601 评论

近期安全动态和点评(2019年3季度)

  明天开始放假,俺选在9月最后一天,发这篇3季度的《近期安全动态和点评》。
  这篇有点长,外部链接有点多。来不及看完的同学,可以在假期慢慢看。


★隐私保护


◇十个你需要关闭的 Windows 10 隐私设置


  大名鼎鼎的《连线》杂志发了一篇文章(如下),介绍 Windows 10 的隐私选项。
The Windows 10 Privacy Settings You Should Check Right Now

  编程随想注:
  这些选项都涉及【数据收集】,并且默认是【启用】状态。
  即使把这些选项都关掉之后,你依然无法确保——微软不再收集你的隐私数据。但“禁用”总比“启用”更保险一些。
  至于那些善于捣鼓技术的同学,完全可以告别 Windows,并切换到某种 Linux 发行版之下。

◇监视技术的全球化趋势


AI 监视扩大到全世界 @ Solidot
在中国之后,越来越多的国家部署 AI 去跟踪公民。卡内基国际和平基金会称,有至少 75 个国家在使用人脸识别等 AI 工具。它发表了报告《The Global Expansion of AI Surveillance》。
使用某种形式 AI 的国家有自由民主国家如美国和法国,但更多是专制政府。报告称,华为、海康威视、大华和中兴为首的中国科技公司向世界输出了大量 AI 监控技术。其它如日本的 NEC、美国的 IBM、Palantir 和思科都是 AI 监控技术的主要供应商。
中国还为外国政府购买中国的监控工具提供了贷款。肯尼亚、老挝、蒙古、乌干达和乌兹别克斯坦等国,如果没有中国的贷款不太可能采购 AI 监控工具。
  编程随想注:
  面对技术监控的这种趋势,有必要再次重温 EFF 创始人的那篇《赛博空间独立宣言》。
每周转载:EFF 创始人约翰·佩里·巴洛和他的【赛博空间独立宣言】

◇面部识别


南京中国药科大学试点面部识别 @ Solidot
瑞典禁止学校部署面部识别技术 @ Solidot

  编程随想注:
  上述两条新闻,放在一起对照,令人印象深刻啊。

ZAO App 换脸玩大了,陌陌被工信部约谈要求自查整改 @ 搜狐
ZAO的火爆可以说是在一夜之间。自8月30日上线,不到24小时,这款 APP 就以火箭般的速度在各应用商店免费应用排行榜中蹿升至第二位,同期更是微博热搜前十话题。

但是却有细心用户发现其用户协议里暗藏玄机。协议中有一条写道:用户上传发布内容后,意味着同意授予 ZAO 及其关联公司以及 ZAO 用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”。

这就等同于用户在使用该APP时同时也将自己的肖像权“转让”了出去。ZAO 及其所属公司陌陌可以利用用户的肖像做任何其他事情。其危险可想而知。

网店出售人脸数据引发争议
国内媒体报道,在一网络商城上,有商家公开兜售 “人脸数据”,数量达17万条。报道称这些 “人脸数据” 覆盖2000人的肖像,除了人脸位置的信息外,还有人脸的106处关键点,如眼睛、耳朵、鼻子等的轮廓信息。这其中有明星也有普通市民,还有部分未成年人。店家称,自己平时从事人工智能的相关工作,因此收集了很多人脸数据,发售出来 “挣个饭钱”,并不提供当事人的人名和身份证号等信息。记者举报后,商品被下架。有律师表示,此举已涉嫌侵犯他人隐私权

◇手机应用在【不】授予权限的情况下,依然能收集相应数据


More than 1,000 Android apps harvest data even after you deny permissions @ CNET

  编程随想注:
  文中提到了某些技巧,比如说——
  某个 app 虽然没有权限拿到“地理位置信息”,但可以收集手机中拍摄的照片,从照片的 EXIF 元数据中可以提取到“地理位置信息”。
  咱们还可以更进一步设想——
  如果该 app 有照相机的权限,就可以定期拍照,提取 EXIF 元数据之后再删除照片——就可以不断跟踪用户的位置变化。

◇多款知名的国产 app 存在隐私问题


国家计算机病毒中心发布违规 APP 和 SDK 名单 @ 新京报网
国家计算机病毒中心发布了《移动 APP 违法违规问题及治理举措》。其中 APP 和 SDK 存在的六大类问题,包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。
其中,MOMO 陌陌(版本8.18.7)、今日头条(版本7.2.7)、京东金融 (版本: 5.2.32)、云闪付(版本: 6.2.6)等下载量很高的应用也名列其中。

◇(新疆)中国边检人员在过境旅客手机安装监控软件


  编程随想注:
  在上一期的《近期安全动态和点评》中才说到:前些年,俺在博客评论区与读者交流时就提到过——新疆警方可以随意盘查路人手机(以“反恐”的名义)。
  如今更牛逼了,新疆警方不仅可以随意盘查手机,还可以在手机上强制安装某个【监控软件】。以下是外媒的报道。

中国边警在游客手机中安装监控 App @ 德国之声
中国政府在入境游客手机上秘密安装一种应用软件,搜集并监控游客私人信息。《南德意志报》周三(7月3日)报道说,取名为“蜂采”的这一手机应用可获取游客各种信息,从电邮、短信、驻地或通信名单,无所不包。此前,《南德意志报》与北德意志电台、英国《卫报》、美国《纽约时报》等传媒共同做了评估。

根据这一报道,受到影响的是从吉尔吉斯斯坦经由陆路进入新疆的游客。他们在边境口岸被要求解码手机,警察拿上手机进入另外一个房间,在那里将应用软件置入手机。

新出现的情况是,似乎所有经陆路进入的外国人都已成为手机检查的目标。游客们在边境口岸被要求解码手机,警察拿上手机进入另外一个房间,在那里装上这一应用软件,并且不对当事人详加解释。

