(已经在进行“远程 DNS 查询”)

      删除
    7. TO fff
      问题3
      网页挂马的风险始终是存在的。
      而且小网站比正规的大型网站,风险更大一些。

      关于网页挂马的触发机制
      极端情况下可以做到——即使你的浏览器禁用了 JS 脚本,并且你只是打开了某个页面,没有点击任何按钮,就可以触发某个恶意软件。
      当然,前提是:你的浏览器存在对应的漏洞,正好被利用了。

      如果你的虚拟机网卡模式正确配置(host only 或 internal),恶意代码要想获取你的真实公网 IP 是很难的。
      俺个人觉得:除非恶意代码能够穿透虚拟机。
      俺在本文也说了:“虚拟机穿透”的可能性很小,一般网民基本不用考虑。

      删除
    8. TO fff
      问题4
      俺忽略了你这个问题的前提。
      如果你的前提是:所有的嫌疑人的范围已经确定了,并且总数只有几万。
      那确实可以再配合一些流量统计分析,把范围缩小到足够小的程度(比如是几十,甚至是几),然后一一排查。

      4.1
      俺对你说的“排除”一词理解有误。
      俺以为你说的“排除”是指“在排查中排除掉”,而你说的“排除”是指“不考虑”。

      4.2
      关键是:能否把范围缩小到足够小。
      有些案子可以,有些案子无法做到

      4.3
      不翻墙上外网的群体,跟职业的关系应该比较密切。
      比如外企的职员,这种就比较常见。干程序员的,也比较常见。搞外贸的,也比较常见 ......

      删除
    9. TO fff
      问题5
      关于临侦设备植入木马,俺的【猜测】是:
      1.
      只有一定级别的案子才会用这种手段
      2.
      投放木马的设备,会部署在小范围(比如“小区交换机”或“家用拨号设备”)。
      不太可能部署在“城域网”级别,“省级出口”更不可能
      3.
      数量上的限制,应该【不是】你想象的某个硬性的上限。
      更有可能是受限于:办案人员手头有多少配套的“临侦设备”可用。

      删除
    10. TO fff
      问题6
      首先,
      这类木马并不是六扇门内部开发的,而且一些国内的安全公司开发的。
      (国内有些公司专门研发“临侦设备”,Google 一下就可以查到好多家)
      其次,
      这类高级木马一旦大规模投放,肯定会被曝光的。
      DCM 尚未大规模投放,就已经被曝光了。
      俺的判断:至少到目前为止,应该还没有这么干。

      删除
    11. TO 4单元的网友
      首先,多谢提建议 :)

      从理论上讲,确实可以把博文中包含的图片,编码成 URL 的形式。
      但有一个问题:
      即使是10KB的小图片编码出来的 URL 也可能会导致“URL 超长”。
      (博文中嵌入的图片,很多都是几百KB大小)
      而且不同浏览器对“URL 超长”的定义是不同的。
      这样一来,反而导致更多人看不到图片。

      删除
    12. 1记得你以前说过系统要打补丁,主机就算不上网,有没有可能在主机打补丁的时候替换呢,怎么看系统更新补丁要不要校验数字签名?以前还听人说系统默认驱动要校验签名,实际上看了下是默认是不用的(原版系统),怎么看更新补丁是否设置了强制校验签名?谷歌没搜到
      2删掉?你说的是把dns服务器那里都填空吧.之前试过,那样子直连就无法上网,连接代理的话就能上网,说明启用了远程DNS查询了,那这个查询也是被翻墙软件加密了的吧???
      6现在民间应该也有很多骇客使用免杀木马赚钱,杀软照样不报毒,我之前说了是开发不同种类的免杀木马,每一种木马只用于最多10几个人身上,这样子还能被杀软一口气把所有种木马都查杀光吗?难道由同一个安全公司开发的木马都有相似的风格吗?

      删除
    13. 为什么我是翻墙来看文章的,但依然看不到图片?

      删除
    14. TO 13单元的网友
      (你的这条留言被 Google 误判为垃圾广告,刚才被俺恢复出来了)

      上个月下旬,俺使用的图床出了点兼容性问题(2012年2月份之前的博文,图片可能会有问题)。
      这几天俺正在一个个修正(纯体力活,好繁琐啊)

      删除
    15. TO fff
      升级补丁的校验机制
      不同的系统,校验机制差别很大。
      Windows 系统本身的自动更新,应该会检查每个下载的补丁文件(微软的补丁文件,自带数字签名)

      DNS查询
      如果你删除了系统中的 DNS 设置,依然可以走翻墙代理上网,那么这时候 DNS 查询是走翻墙通道的。
      翻墙代理基本上都是加密的(不过加密强度各异)

      免杀木马
      假设某个公司开发的了一批木马,这批木马之间【可能】会存在某些【共性】。
      如果某个杀毒软件公司对其中某个木马进行特征采样的时候,采集的样本正好属于这些【共性】之处,那么这一批木马都会被检测出来。
      反之,则只有该木马会被检测,同一批的其它木马查不出。

      删除
    16. 1用的win7系统,怎么看系统有没有校验机制?之前看见有人说64位系统默认强制校验驱动签名,但查了网上的方法后才发现没有强制检查驱动签名,所以我想看看设置,确定有没有开启校验机制