  编程随想注:
  上述报道中提及了监控软件名为【蜂采】。下面这篇提到了这款软件的出处。

在新疆,你手机上不能有的73000项内容 @ 纽约时报
出现在蜂采源代码的名称显示,该应用程序由南京烽火星空通信发展有限公司(Nanjing FiberHome StarrySky Communication Development Company)制作,烽火星空是烽火通信科技股份有限公司(FiberHome)的子公司,后者是一家光缆和电信设备生产商,部分归中国政府所有。烽火星空在其官网表示,它提供的产品可以帮助警方收集和分析数据,并表示该公司已与中国各地的安全机构签署了合作协议。

◇【五眼联盟】计划在 WhatsApp 内置政府后门


  五眼情报联盟(美国、英国、加拿大、澳大利亚、新西兰)7月底8月初在伦敦举行峰会,讨论“加密聊天应用”所带来的挑战。
  美国佬(NSA)偏爱的是【算法后门】——类似的事情,NSA 已经干过好多次了(当年斯诺登曝光的【棱镜门丑闻】,包括其中一些)。
  而英国佬(GCHQ)提出了一个更狡猾的【ghost protocol】解决方案——通过修改聊天服务器的软件,在“单独聊天”或“群聊”时候,让某个【幽灵用户】参与其中。正常用户看不到这个 ghost,但 ghost 可以看到其它用户的聊天内容。

  知名的密码学大牛 Bruce Schneier 在其个人网站连发两篇帖子(如下),表达了【反对意见】。
Facebook Plans on Backdooring WhatsApp @ Schneier
More on Backdooring (or Not) WhatsApp @ Schneier

  编程随想注:
  俺本人反对“互联网监控”,不管是来自民主政权还是专制政权。
  更多的讨论,参见4年前(2015)写的《“对抗专制、捍卫自由”的 N 种技术力量
  另外,经热心读者提醒,补充一下:
  “5眼联盟”已经逐步扩大到“9眼联盟”、“14眼联盟”(总之就是——【眼】越来越多了)具体参见维基百科的这个链接

◇美国互联网巨头被重罚


Facebook 支付50亿美元巨额罚款,扎克伯格失去隐私权方面的最终决定权 @ 搜狐

谷歌旗下YouTube因侵犯儿童隐私被罚款1.7亿美元 @ VOA/美国之音

◇斯诺登又走红了


  斯诺登的自传《永久记录》(洋文“Permanent Record”)最近开始发售(此书的封面,是他的大头照,如下)
不见图 请翻墙

  然后,美国政府对 Edward Snowden 提起民事诉讼,反而引发“史翠珊效应”,导致更多人关注此书。
  这本书刚出来,俺还没去找电子版。有空的话,会把电子版分享到俺的网盘
  引申阅读:
中美政府信息监控的差异——“棱镜门”丑闻随想


★高危漏洞


◇Microsoft 的漏洞


微软修复四个远程桌面服务高危漏洞 @ Solidot
微软修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。
编号为 CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226 允许未经授权的攻击者通过发送特制信息执行任意代码。漏洞影响 Windows 7、8 和 10,以及 Server 2008、2012、2016 和 2019。
和今年五月修复的 BlueKeep 漏洞不同的是,它影响最新的 Windows 操作系统,而 BlueKeep 主要影响旧版本。在漏洞被逆向工程前计算机必须尽快打上补丁。

  编程随想注:
  俺特地在上述引文中标注了粗体,提醒大伙儿注意。

微软 CTF 协议曝出漏洞 @ Solidot
Google Project Zero 安全团队的研究员 Tavis Ormandy 报告,微软鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用,接管整个操作系统。
......
漏洞影响到 XP 以来的所有 Windows 版本,不清楚微软是否或何时会释出补丁。
  编程随想注:
  俺特地在上述引文中标注了粗体,提醒大伙儿注意。

研究人员发现 40 多个存在漏洞的 Windows 设备驱动 @ Solidot
安全公司 Eclypsium 的研究人员在硬件和固件安全研究中发现,至少 20 家供应商的 40 多个 Windows 设备驱动存在高危漏洞,允许绕过或提权。
这些设备供应商包括了华硕、东芝、英伟达和华为。这些设备驱动被广泛使用,并获得了微软的数字签名,允许攻击者能更方便秘密的渗透到目标网络。
设备驱动通常都具有非常高的权限,其中包括进行修改的权限,允许攻击者在系统中获得永久的立足之地。Eclypsium 已经通知了微软,英伟达已经释出了修复的驱动。

◇Google 的漏洞


研究人员披露 Android 0day 提权漏洞 @ Solidot
趋势科技 Zero Day Initiative 的研究人员披露了 Android 操作系统的一个 0day 提权漏洞,允许在受影响设备上已获得低访问权限的攻击者进一步提升权限。
漏洞位于捕捉实时视频的 V4L2 驱动中,是在执行操作前未验证对象的存在导致的。安全专家称,已获得 V4L 子系统访问权限的应用或代码可利用该漏洞进行提权。发现漏洞的安全研究人员称在3月通知了 Google,6月 Google 确认漏洞将会修复,但到了8月 Google 表示没有进一步的更新。漏洞至今没有修复。

◇Apple 的漏洞


Google 披露被利用了两年的 iOS 漏洞 @ Solidot
Google Project Zero 安全博客披露了被利用了两年多时间的 iOS 漏洞,TechCrunch 则援引消息来源称此事与中国有关
Google 称,今年早些时候,它的安全团队发现了一组遭到入侵的网站利用 iOS 0day 漏洞对网站的访客不加区分的发动水坑攻击。如果成功利用,攻击者会在访客的 iPhone 手机上安装监视程序,这些网站每周大约有数千访客。攻击者使用可五个不同的 iPhone 利用链,组合了 14 个漏洞,其中浏览器 7 个,内核 5 个,还有两个沙盒逃逸,至少 1 个提权利用链属于 0day。
研究人员 2 月 1 日通知了苹果,给了苹果 7 天的时间修复。苹果在 2 月 7 日释出了 iOS 12.1.4 修复了漏洞。

Apple's AWDL protocol plagued by flaws that enable tracking and MitM attacks @ ZDNet

  编程随想注:
  “AWDL 协议”是洋文“Apple Wireless Direct Link”的缩写,诞生于2014年。如今,很多苹果的产品都支持“AirPlay”与“AirDrop”。而 AWDL 就是这两者的底层协议。
  AWDL 诞生5年来,苹果公司【从未】公布过详细的技术规范(看情形,将来也不会公布)。于是,某些安全研究人员开始用【逆向工程】的招数分析该协议的实现,并找到诸多漏洞。
  其中一个比较严重的漏洞,可被用来进行【中间人攻击】(MitM attack)。由于 AirDrop 用来传输文件,攻击者可以利用该漏洞【篡改】文件内容,(在某些情况下)攻击者可用来【植入木马】。

◇网络协议的漏洞


  编程随想注:
  除了刚才提到的——苹果公司的 AWDL 协议的漏洞,接下来提到的几个漏洞也来自【无线网络】。
  俺已经多次在博客上警告了“无线网络的风险”。因为无线网络具有【更大的攻击面】。
  在今年初的“这篇博文”,俺还提到了:比如说:那些安全防范等级较高的公司或机构,其【核心网络】肯定是物理布线,而不会走 wifi 之类的无线网络。

New Dragonblood vulnerabilities found in WiFi WPA3 standard @ ZDNet

  编程随想注:
  这篇提及了 WPA3 的漏洞。WPA 是洋文“Wi-Fi Protected Access”的缩写。WPA3 发布于去年(2018),以替代有设计缺陷的 WPA2。但是 WPA3 才发布一年,其协议设计就被找到严重的漏洞。为啥捏?因为无线网络的协议,设计很复杂(相比【有线】网络的协议而言)。
  这再次说明了俺前面提到的——无线网络具有更大的攻击面。其“攻击面”来自很多维度,协议的“复杂性”只是其中之一。
  找到 WPA3 漏洞的研究人员在今年4月份已经曝光了5个 WPA3 的漏洞(在前一期的《近期安全动态和点评》提到过);8月初又曝光了两个。这一系列漏洞被称作“Dragonblood”,其名称源自:WPA3 的【密钥交换机制】洋文叫做“Dragonfly”(蜻蜓)。
  4月份曝光的 Dragonblood 漏洞,可以针对 WPA3 进行“降级攻击”;8月初曝光的漏洞,可以用来进行“边信道攻击”。

New Bluetooth KNOB Attack Lets Attackers Manipulate Traffic @ Bleeping Computer

  编程随想注:
  这篇提到了蓝牙协议的“KNOB 漏洞”,可以让攻击者更快地破解“蓝牙配对的密钥”。

◇安全工具的漏洞


LastPass bug leaks credentials from previous site @ ZDNet

  编程随想注:
  LastPass 是最流行的密码管理器之一。漏洞出现在它的浏览器扩展,会导致你——泄漏【上一次】登录的密码。
  大致意思是:
  假如某个【恶意网站】专门设计用来利用此漏洞。一旦你访问了这个恶意网站(陷阱),架设该网站的攻击者可以拿到你【前一次】用 LastPass 登录的密码。
  LastPass 的用户要升级到 4.33.0 以修复此问题。

◇高危漏洞值多少钱?


苹果漏洞赏金开价百万美元,这是迄今为止科技公司提供的最高数额 @ InfoQ

  编程随想注:
  【百万美金】看上去好像很多的样子。但是,请看俺引用的第3篇(洋文那篇)。那些(对攻击者而言)特别好用的漏洞,有可能在【公开市场】卖到【更高】的价格。而“黑市价格”很可能比“公开市场”还要高!

Google 的 Bug 悬赏项目涵盖了所有安装量超过一亿的应用 @ cnBeta

Android exploits are now worth more than iOS exploits for the first time @ ZDNet
Zerodium, a company which claims it buys and then resells software exploits to government and law enforcement agencies, has updated its price list today, and Android exploits are worth more than iOS exploits for the first time ever.

According to the company, starting today, a zero-click (no user interaction) exploit chain for Android can get hackers and security researchers up to $2.5 million in rewards. A similar exploit chain impacting iOS is worth only $2 million.


★网络与 Web


◇面对 Tor 网络,俄罗斯正在研究【去匿名化】(Deanonymize)的技术


俄罗斯尝试去匿名 Tor 流量 @ Solidot
自称 0v1ru$ 的黑客组织入侵了俄罗斯情报机构的一家承包商,发现该承包商从事的一个项目是尝试去匿名 Tor 流量
入侵发生在7月13日,被攻击的公司叫 SyTech,该公司被认为从2009年起就在多个项目上与政府进行合作,黑客通过入侵 SyTech 的 Active Directory 服务器访问了整个 IT 网络,窃取了 7.5TB 数据,并纂改了公司的网页。
泄露的俄罗斯情报机构秘密项目包括:
Nautilus-S,在恶意 Tor 节点帮助下去匿名 Tor 流量;
Nautilus,收集社交媒体用户的数据;
Reward,秘密渗透 P2P 网络;
Mentor,在俄罗斯公司服务器上监视和搜索电子邮件通信;
Tax-3,创建一个封闭的内联网去储存高度敏感的政府高管、法官和地方政府官员的信息,与其它 IT 网络分离开来。
去匿名 Tor 流量项目始于2012年,进行过真实世界的测试。2014年曾有报告在俄罗斯发现18个恶意 Tor 出口节点,都运行相同的版本 Tor v0.2.2.37。