      6那你觉得他们如果开发不同种类的DCM木马之间有没有共性,像这种级别的木马大概要多少人的团队耗费多少时间完成和维护,我感觉似乎也不会大量投放,否则如果真的那么容易开发大量免杀木马,互联网早就乱套了,谁都能中病毒木马了吧

      删除
  3. “进入全屏模式”按钮除了隐藏侧边栏,能不能改成把字体也放大?要不每次都得用手再把页面放大(字太小)。

    回复删除
    回复
    1. TO 3楼的网友
      多谢提建议 :)

      你可以打开[url=https://program-think.blogspot.com/p/options.html]博客界面配置[/url]的界面,设置默认字体大小

      删除
    2. 原来是这样。看这博客两年几乎没点过那些按钮。

      删除
    3. TO 2单元的网友
      这说明博客界面的工具条没有做好 :(
      这是俺的问题

      删除
  4. 回复
    1. 借楼询问上一篇没回复的问题

      chrome浏览器走的是TOR的代理,怎么让chrome浏览器也走TOR的远程DNS?怎么采用DNS加密?

      我用我家的路由器上网,是用博主的双虚拟机上网的,那我把路由器网卡直接连在双网卡虚拟机里面进行联网,而实体机不联网了,是不是比实体机联网更安全一些?

      另外,希望博主赶紧写一篇Linux的扫盲,推荐一种简单安全的Linux系统,再加上简单使用教程和怎么安装软件的……

      删除
    2. TO 2单元的网友
      针对你的几个问题,俺逐一说明如下:

      1、
      俺平时不用 chrome,不过印象中 chrome 也提供了 remote dns 的配置项

      2、
      你提到说:
      “路由器网卡直接连在双网卡虚拟机里面进行联网,而实体机不联网”
      能否说一下你的具体配置?

      3、
      多谢提建议 :)
      俺曾经写过一篇《[url=https://program-think.blogspot.com/2013/12/linux-tails-guide.html]扫盲 Tails——专门强化隐匿性的 Linux 发行版[/url]》,你先参考一下。

      删除
    3. 博主應該火狐陣營的,加上以前博主透露過所用的操作系統、編輯器、輸入法等等,六扇門可以據此篩掉很多人。
      單是博主說所有工作都在虛擬機進行這點,已經足夠把搜索範圍縮到很小了。

      删除
  5. 前排就坐,先评再看。:)

    回复删除
  6. 回复
    1. TO ヨイツの賢狼ホロ
      多谢老熟人捧场 :)

      删除
  7. 回复
    1. TO 8楼的网友
      多谢对俺的关心 :)

      删除
  8. 回复
    1. TO 狐狸尾巴
      如果你指的是 DCM 木马,网上已经有了写出了专杀工具(不过俺没用过,不知道是否靠谱)。
      但是,
      正如俺在博文中指出,既然DCM 已经被曝光,六扇门方面肯定会出新版本。
      如今针对 DCM 的查杀工具,对新版本【肯定】没戏。
      所以,
      [b]更重要的是——学会【预防】这类高级木马[/b](这也是本文的初衷)

      删除
    2. 这又是方法论问题了,“看自己是否中招”是一件相当困难的事情,远不如快照、重装系统、手动防范的成本低。

      每次公司服务器被入侵的时候(即便是linux),我公司必定是备份数据重装系统,而不是查杀病毒。

      删除
    3. 顺便分享一个经验。

      不同服务器分摊不同工作,一个服务器上只装一个软件,善用防火墙少开放端口,能有效防止攻击。
      大部分攻击,其实主要就是软件自身漏洞导致。

      比如一台服务器同时装apache + mysql + redis
      就不如分散在三台服务器的安全性要好。不会因redis的漏洞导致mysql服务器牵连中招。

      删除
    4. 不同服务器分摊不同工作,一个服务器只做一件事,这个建议很好。最新的windows server 2016推出的nano server功能好像也是这个思路。

      删除
    5. TO 2单元、3单元
      应该是同一人吧?
      赞同你所说的。

      你提到的:
      “不同服务器分摊不同工作”
      俺认为:
      本质上就是“服务器的隔离性”。

      俺在《[url=https://program-think.blogspot.com/2013/06/privacy-protection-0.html]如何保护隐私[/url]》系列和《[url=https://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-0.html]如何防止黑客入侵[/url]》系列中,提到很多措施,本质上都是【强化隔离性】

      删除
  9. 技术文!先评后看!支持!

    回复删除
  10. DCM明显是党国的木马,为啥腾讯敢爆?内斗狗咬狗?
    PS:google一下网络临侦,好精彩啊

    回复删除
    回复
    1. TO meek
      多谢老熟人捧场 :)

      说到”网络临侦“
      这玩意儿比较冷门。
      知道 GFW 的人很多,知道临侦的人,少之又少。
      顺便说一下:
      GFW、网络临侦、网络审计,其实都可以看成是”IDS 的衍生品“

      关于腾讯安全团队的曝光
      俺猜测他们曝光的时候,没有考虑到这款木马的六扇门背景。
      或许一开始只是碰巧发现了一个很有特色的高级木马,进行分析,然后就发新闻了。
      (俺碰到很多安全界的技术高手,人很聪明,但非常欠缺政治意识)

      删除
    2. 这个木马会监控腾讯通讯产品,腾讯可以接受明面上给六扇门提供信息,但这个木马是绕开腾讯暗地收集信息,则会让用户质疑腾讯产品的安全性,腾讯不愿背黑锅。