  编程随想注:
  大约10天前,俺在博客评论区与读者交流时,刚好也聊到这个话题。
  很多小心谨慎的 Tor 用户会在 Tor 的配置文件(torrc)中排除掉某些【危险国家】——比如咱们天朝,比如俄罗斯......
  俺想补充几点:
  1. 关于【势力范围】
  比如说,“白俄罗斯”基本上算是“俄罗斯”的【附庸】。如果你要排除掉俄罗斯(ru)的 Tor 节点,那么你顺便也要把白俄(by)的节点排除掉。(注:俺只是举例,“俄罗斯”的“附庸国”肯定不止这一个)
  同样的道理——本文前面章节提到的“五眼联盟”可以视作美国的势力范围。
  2. 关于【白名单】
  如果你嫌【黑名单】的方式逐个排除,太麻烦了 :(
  还可以改用【白名单】的方式——限定你的 Tor 客户端【只用】某些靠谱的国家的节点。
  3. 关于【隔离性】
  为了进一步增加【逆向追溯】的难度,你还可以让 Tor 的“入口节点”与“出口节点”处于【不同】的势力范围。
  由于天朝的 Tor 用户通常都需要依赖【前置代理】,以便让 Tor 客户端接入到全球的 Tor 网络。因此,你也可以考虑——让“前置代理”、“入口节点”、“出口节点”这三者位于【不同】的势力范围。

  引申阅读:
  如何定制 Tor 的配置文件,参见《“如何翻墙”系列:关于 Tor 的常见问题解答

◇哈萨克斯坦政府对【全国的】互联网流量进行【中间人攻击】


Kazakhstan Government is Now Intercepting All HTTPS Traffic @ Slashdot
哈萨克斯坦对所有 HTTPS 流量发动中间人攻击 @ Solidot

  编程随想注:
  这个事件很典型,俺稍微费点口水聊一聊。
  咱们天朝的共产党政权已经很厚颜无耻了,没想到还有脸皮更厚的流氓,那就是【哈萨克斯坦政府】。该政府堂而皇之地宣布,国内所有网民的浏览器都要强制安装政府提供的一个 CA 证书(具体报道参见上述两篇)

  这么干是啥意思捏?
  大伙儿上网的时候,如果网站采用的是加密的 HTTPS(技术上称作“SSL/TLS”协议),其传输流量本身是【强加密】滴,即使是政府也难以破解。
  通过强制安装某个 CA 证书,“哈萨克斯坦政府”就可以对国内所有网民的 HTTPS 流量进行【中间人攻击】,从而实现【解密】的目的。只要能解密,就可以监控网民的上网行为。
  关于这方面的技术,俺写过几篇扫盲教程,链接如下:
数字证书及 CA 的扫盲介绍
扫盲 HTTPS 和 SSL/TLS 协议》(系列)
CNNIC 证书的危害及各种清除方法
老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿

  当年俺为啥要强烈建议大伙儿移除“CNNIC & 沃通”这两个老流氓的 CA 证书?
  因为这两个老流氓,都有【朝廷背景】。移除它们的证书,就是为了规避这种【国家级】的中间人攻击。

  关于此事的后续发展——
  既然“哈萨克斯坦政府”如此下流,几大浏览器厂商(Google、Mozilla、Apple)当然也不客气啦,直接把哈萨克斯坦政府的 CA 证书加入黑名单(彻底封杀)。

◇流行的 VPN 服务,约三分之一是【天朝公司】运营


  VPNpro 网站发了一份报道(链接如下),汇总了【97个】流行的 VPN 服务,发现它们来自23家商业公司。其中的6家【中国公司】运营了【29个】VPN 服务(接近 1/3)。
Hidden VPN owners unveiled——99 VPN products run by just 23 companies @ VPNpro

  编程随想注:
  如果你是【高风险人士】,并且还涉及到政治方面的风险(类似俺这种),那你【一定】要养成【戴套】的好习惯。
  就算你是个普通人,也【不要】太相信你所使用的 VPN 的提供商。哪怕你已经验证了 VPN 背后的公司是一家外国公司,你依然不要太相信它。
  通过“戴套”(Tor over VPN),可以让 VPN 服务器的管理员【无法】看到你的真实上网流量。

◇Chrome 浏览器开始启用【备受争议】的“Manifest V3”扩展系统


  大名鼎鼎的 EFF(电子前线)对此事的吐槽:
Google's Plans for Chrome Extensions Won't Really Help Security @ EFF
  其它浏览器厂商对此事的表态:
Mozilla's Manifest v3 FAQ @ Mozilla
Opera, Brave, Vivaldi to ignore Chrome's anti-ad-blocker changes, despite shared codebase @ ZDNet

  编程随想注:
  对那些不想看洋文的同学,俺简单点评几句。
  “Manifest V3”是指 Chrome【新版的】扩展系统及其 API。
  Google 官方的说法是:升级扩展系统是为了:提升性能、提升安全性......(总之,听上去很美)
  但是,(俺要开始说“但是”了)
  技术懂行的人纷纷指出——新的 API 实质上【削弱】了“广告拦截扩展”的能力和效率(这才是 Google 的潜台词)
  那 Google 为啥要打压“广告拦截扩展”捏?
  俺在博客上已经唠叨过很多次了——
Google 的绝大部分利润来自【在线广告】的收入。当“广告拦截器”与“广告商”对抗的时候,(很显然)Google 管理层的屁股是坐在【广告商】那边滴!
  引申阅读:
弃用 Chrome 改用 Firefox 的几点理由——关于 Chrome 69 隐私丑闻的随想

◇浏览器开始普及【DoH】(DNS-over-HTTPS)


  不了解 DoH 的同学,先看下面这篇。
对比4种强化域名安全的协议——DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS

  最近一年,DoH 在主流的浏览器上开始普及。Firefox 从去年的 62 版本开始支持该功能。当时是【默认禁用】(需要“手动开启”)。如今 Mozilla 已经(在9月初)宣布,未来版本会【默认启用】该功能。
  俺想提醒一下那些使用 Firefox 的同学:
“DoH 功能”需要设定“DNS 服务器”,你最好【别用】Google 的 DNS(具体理由参见前一个小节)。

◇浏览器开始普及【密码泄漏】的警告功能


  最近这个季度,两大浏览器(Chrome & Firefox)都开始支持“密码泄漏警告”。
  原理其实很简单——
Mozilla 与“Have I Been Pwned 网站”合作,查询你的密码是否已经泄漏。
Google 紧跟其后,在 Chrome 中增加了“Password Leak Detection”功能。

◇“Tor 社区”与“政府审查”的军备竞赛


Tor 审查军备竞赛 @ Solidot
在上周举行的 Def Con 安全会议上,Tor 项目联合创始人 Roger Dingledine 回顾了 Tor 与政府之间的屏蔽和反屏蔽军备竞赛,谈论了未来反屏蔽的计划(幻灯片 PDF)。
Dingledine 称,泰国在2006年屏蔽了 Tor 的域名、伊朗和沙特等国在2007年利用 websense/smartfilter 屏蔽了 Tor 的 HTTP 目录,Tor 随后采用 TLS 反击了屏蔽。
但从2009年6月起伊朗利用 DPI(深度包检测)去识别 Tor。中国在2009年9月抓取和屏蔽了公开的中继节点,利用枚举屏蔽了三个私有中继网桥段之一,但漏掉了其它网桥段。
2010年3月第二个网桥段被屏蔽。期间中国的 Tor 网桥用户猛增到了3万以上。Tor 的应对方法是引入了可插拔传输(Pluggable Transports),其中 obfsproxy 加入了一层加密,而 meek 利用了云计算巨头们的域前置(Domain fronting,已经失效) 。中国的回击则是利用 DPI 主动刺探 Tor 的 TLS 握手,之后是 obfs2 和 obfs3。
Tor 之后开始推 obfs4 网桥,旧的网桥都很容易被屏蔽。但到了2018年中期,obfs4 代理也出现了问题。现在 Tor 推出了一个新的可插拔传输 Snow✓ake 和改进的 obfs4,未来计划包括诱惑路由(decoy routing)和 FTE/Marionette。
  编程随想注:
  之前有读者在博客留言问俺:天朝的 Tor 用户大概有多少?
  根据 Tor 项目领导人的上述言论,天朝在2010年至少有【3万】用户使用 Tor 网桥
  (注:以“其它翻墙工具”作为 Tor 的前置代理,可能【没被】统计到——因此实际数量会超过3万)。
  如今又过了这么多年。俺【保守】估计:会在10万以上;如果【乐观】估计的话,或许能达到【百万】的数量级。


★移动设备


◇Simjacker 攻击


Simjacker attack exploited in the wild to track users for at least two years @ ZDNet
How Simjacker works

Simjacker begins with an attacker using a smartphone, a GSM modem, or any A2P (application-to-person) service to send an SMS message to a victim's phone number.

These SMS messages contain hidden SIM Toolkit (STK) instructions that are supported by a device's S@T Browser, an application that resides on the SIM card, rather than the phone.

The S@T Browser and the STK instructions are an old technology supported on some mobile networks and their SIM cards. They can be used to trigger actions on a device, like launching browsers, playing sounds, or showing popups. In the old age of mobile networks, operators used these protocols to send users promotional offers or provide billing information.

......

To make matters worse, the Simjacker attack is completely silent. Victims don't see any SMS messages inside their inboxes or outboxes. This allows threat actors to continously bombard victims with SMS messages and keep track of their location as they move through the day, week, or month.

Furthermore, because Simjack exploits a technology residing on the SIM card, the attack also works independently of the user's device type.
  编程随想注:
  看不懂洋文的,看下面这篇。
  俺再次唠叨:别再用手机进行重要的操作或者敏感的活动。

黑客利用“Simjacker”漏洞窃取手机数据 或影响10亿人 @ cnBeta
据 TNW 报道,网络安全研究人员警告称,SIM 卡存在一个严重的漏洞,使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的 AdaptiveMobile Security 公司表示,这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间,不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。

◇下载量超过一亿的热门安卓应用,蜕变为恶意软件


下载量超过一亿的流行应用被发现含有恶意模块 @ Solidot
俄罗斯杀毒软件卡巴斯基报告,一个 Google Play 商店下载量超过一亿的流行应用 CamScanner(或叫 CamScanner — Phone PDF Creator 和 CamScanner-Scanner to scan PDFs)被发现含有恶意模块。
CamScanner 曾经是一个合法应用,在大部分时间里没有恶意功能,它靠广告和应用内购买获取收入。但在某个时间情况变了,CamScanner 最近释出的版本包含了含有恶意模块的广告库。
卡巴斯基将该模块称为 Trojan-Dropper.AndroidOS.Necro.n。类似的模块此前见于中国造智能手机预装的恶意程序中。该模块定期从开发者指定的服务器上下载加密代码,在设备上解密然后执行。部分 CamScanner 用户已经注意到了该应用的可疑行为,他们在应用页面留言对其他用户发出警告。

◇绝大部分 Android 手电筒应用过度索取权限


Most Android flashlight apps request an absurd number of permissions @ ZDNet

  编程随想注:
  之所以拿【手电筒】app 来说事儿,因为这个玩意儿的功能特别简单。照道理就不应该拥有太多权限。
  上述文章提到:Google Play 官方商店中的【937个】手电筒 app,有【180个】应用要求通讯录权限(这显然不正常)
  如果按照“索取权限”的数量排名,前10名中索取的权限数量从 68 ~ 77 个。而且这10个里面,其中4个的下载数量在【百万级】。
  如果连“手电筒”这么简单的应用,都敢这么耍流氓;其它类型的 app,流氓程度可想而知。

◇大部分人轻易使用公共场所的免费 wifi 热点


REPORT: 82% of People Say They Connect to Any Free WiFi That’s Available in a Public Place @ Decision Data

  编程随想注:
  使用公共场所的 wifi 热点,最大的问题在于——你【并不清楚】这个热点是谁架设滴。万一是个陷阱捏?
  在前一篇博文(链接如下)中,俺刚刚以 netcat 举例,说明公共热点的危险性。
扫盲 netcat(网猫)的 N 种用法——从“网络诊断”到“系统入侵”