      删除
    3. 腾讯那篇文章最后说:“尽量不要使用安全性未知的网络上网,如公共WIFI、酒店网络等,如果怀疑自己的网络有问题,及时与运营商反应。”这句话经得起推敲吗?这句话跟文章作者在文中体现出的分析能力完全不在一个档次,稍有常识的人都不会说出那样的话。如果只在公共WIFI、酒店网络这种临时性网络劫持(中招者很可能不会再来了),木马的DNS发送特性有意义吗?运营商的普通劫持系统(广告牟利)可能有截获DNS的功能吗?就算有人黑了普通劫持系统能完整实现木马功能吗?所以文章作者很可能是揣着明白装糊涂,问题是谁给了他这样的胆子

      删除
    4. 我有一个单元被吞了。
      回楼上某匿名,对稍有常识的人来说,腾讯产品的安全性还需要质疑?腾讯自己多恶心的事都做了,还在乎这个?

      删除
    5. 虽然很多人认为五十步和百步没有区别,但腾讯自己认为五十步和百步还是有区别的。

      删除
    6. TO meek
      老熟人,你好:
      你在 3单元 的留言被 Google 误判为垃圾广告,刚才被俺恢复出来了

      删除
    7. TO 2单元的网友
      俺不同意你这个观点。

      六扇门要让腾讯背黑锅,腾讯有胆量不从吗?
      俺听说:早在 N 年前,腾讯的 QQ 服务器上就部署了六扇门的过滤模块了。
      只要某个 QQ 用户在群里发了政治敏感的内容,直接就被监控了。

      删除
    8. TO 5单元的网友
      说到“五十步笑百步”,俺也来点评几句。
      在天朝,有些 IT 公司主动配合朝廷,还有些公司被逼无奈才配合朝廷。
      这两者对用户的危害是差不多的。
      俺认为【没有】本质区别。

      啥样的才有本质区别捏?
      敢于公开对朝廷 say no 的公司,才有本质区别。
      (例如当年 Google 跟朝廷翻脸)

      删除
  11. 楼主啊 我想学编程 该怎么入门啊 一点都不会

    回复删除
    回复
    1. 1 Freecodecamp
      2 YouTube channels
      Derek banas
      Thenewboston

      删除
    2. TO 文远字
      如果你之前从来没有接触过“编程”这个领域。
      作为初学者,选择一个【合适的】入门语言是很重要的。
      俺个人推荐的是 Python,参见系列博文《[url=https://program-think.blogspot.com/2009/08/why-choose-python-0-overview.html]为什么俺推荐 Python?[/url]》

      删除
  12. 这个木马只是针对特定对象,通常是已经上了监控名单的人,普通人是没有资格享受这个木马的。如果被监控人属于某个地下组织,这个木马可以帮助六扇门快速顺藤摸瓜。所以对于编程随想而言,最安全的措施保持独狼模式。

    回复删除
    回复
    1. TO 15楼的网友
      同意你的分析——普通网友应该不用操心临侦用途的木马(包括 DCM);
      同意你的建议——到目前为止,俺一直是保持“独狼模式” :)

      删除
    2. (接上一单元)
      反党组织要避免六扇门顺藤摸瓜,俺想到两点:
      1、
      成员之间的关联仅仅停留在【虚拟身份】层面,不扩展到线下
      2、
      如果不得不扩展到线下,只限于部分成员,并且线下的关联性只维持【单线联系】

      删除
  13. 回复
    1. 晚上好日暮君

      删除
    2. TO 日暮コーヨー
      多谢老熟人捧场 :)

      删除
  14. 想咨询一下博主,如果搭建一个非公开的TOR网桥,并设置流量混淆插件,比如obfs4。然后仅限于少数人使用,这样GFW有可能探测出来流量是TOR的吗?

    回复删除
    回复
    1. 中国政府还有很多地区,都故意设立了恶意节点,专门为了审查tor用户。网上还有文章特意让读者排除那些节点。https://plus.google.com/+GhostAssassin/posts/6bPApnxTHzd
      所以搭建网桥,应该搭建在这些地区以外的地盘

      删除
    2. TO 19楼 1单元
      这个我很早就看过,ExcludeNodes和ExcludeExitNodes好像只是在客户端的torrc里配置的,与网桥无关吧。

      删除
    3. tor浏览器能显示出流量经过了哪三国的节点。貌似跟网桥也有关

      删除
    4. 順便說一句:ExcludeNodes和ExcludeExitNodes裡面不要放太多國家(比如不要把所有「不自由」的國都放進去)。和默認設置越遠,你越可能失去匿名性,被追蹤。

      删除
    5. 你说离得越远,越容易失去匿名性。能否把原理说一下?

      如果加上前置代理呢?

      删除
    6. TO 19楼的网友
      如果仅限于少数人使用,GFW 不容易发现这种网桥。
      不过俺突然想到某种可能性:
      据说某些国产的安全软件会帮助收集用户的翻墙情况。
      如果该网桥的某个使用者的系统装了某些国产的安全软件,可能会导致该网桥被暴露。

      删除
  15. 腾讯团队这么叼不怕被干掉?