◇俄罗斯【政府】开发的手机木马


安全公司发现俄罗斯开发的先进移动监视软件 @ Solidot
安全公司 Lookout 的研究人员披露了(PDF)由一家俄罗斯国防承包商开发的功能完整的先进移动监视软件。
被称为 Monokle 的 Android 间谍软件的使用,至少从2016年3月就开始了,它采用了多种新颖的技术,包括修改 Android 信任证书储存区,其指令控制网络能通过 TCP 端口、电子邮件、短信或电话呼叫进行通信。换句话说,Monokle 的监视功能在没有网络的情况下仍然能正常工作。
它的功能包括:获取日历信息,对 HTTPS 流量和 TLS 保护的通信发动中间人攻击,能收集 WhatsApp、Instagram、VK、Skype 和 imo 的账号信息和消息,能向攻击者指定的号码发送短信,记录电话呼叫,拍摄照片、视频和屏幕截图,等等。

◇Twitter CEO 账号被盗?——SIM 卡劫持攻击


Twitter's Jack Dorsey Has Own Account Hacked @ Slashdot

  编程随想注:
  前不久,推特 CEO 的帐号被劫持。很多粉丝误以为是:他帐号被入侵。其实是“SIM 卡劫持攻击”。
  这种攻击方式针对的是【运营商】。由于 Twitter 提供一种【短信发推服务】。攻击者只需要让受害者的手机号码绑定到攻击者的 SIM 卡;然后,攻击者就可以用自己的这块 SIM 卡实现【短信发推文】。其效果类似于——劫持了对方的 Twitter 帐号(此时,攻击者并【不需要】知道对方的推特帐号密码)
  那么,攻击者如何让对方(受害者)的手机号绑定到自己的 SIM 卡捏?大致在下面两种方式中,二选一:
其一,以“社会工程学”的方式(俗称“忽悠”),搞定运营商的工作人员。
其二,先入侵(渗透)到运营商的网络中,再劫持受害者的手机号到自己的 SIM 卡。


★网络攻击与网络战


◇NSA 高层谈【数字化革命】


I Work for NSA. We Cannot Afford to Lose the Digital Revolution. @ The New York Times

  编程随想注:
  这篇洋文有点长,内容丰富。作者来自 NSA 高层,聊到了【数字化革命】带来的各种挑战,比如:网络战、大数据、监控、人工智能、量子计算......
  其中某些说法,像是在替“NSA 的监控”辩护。这部分内容,俺持保留态度。
  但是俺赞同文中提到的——数字化革命带来的冲击非常深刻且迅速,人类社会还【来不及】适用这种冲击。

◇网络战 VS 核战


A Major Cyber Attack Could Be Just as Deadly as Nuclear Weapons, Says Scientist @ Science Alert
  编程随想注:
  这篇主要讨论——大部分民众完全低估了【网络战】造成的破坏。实际上,网络战可以达到类似于【核战】的破坏力。
  最容易想到的一点是:网络入侵者有可能会渗透到战略核武器的控制系统。另外,即使不考虑这种情况,入侵者仅仅对“供电系统 & 供水系统”进行破坏,就足以让大量民众死亡(上述文章有提到具体的搞法;在下一个小节,俺给出现实世界中的案例)。
  说到这儿,某些读者可能会反驳说,各国的核武系统肯定是与公网(互联网)物理隔离,不会被渗透。
  但俺要提醒一点:
  当年伊朗位于纳坦兹的“铀浓缩工厂”也是物理隔离,结果还是被“Stuxnet”(震网蠕虫)深度渗透了,并导致工厂内的离心机被彻底破坏(物理损坏)。
  所以,【不要】过度迷信“物理隔离”。有些时候,入侵者可以靠【社会工程学】来突破物理隔离(参见本文后续的“硬件与物理安全”章节其中一个案例)

  文中还对比了“核战”与“网络战”的差别。俺转述并引申如下——
  维持【核恐怖平衡】的基础在于:遭受核打击的国家,可以在极短时间内判定“是谁发起核打击”,并且马上可以【针对性】地报复。在这个博弈基础上,(只要不出现误判)没人敢先动手。
  而网络战的差别在于:遭受【大规模】网络战攻击的国家,很难在短时间内【判定和举证】攻击者来自哪里。等到花很长时间搞清楚之后,被打击的国家已经元气大伤。这种博弈基础,就会使得某些相互敌对的国家产生【先下手为强】的欲望&冲动。

◇对2016年一次未遂网络战的事后分析


俄罗斯黑客对乌克兰电网的攻击,试图造成更大的破坏 @ Solidot
2016年12月,俄罗斯黑客对乌克兰电网发动了前所未有的破坏性攻击。在圣诞节前两天,黑客在乌克兰国家电网运营商 Ukrenergo 的网络内植入了恶意程序,在午夜前,他们打开了基辅北部一家输变电站的所有断路器,造成了一次断电事故。但断电只持续了一个小时,Ukrenergo 的操作人员很简单的就恢复了电力供应。
俄罗斯黑客如此大费周章只是触发了一个小时的断电?工控系统网络安全公司 Dragos 对恶意程序代码和网络日志的分析(PDF)显示,黑客的野心要大得多,他们试图造成一次持续的破坏,诱发不只是一个小时,而是持续数周甚至数个月的断电。

◇美国参议员要求重新评估“中国电信&中国联通”的 ISP 牌照


美国参议员要求 FCC 检视中国电信与中国联通在美运营牌照 @ 路透社
路透华盛顿9月16日
在美国对中国可能从事间谍行为的疑虑高涨之际,两名美国参议员周一要求美国联邦通讯委员会(FCC)与国家安全机构检讨是否应该允许两家中国国有电信公司在美国运营。

民主党参议院领袖舒默(Charles Schumer)与共和党参议员科顿(Tom Cotton)要求 FCC 主席 Ajit Pai 检讨2000年代初期颁发的许可,允许中国电信(0728.HK)与中国联通(0762.HK)在美国运营。

“这些(中国的)国有企业持续拥有我们电话线路、光纤缆线、移动网络与卫星的准入,这些渠道可能让(中国)有能力将美国民众或企业以及美国政府的通讯内容当成目标,包括以引至中国的方式‘劫持(hijacking)’电信流量,”两名参议员在给 FCC 的信件中表示,这封信也寄给了国防部与国土安全部。