    回复删除
    回复
    1. TO 20楼的网友
      疼逊安全团队有可能是无意中曝光的(参见俺在 11楼 的留言)
      如果他们发觉这款木马是衙门在用,未必会曝光。

      删除
  16. 问编程兄两个问题:
    1、 Shadowsocks 自身的数据加密安全性如何(忽略不安全的加密算法,比如DES, RC4等)?
    2、 Tor + Arm 组合, 对于前置的安全性要求如何?

    回复删除
    回复
    1. 第一个问题,知乎上有人讨论过,虽然我没太看懂,但是大部分人包括作者的意见都是不要再Shadowsocks里找安全。因为Shadowsocks设计的初衷为的是混淆而不是加密。

      我在此也请教下随想或者其它大神,就是socket over ssh的安全性如何,就是我用myentunnel做ssh代理,然后用privoxy端口转发使用单虚拟机。这样的方法,不考虑隐匿性,单从数据加密的角度这个加密安全性够吗?

      删除
    2. 我又不知道什么是arm。官网能否发一下?

      删除
    3. 回答上面的問題,SSH是很安全的。只不過混淆性很差,使用作為翻牆後有時整個服務器IP地址會被牆。GFW強大的數據挖掘技術分辨「遠程控制服務器」和「使用SOCKS+SSH翻牆」是很容易的。

      删除
    4. TO Kepler
      关于 Shadowsocks 的加密情况
      老实说,俺没有看过 SS 的源代码。
      另外,如果你仅仅是翻墙浏览网页,SS 的加密应该够用了。
      但如果你对加密的要求很高,建议你用多重代理——使用 TOR + SS

      关于前置代理
      TOR 的前置代理的服务器,看到的是 TOR 的加密流量,看不到你的真实流量。
      除非 TOR 协议本身出了安全漏洞,否则的话,通常不用担心前置代理。
      不过,
      对安全性要求很高的,需要考虑“流量分析”的风险。
      前置代理的服务器虽然无法破解 TOR 的加密流量,但是可以观察 TOR 流量的大小及变化趋势。

      删除
    5. TO 1单元
      SSH 的加密是【强加密】,即使是单重代理,应该够安全了。
      (记得把密钥长度设置足够大)

      删除
    6. TO 2单元
      关于 arm,参见《[url=https://program-think.blogspot.com/2015/03/Tor-Arm.html]扫盲 Arm——Tor 的界面前端(替代已死亡的 Vidalia)[/url]》

      删除
    7. TO 文尋
      同意你的观点 :)
      在好几年前的一篇《翻墙快报》中,俺有提到:GFW 具备了某种“基于流量特征进行识别”的能力。
      SSH 由于其本身的特点,一旦拿来作翻墙用途,很容易被 GFW 出来识别——GFW 虽然无法破解 SSH 流量的内容,但是可以判断出该 SSH 连接被用作翻墙。

      删除
  17. 对于赵国大多数人来讲,植入一个木马完全不用这么麻烦。比如通过四大豺狼(腾讯,百度,阿里,360)管道偷偷安装上就行。问题在于有安全防范意识的人往往不会用国产软件,所以必然找这种特别的路子。但大可不必大规模实施,因为有很多国产软件作为通道让绝大多数人已经处于监控中,所以感觉有点画蛇添足,有点蠢。如果是小规模实施但也被腾讯发现了,只能讲那些在意安全又爱安装像XX安全专家这类人士终于体现了你们的行为价值。

    回复删除
    回复
    1. “立功了”哈哈

      删除
    2. 用這種方法搞最流氓的監視(偷聽麥克風,其他程序裡植入監視模塊),可以避免國內公司的名譽損失。上次劫持百度流量攻擊GitHub事件已經導致了百度在國外的名聲大損,繼續使用國內公司作為馬前卒會使中國技術公司「滲透」外國的「陰謀」無法得逞。國內公司只會做比較「普通」的,可以合理解釋為商業目的的監視。所以政府才使用這種匿名的方法。

      删除
  18. 我经常用shadowsocks,加了混淆,算不算加密代理啊…好恐怖…

    回复删除
    回复
    1. TO CL
      shadowsocks 本身是加密代理。
      关于其加密强度的讨论,参见 21楼。

      删除
  19. 中國共產黨知道你會用Tor,他們的辦法是下令ISP對物理網絡限速,斷網等。打開一個網頁都打不開,更不談看視頻了。

    回复删除
    回复
    1. TO kingdom prince
      如果你使用了“TOR + 前置加密代理”的方式,那即使有人监控你的网络传输,也【无法】判断你是否在用 TOR。
      实际上,如果选择比较稳定且高速的前置代理,用“TOR + 前置”的方式也可以看视频(已经有读者这么实践过)

      删除
  20. 下载到手机的所谓的“禁书”用wps看有危险吗

    回复删除
    回复
    1. 还有用QQ传文件

      删除
    2. 此评论已被作者删除。

      删除
    3. TO 25楼的网友
      单纯看“政治禁书”,风险不大。
      因为这么干的人太多了,朝廷管不过来。
      六扇门重点抓捕的,是那些扩散政治敏感信息的人(比如像俺这样的)

      删除
  21. 這款高級木馬出來后我也擔心了一陣,我以爲這是大幅度感染的木馬,後來對國内異議朋友的電腦進行了檢測,沒有發現感染的痕跡,放心了。現在我認爲,這木馬是針對特定對象的,指那些有一定知名度,已經在黑名單上的異議人士,普通人,如果是默默無名的,根本不需要擔心。公家不會花那麽大資本對付你一個無名小輩,所以,無需過度緊張。木馬的感染主要是替換更新文件的方式,但微軟的更新系統也並非那麽渣,軟件更新全部都有數字簽名較驗,一旦發現下載的更新文件被替換了,系統立即會彈出警告,用戶馬上就能發現。使用者如果自己去網站下載exe文件,應該查驗sha1或sha256校驗碼。這個最開始去炒DCM木馬,對它感到緊張的人,是那些對電腦安全應用不太了解的人,倒是很多網絡犯罪人士,製作木馬病毒,去勒索,更加需要當心。當然,如果是政治高危人士,除了會安裝木馬,還會被監聽手機,甚至直接派人24小時在家門口盯守,那樣的話任何安全措施都無濟于事的。公安並不敢在全民範圍内大幅度安裝這種東西,一旦消息傳開,會成爲眾矢之的,丟人現眼,任何木馬再高明,也不能瞞過所有的人,這種弊大于利的事,共匪自然比我們更清楚,不會去做。

    回复删除
    回复
    1. TO 晚上好
      多谢分享你的观点,俺基本赞同 :)

      关于查验 SHA 校验值,俺补充一下:
      ========
      现在有越来越多的网站,开始提供下载软件包的散列值。以便让用户判断下载过程中,软件包是否被篡改了。
      这里面有两个技术细节需要注意:
      1、
      某些散列算法已经不够安全了(也就是说,使用该散列算法验证的校验值,即使校验值 OK 并【不】代表软件包 OK)。
      不够安全的散列算法至少包括:MD5、SHA1
      2、
      用来公布散列值的页面,本身必须是【加密】的 HTTPS 协议。
      如果公布散列值的页面用的是【明文】的 HTTP 协议,那么攻击者可以(在传输过程中)篡改该页面,从而伪造一个假的散列值(这个假的散列值用来匹配已经被篡改的软件包)

      删除
  22. 本文最后四个字,你这么用合适吗? :Q

    回复删除
    回复
    1. TO 瘦肉丝
      多谢老熟人提醒,你比较仔细 :)
      最后一句话似乎有语病,刚才稍微修改了一下。

      删除
  23. 俺一直納悶,博主咋用坐馬桶的照片當頭像呢,難道博文是靠浴室沉思構想出來的嗎?
    [img]http://unko48.com/wp/wp-content/uploads/2016/07/160714-0015.jpg[/img]

    回复删除
    回复
    1. 沉思者,最早是奧古斯特·羅丹安置在群雕“地狱之门”横楣上一座銅雕

      删除
    2. TO 杜子騰
      参见 1单元 的回复。

      俺顺便附上维基百科的链接
      https://zh.wikipedia.org/wiki/%E6%B2%89%E6%80%9D%E8%80%85

      删除
  24. 全程加密代理,网络时延会很可怕吧?

    回复删除
    回复
    1. 并不会,现在的加密性能还不错,做到一秒钟10-100MB的速度没问题,不会成为上网速度的瓶颈的。

      删除
    2. 爱国兄怎么不赞扬伟光正了

      删除
    3. 爱国兄怎么不赞扬伟光正了

      删除
    4. TO 2单元、3单元的文远字
      不登录google的时候,本博客评论回复框有个下拉菜单选项,选择“名称/网址”,输入“文远字”,就可以像偶这样

      删除
    5. TO 文远字
      如果你逛俺博客评论区的时间足够长,就知道历史上曾经有两个“忠党爱国”。
      本楼1单元,是“冒牌的忠党爱国”

      删除
    6. TO Eric Fang
      是否全程加密,速度差别不大。
      “加密”主要是 CPU 的负担,而 CPU 【不是瓶颈】。
      瓶颈主要是网络环境相关的因素。

      删除
    7. 两个“忠党爱国”都进历史了,都曾经了。
      喂,如果都还生存,就都出来叫两声吧

      删除
  25. 博主终于发技术性质的博文了:)
    借用一句话:“木马也开始姓党了“

    回复删除
    回复
    1. TO 吉兆飓风
      多谢捧场 :)
      你这句说得精辟——【木马也开始姓党了】

      删除
  26. To 编程随想
    另外说句和文章主题无关的,这次奥运会有的人完全被狂热民族主义洗脑了,从开幕式到那些小粉红洗版...
    唉~

    回复删除
    回复
    1. 有个关于 truecrypt/veracrypt的问题想请教一下大家。如果把加密container放在dropbox之类的云同步文件夹内使用会不会有风险?比如在解密挂载的情况下,会不会生成一些临时的未加密数据在同个目录下,然后也被上传到dropbox上。

      另外由于 veracrypt 增加了迭代次数导致挂载的时候很慢,对于非敏感人士来说,增加的安全好像抵不上失去的便利性。如果说 truecrypt有安全风险,想问一下哪种级别的人有可能对他进行破解呢,国家级别的,顶级黑客,还是普通黑客都有可能破解?

      删除
    2. 真的,不知道是反洗脑后看到这种现象还是说这种狂热民族主义在以前的奥运会也是这样。。。孙杨那事快笑死我了,看变态辣椒发的,小粉红们还拿者翻译机自演外国人谴责霍顿,这次挺一把财阀的儿子王思聪

      删除
  27. 关于“总是带有校验机制的自动升级”的缺陷,我没明白,编程君觉得像debian或者fedora这类源自带gpg签名的检验还不够安全吗,即使用的是明文传送更新?