FCC 在5月投票表决一致通过,不允许另一家中国国有电信公司——中国移动(0941.HK)在美国提供服务,强调存在中国政府利用该许可对美国政府开展间谍活动的风险。当时 FCC 披露其正在检视现有的牌照。

FCC 发言人 Brian Hart 表示,Pai“已明确表示,该委员会正在审核其它中国电信企业,如中国电信和中国联通”。

  编程随想注:
  上述报道中提及了天朝 ISP 搞【流量劫持】。
  考虑到很多读者可能不了解相关的知识,俺引述去年的一篇文章。其作者是:Oracle 互联网分析部(Dyn)总监 Doug Madory。
China Telecom's Internet Traffic Misdirection @ Oracle dyn
  看不懂洋文的同学,可以看如下中文翻译。然后俺贴几张图,帮你加深印象。
甲骨文:中国电信误导国际互联网流量(译文) @ Submarine Networks

不见图 请翻墙
(中国电信劫持流量的示意图)

不见图 请翻墙
(用 traceroute 命令显示/验证,“从英国到澳洲”的流量途径中国——实际上【不应】经过中国)

不见图 请翻墙
(用 traceroute 命令显示/验证,“从加州到华盛顿特区”的流量,竟然也途径中国)

◇针对香港的 DDOS 攻击


香港过去几天成为 DDoS 攻击的中心 @ Solidot
Digital Attack Map 的地图显示,香港过去几天成为了 DDoS 攻击的中心。Digital Attack Map 是 Google Ideas 和 Arbor Networks 的合作项目,使用了 Arbor Networks 的 DDoS 攻击数据,Google 的 Big Picture Team 帮助开发和设计了交互式地图,实时可视化展示全球的 DDoS 攻击。
  编程随想注:
  上述这篇的发布日期是:2019年09月03日,那几天正是香港抗议活动的其中一个高潮。
  哪怕用膝盖想一下,都能明白——这是朝廷的【御用骇客】干滴。民间的骇客,即使发动 DDOS 攻击,也是零星的,不足以体现在“Digital Attack Map”的全球地图上。

◇针对维基百科的 DDOS 攻击


维基百科遭到 DDoS 攻击 @ Solidot
维基百科遭到了大规模 DDoS 攻击,导致欧洲和中东等许多地区的用户无法访问。
维基百科发言人证实了这次攻击,表示网站的工程师正努力恢复访问。发言人表示,此类的攻击威胁到了每一个人自由访问和分享信息的基本权利,维基媒体和维基运动致力于保护这些权利。受到影响的国家包括了英国、法国、德国、波兰和意大利等。


★言论审查与网络屏蔽


◇香港 ISP 协会发声:警告香港互联网【沦陷】的风险


香港 ISP 出面反對港府封鎖特定通訊服務的計畫 @ iThome
香港反送中行動引發的大規模示威及警民衝突愈演越烈,本周星島日報報導港府正在考慮啟動《緊急情況規例條例》實施緊急措施,包括管制媒體刊物內容、或透過下達行政命令,要求 ISP 封鎖特定網路應用,如 Telegram、連登等。

香港網際網路服務供應商聯盟(Hong Kong Internet Service Providers Alliance, HKISPA)周三發出緊急聲明指出,現代網際網路包括複雜技術如 VPN、雲端和加密等,要有效封鎖任何服務幾乎不可能,除非是將香港網際網路全部鎖在監控性的防火牆之後。HKISPA 警告,限制手段無法遏止意志堅決的用戶,他們會透過 VPN 等管道持續存取服務,迫使當局持續升高限制。因此任何再微小的限制,可能最後擴大走向類似中國的長城防火牆。但這等於啟動香港開放網路的末日,造成國際網路公司對香港立即且永久縮減投資。

  编程随想注:
  (上述引文中的粗体是俺标注滴)
  俺之前就有点担心——在不久的将来,香港网民也会撞墙(GFW)。
  香港 ISP 协会在8月底发表上述公开声明,看来也有这方面的担忧。

◇微信如何审查政治敏感的【图片】


“未阅先焚”:微信朋友圈图片过滤功能分析 @ 多伦多大学公民实验室
“未阅先焚” 2:微信如何实现实时审查用户对话中的敏感图片 @ 多伦多大学公民实验室

◇Github 的【国别限制】


GitHub starts blocking developers in countries facing US trade sanctions @ ZDNet

  编程随想注:
  作为地球上最大的代码托管平台,Github 开始根据“美国政府的贸易制裁法令”,限制某些国家的开发者账号。被限制的国家/地区包括:
克里米亚(地区)
古巴
朝鲜
伊朗
叙利亚
  注:“贸易战”和“贸易制裁”【不同】。天朝的程序猿/程序媛,暂时不用担心帐号被限制。
  俺主要想提醒那些——使用 Tor 登录 Github 帐号的同学。由于 Github 是根据【访问者 IP】来判定你的国别。当你使用 Tor 登录 Github,【出口节点】的“公网 IP”就是 Github 服务器看到的“访问者 IP”。
  为了避免被 Github 限制帐号,你要修改 Tor 的配置文件(torrc),把上述这几个遭到美国贸易制裁的国家排除掉(【不】要使用这几个国家的 Tor 节点)。


★安全工具


◇Bridgefy 网状网消息应用——备受香港抗议者青睐


Hong Kong Protestors Using Mesh Messaging App, China Can't Block, Usage Up 3685% @ Forbes

  编程随想注:
  Bridgefy 是一款基于【蓝牙】的聊天工具,其官网在“这里”。其开源版本叫做“Briar”,官网在“这里”。
  在今年7月8月,其下载量暴涨了【3685%】,新增用户主要来自【香港】。