    回复删除
    回复
    1. 我猜编程君的意思是说,光用某一条是不够用的。提升安全在于“不断发现自己没做某事”,而不是“做了某事就安全了”。
      1. gpg签名有时候会爆出一些私钥泄漏的事情,不过这类事一经公布,再来一个升级后就可以解决。不过一般已经很厚的防御了。
      2. 除了自动升级外,某些软件可能还是需要手动下载。因此仅预防自动升级的问题,是不够用的。

      删除
    2. 每个软件的校验机制本身是否靠谱可能是个问题,比如是否存在什么缓冲区溢出漏洞、脚本执行注入等。

      删除
  28. 墙内代理服务器贵啊,而且怎么设置最后一跳啊?

    回复删除
    回复
    1. shadowsocks-RSS客户端(Github开源软件:www.Github.com/breakwa11)能够轻松实现国内外分流。再参考博主的虚拟机方案,说不定能省去国内代理

      删除
    2. 楼上,那个难道不就是一个局部代理?

      删除
  29. 下一篇应该是连云港事件了。每周转载好像现在也不出了。

    回复删除
  30. 药丸党特来滋磁博主,墙内膜蛤处处被打压,玩不下去啦,下次可以谈谈连云港,小粉红,还有这奥运的事

    回复删除
  31. 主要是国内的网络本来就不太好,再多重代理的话,感觉打开网页都会费劲的。

    回复删除
    回复
    1. shadowsocks-RSS:www.Github.com/breakwa11 它能轻易实现国内外分流
      参考博主的虚拟机方案,或许能省去国内代理(我这样猜想,QQ也不会提示异地登录)

      删除
  32. 你好,老司機,現在的主流翻牆軟件,vpn等都不穩定,想搭建vpn+ss翻牆,希望老司機出個具體的教程,最好win10平台+bandwagon。以前經常看你教程都比較通俗易懂,很詳細,萬分感謝!

    回复删除
    回复
    1. 这种教程Google一下就有一堆,不用麻烦博主了

      删除
  33. 新玩意:HEIST攻击

    回复删除
  34. 好 虽然看不太明白 但一定要支持。家我们这种只翻墙有新闻 也无所谓保护了 六扇门总不能把所有翻墻的人都抓起来吧

    回复删除
  35. 请博主写一篇安卓手机刷开源固件 系统的文章 毕竟现在电脑的普及率还不太高 用手机上网的应该多点 好多人应该都有闲置的安卓手机 刷开源固件后就能变废为宝 满足普通浏览博主博客的粉丝的需求 现在手机有lbe平行空间等软件 功能方面应该问题不大 也希望有安卓开发方面的朋友能提供下技术支持

    回复删除
    回复
    1. TO 40楼的网友
      你的留言被 Google 误判为垃圾广告,刚才被俺恢复出来了。
      (俺在博客管理界面看到你发了好几条重复的,俺只恢复最早的一条)

      删除
    2. SB,手机网不安全,就算是博主也不敢说用手机来上网能隐藏身份
      ?自己google

      删除
    3. 又不是博主级别的 对于普通上网浏览网页的就没必要整那么高级

      删除
  36. 继续支持博主,刚刚看到您的博客更新了这篇,我就迫不及待地进来看。

    回复删除
  37. 咨询一下博主:同样的翻墙方式,有时迅速流畅恍若墙已不在,有时连个谷歌首页都打不开,就这么来回波动。中间也没见有什么重大事件发生。不知博主翻墙速度是否稳定有无波动?如有波动会有多大?这可能是什么原因造成的呢?

    回复删除
  38. 博主,如果用Linux,大部分是在yum,apt之内的包管理器里面装软件,下载后会自动gpg校验或者hash,这样一来,为何还不安全呢?(假定不作死安装国产linux或者自行下载来源不明的程序)。浏览网页会被不知情的安装木马吗?我想应该不会,浏览器是用普通用户运行的,没有root权限

    回复删除
    回复
    1. 有校驗的安裝包管理器是沒有問題的。GPG校驗屬於一種強制性的數據簽名檢查。

      不過的確大部分的安裝源是不加密的。這可以洩露你電腦上更新什麼軟件,比如可以輕而易舉的知道你使用Tor。在Debian上我建議使用https://cloudfront.debian.net/ 作為安裝源。

      删除
  39. 博主,我有几个问题

    1, 您对鸡汤文(心灵鸡汤衍生的文体)怎么看? 个人认为这种东西逻辑混乱,目的是欺骗底层群众。

    2, 有人给我说,“你说我被洗脑了,你不也被西方的思想洗脑了吗,人都会被洗脑”,我知道这里面的问题:洗脑不仅是对于虚假事实的接受,更是对于思维的摧毁(造成类似double think的效果),我怎么才能说服这样的人呢?然后我就和他讲了实用主义(Pragmatism)然而他并不想听。

    3, 如何和一堆脑残相处?其实说他们是脑残也有点过分,有些事情他们还是机灵的,不过做重要的就是没有逻辑,效率低下,甘于平庸。他们大脑最底层的思维似乎相互矛盾,没办法解救?

    谢谢解答

    回复删除
    回复
    1. 1,这个就上纲上线了,这种东西不过是商人写来搞营销用的
      2,他们不想听恰恰说明了他们被洗脑了。。。
      3,尝试培养他们的思维,如果失败,就疏远但不直接冷面对待

      删除
    2. 或许你身边并没有那么多脑残,只是你自视甚高而已。如果嫌自己才华横溢,不妨混进一个更优秀的团体里去。

      删除
  40. 身正不怕影子斜,只有像编随这样的网络老鼠才不敢活在祖国的阳光下。
    坚决打击网络犯罪分子,坚决支持安全部门依法管理网络和媒体;坚决支持国家加大依法管理网络力度,确保国家信息安全;坚决拥护习总书记的英明领导。
    打倒编随!共产党万岁!习总书记万岁!万岁!万万岁!

    回复删除
  41. 小小青蛙见风是雨2016年8月11日 下午6:30:00

    随想我爱你嫁给我吧

    回复删除
  42. 這個木馬真的很詭異。是否可以說,大陸政府如果願意,明天全國人民的電腦可以變成殭屍?或者說整個使用國產軟件的群體已經可以稱為一個政府控制的殭屍網絡?

    回复删除
  43. 法新社|传习近平拟延长任期 掌权超过10年
    https://chinadigitaltimes.net/chinese/2016/08/%E6%B3%95%E6%96%B0%E7%A4%BE%EF%BD%9C%E4%BC%A0%E4%B9%A0%E8%BF%91%E5%B9%B3%E6%8B%9F%E5%BB%B6%E9%95%BF%E4%BB%BB%E6%9C%9F-%E6%8E%8C%E6%9D%83%E8%B6%85%E8%BF%8710%E5%B9%B4/

    习近平想要做中国的勃列日涅夫?
    苏联在勃列日涅夫时期,可以算是最强势也是最脆弱的时期,国际上强势出击,与美国叫板,进军阿富汗,而国内经济低迷,停滞不前,陷入萧条。
    而勃烈日涅夫的继承者,因为苏联经济实在烂得不行,不得不碰最难进行的政治体制改革。
    然而苏联体制的问题实在太多,已经积重难返,政治改革完蛋,不政治改革也完蛋。

    从“中国速度”到“中国自信”,GPD6.5也可以,新常态,L形增长;一代一路大撒币,亚投行,南海圈地中国湖。
    习包子也会让中国步入苏联后路么?让我们拭目以待。

    回复删除
  44. 部署方式不同
      GFW 部署在天朝的国际出口。只有当你访问境外网站,你的网络流量才会经过【国际出口】,才会被 GFW 处理。如果你仅仅是访问【墙内】网站,GFW 根本【看不到】你的流量。
    ------------------------------------------------------------
    那个 博主 你确定??至少我认为的是在省市区各级骨干节点的旁路上都部署了。。。因为tracert被墙的站远不到国际出口就被丢掉了。。当然我也不说死 随着时间地点的变化而不同也是有可能的。
    另外总觉得dcm本身的网络传说性质有点强啊23333查一个人,百度搜索历史和qq聊天记录就能提供不少有指向性的信息了,毕竟没过法庭都叫嫌疑人,之前用不着100%确定。
    另外对这种干“实事”的 网络手段这种新奇手段撑死是个辅助手段,实地摸查监控寻访还是主要手段。估计当定位“嫌疑人”的时候只要和其所使用的isp打个招呼就可以获取全部上网记录,这和去银行查资金流一样。
    公共事业给人提供了便利,一点都没错,对所有人都是。
    另外国内对硬盘加密貌似是算罪的
    顺便说一点自己的想法,我依稀记得alphaGO那会有人两会上问信息能源部长有何想法,他当时回复相比和机器对弈,他更喜欢和人博弈。
    当时微博上有人拍马屁说讲的很好。我心想:嗯讲的是不错,就是没讲技术。
    后来我察觉,对这些中国人来说,技术确实很重要,但是撑死只是工具,最终目的永远不会是什么崇高的科技行业事业或者技术前景或者其他等等,他们的最终的目的 永远 也从古至今 都是搞人。技术就是拿来搞人的,钱是拿来搞人,人是拿来搞人。所有的技术也好手段也好不论什么一切的一切,最终都只为一个目的服务:搞人。
    就算天地逆转alphaGO出现在中国,我也不觉得这会是多好的一件事
    神tm与人斗其乐无穷

    回复删除
  45. 在TOR和I2P上搭建网站足够安全吧?兄台搭建好了我们匿名去那里交流没有如此麻烦吧

    回复删除
    回复
    1. 没有谷歌的反垃圾,反DDOS功能。匿名论坛是存在问题的。

      带某种注册门槛(比如机器挖矿、注册邀请码),并带黑白名单机制的社交网站是可行的。

      删除
    2. I2P本来就加密了,匿名是为了少留痕迹,TOR网络现在就是中文网站少点,只要熟炼的网站管理去那里设置就可以,这里的点击某种种类物品比如所有房屋图片这类机制都可以封杀五毛的行为,参考丝绸之路3的多重认证机制基本阻止破坏行为吧,避免使用电子邮件注册也是保护机制

      删除
    3. 在翻墙者中,看中国这类已经实现了一对多的信息发布,朋友这类博客可以实现一对多双向交流,多人间相互匿名安全交流还是市场空白,如果在I2P和TOR搭建交流用网站才可以满足这类需求,讨论技术的比较长文字是无法通过现在这样简单匿名的提交给朋友的博客的,注册用户名后通过电子邮件交流容易留痕迹,在这里发布介绍吸引各位朋友去I2P搭建网站交流就很满足了,希望朋友可以出力,另外提示下,匿名在这里发信息,出现的图片点击界面左右不占满屏幕,边缘的图不容易看见,很不方便,希望可以调整好就完美了

      删除
    4. 论坛问题已经讨论过很多次了。传统的在TOR和I2P上搭建论坛仍然需要后端服务器,这会导致很多问题,彻底分布式的才是正途。至于防止破坏捣乱,博主也说过,需要社交的fo机制彻底解决。正好昨天ZeroNet上的分布式社交平台正式发布了,从架构上满足了博主各种苛刻的要求。

      删除
    5. 每篇博文的评论区就是天然的好论坛,没有必要另设论坛了,否则分了人气就不好了。

      删除
    6. 看来楼上你是没有被吞过评论。一个话题分散在各个博文下面,不利于讨论的深度和效率,比如这个建论坛的话题本身,就被分散讨论过很多次。

      删除
  46. 求助:
    社交网络linkedin好像被监视了。怎么办?侥幸心理,应该没关系吧?

    回复删除
  47. 感谢博主,没想到真的写了一篇文章。不过我还有一个疑惑,那就是如何检查当前的系统是否中了DCM呢?您只提到了防范措施。

    回复删除
    回复
    1. 有司机写了DCM专杀,你可以试试

      删除
    2. 这个匿名者说DCM专杀。普通浏览器开启javascript,翻墙去duckduckgo(谷歌搜索替代品)搜索“DCM木马专杀”。顶端的instant answer就显示了某个专杀工具

      删除
  48. 对于你这些加强版的慝名上网,我烂熟于心,但是要有资金,上网的设备够好否则慢死,头脑够清晰,否则容易露马脚,我是shadowsocks+vpn+tor +虚拟机TOR
    安全不

    回复删除
    回复
    1. 两个tor?目前还不确定两个tor一起用是否安全
      其中一个tor发出的流量经过某三个服务器,另一个tor发出的流量有可能会经过相同位置上的服务器

      删除
  49. http://www.freebuf.com/news/111735.html

    一般我们会认为,要确认互联网上的任意两台主机设备是否建立TCP连接通讯,其实并不容易——攻击者如果不在双方的通讯路径中,就更是如此了。另外如果攻击者并不在通讯路径中,要中途中断双方的这种连接,甚至是篡改连接,理论上也是不大可能的。

    不过来自加州大学河滨分校,以及美国陆军研究实验室的研究人员,最近联合发表了一篇论文,题为《Off-Path TCP Exploits: Global Rate Limite Considered Dangerous》。这篇文章提到Linux服务器的TCP连接实施方案存在高危安全漏洞,攻击者可利用该漏洞来劫持未加密Web流量,或者破坏如Tor连接一类的加密通讯;此漏洞编号CVE-2016-5696。

    回复删除
  50. 请问编程哥能谈谈812吗
    今天是812一周年 到底还有几个人记得 我是812亲历者 灾难发生前看网上中国各种人祸灾难觉得很遥远 而真正发生时才惊觉离自己如此近
    我是812亲历者 是大学毕业的90后 出身中产家庭(如果中国有中产的话) 爆炸地点离我家很近 爆炸地周围都是和你我他一样的白领阶层中产家庭 死的也有很多是这些人
    今天在朋友圈和QQ群里有人提起这件事 但人们的反应出奇地冷漠 竟然还有人辱骂提起812的人 非常悲哀
    据说事发地到现在还是一片狼藉 后续工作政府根本没有做到位 因为这件事已经被全国人民忘记了
    但我看来812这件事不同于其他“天”灾人祸 其他灾难受害灾民多是些底层的农民 城乡结合部人民而已 而812的灾民很多都是高学历 高收入 高精尖的精英 别说你不知道滨海新区是什么地方 爆炸地周围有泰达足球场 研究院 住着不少老外 那的房价可都是天津最贵的
    812是 这个政权导致的人祸直接危害中国精英中产阶层的一个标志性事件
    可惜可怜可悲的中国中产精英们对此反应麻木 这样的事今天发生在滨海新区 明天就有可能发生在北上广深任何一个城市 发生在你我他身边!!!
    希望各位网友也能就此事多发表下看法

    回复删除
  51. 代理会减慢网络速度,虚拟机会影响电脑速度让电脑变卡,咋办?

    回复删除
  52. https://program-think.blogspot.com/2010/04/howto-cover-your-tracks-2.html?comment=1470814930501
    这个究竟能否查出黑暗幽灵木马?

    回复删除
  53. 一边嘲笑那些叫政治走开的人,一边又对中国政治与体育的关系叽叽歪歪。
    如果个个都像你们一样,那还有谁去参加奥运?得了冠军谁还会拉个国旗对着国歌行礼?

    回复删除
  54. 根据社工学,我们已经掌握编程随想的口语特征,很快就可以锁定其人。各位如发现有以下特征人士,请速向当地公安机关报案。重酬。
    其口头禅特征如下:“多谢XXX捧场”,“你的留言被 Google 误判为垃圾广告,刚才被俺恢复出来”,“1.XXXX”,“2.XXXX”,........

    回复删除