  由于该软件基于【蓝牙】,只要一群人的手机都安装了这个 app,并且地理位置接近。就可以直接搭建出一个 P2P 网络。请注意:这个 P2P 网络既不依赖任何服务器,也不依赖任何运营商(ISP)。这就是其牛逼之处。
  虽然【蓝牙】的有效范围很短,但该 app 可以让每个手机充当【路由中继】,实际上可以构建出一个地理范围很大的网络。
  因为不依赖服务器和运营商,使用该 app 【不】需要注册。
  综上所述,
  这个玩意儿(或者类似的玩意儿),特别适合于【街头抗议活动】。


★硬件与物理安全


Weakness In Intel Chips Lets Researchers Steal Encrypted SSH Keystrokes @ Slashdot
New Spectre-like CPU Vulnerability Bypasses Existing Defenses @ Slashdot

  编程随想注:
  上述两篇是关于芯片的硬件漏洞。这方面的讨论,前两次的《近期安全动态和点评》已经聊过了。

研究人员称电子设备能被修改产生危险的声音 @ Solidot
安全研究员 Matt Wixey 发现大量电子设备在防止变成“进攻性”网络武器方面做得很少。
他的博士研究主题是探讨恶意程序是否能导致直接的身体伤害。他检查了大量设备,观察设备上的音量和扬声器控制是否能被操纵去产生有害的高低频声音。他发现在某些情况下,电子设备发出的音量能迷惑人,噪音能接近损害人的听力的水平。他在8月11日拉斯维加斯举行的 Def Con 安全会议上报告了他的发现

黑客将漏洞利用直接邮寄到目标收发室 @ Solidot
当你能大模大样的直接走进去为什么还要费力气寻找 0day 漏洞或暴力破解登录密码呢?
IBM X-Force Red 的安全研究人员开发了名为 warshipping 的漏洞利用概念原型,入侵目标网络的方法就是把它装在邮包里让邮递员送到目标的收发室。
warshipping 不是新概念,它其实就是古代特洛伊木马的现代版本。warshipping 是一个手机大小的设备,支持 3G,能在任何有手机服务的地方进行远程控制,其制造成本大约为 100 美元。它能周期性的扫描附近的无线网络,攻击者可以执行被动或主动的攻击去渗透目标的无线网络。

  编程随想注:
  上述这个招数,既属于“社会工程学”范畴,也属于“物理安全”范畴。
  这种入侵手法,再次凸显了【无线网络】(相比“有线网络”)的风险;也演示了“突破网络隔离”的其中一个招数(这方面的招数有很多)。在上述案例中,寄送到收发室的包裹,可以充当【中转跳板】。
  举例:
  假设某个机构的防御很严密,其内部网络与公网完全【物理隔离】。可惜内网采用了【无线网络】,并且某些内网服务器存在安全漏洞(因为物理隔离就不方便搞“在线升级”,更容易出现未修复的安全漏洞)。
  在这种情况下,攻击者可以采用上述【邮寄包裹】的手法,在包裹中放置某个控制器(具体参见上述这篇)。控制器本身通过手机移动网络接入公网。如果控制器能扫描到这个机构内部无线网络的漏洞,并实施入侵。该控制器就可以成为“物理隔离内网”与“公网”之间的中转跳板。于是,物理隔离的内网就被渗透了。


★密码学


比特币想要跑在量子计算机前面 @ Solidot
根据比特币的公钥去破解一个人的私钥,利用传统计算机需要比宇宙年龄更长的时间。但量子计算机被认为能将破解所需时间减少到几分钟。
量子计算快速破解传统加密方法并非新问题,许多专家相信我们至少需要十年时间去开发出能抵抗量子计算的新加密技术。而量子计算的进步可能让比特币加密的破解比预计的更早到来。有预测认为到 2027 年比特币就可能被破解。
一些人认为应该尽快采取行动。


★安全编程


◇Rust 编程语言


  之前在博文和评论区都简单聊过 Rust,还不止一次。
  当初设计 Rust 编程语言,其【定位】是与 C/C++ 在同一个层次。
  相比 C/C++,Rust 在【安全编程】方面有很多优势,可消除“无效指针、内存越界、数据未初始化、竞态条件......”引入的 bug。而恰恰是这类 bug 会成为【高危漏洞】。
  虽然在 C/C++ 社区,也可以通过一些第三方库来消除上述这些编码隐患,但【库】的使用还是要依赖【人的因素】。而人经常会犯错。
  Rust 的设计,使得它能通过【编译器】来发现上述这些编码隐患导致的问题。
  写到这里,肯定有些程序员读者会跳出来说:Go 语言也有类似的好处。
  但俺想说的是:Go 的【定位】比 C/C++ 略高。有些比较底层的领域(比如:嵌入式、操作系统内核、设备驱动...),可以用 C、C++、Rust 来搞定(至少理论上可以)。但用 Go 就没戏(至少理论上不行)。

  下面是几篇相关的报道:
Rust 未来可用于开发 Linux 驱动 @ Solidot
A Rust-Based TLS Library Outperformed OpenSSL in Almost Every Category @ Slashdot
Intel Engineer Launches Working Group To Bring Rust 'Full Parity With C' @ Slashdot
Microsoft To Explore Using Rust @ Slashdot

◇Web 开发框架


Electron 应用容易修改植入后门 @ Solidot
因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,容易修改植入后门。安全研究员 Pavel Tsakalidis 演示了一个 Python 开发的工具 BEEMKA,允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。漏洞不是在应用程序中,而是在应用程序使用的底层框架 Electron 中。Tsakalidis 称他联络了 Electron 但没有得到回应。


俺博客上,和本文相关的帖子(需翻墙)
为啥朝廷总抓不到俺——十年反党活动的安全经验汇总
如何保护隐私》(系列)
如何防止黑客入侵》(系列)
如何隐藏你的踪迹,避免跨省追捕》(系列)
“对抗专制、捍卫自由”的 N 种技术力量
“如何翻墙”系列:关于 Tor 的常见问题解答
弃用 Chrome 改用 Firefox 的几点理由——关于 Chrome 69 隐私丑闻的随想
扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”
对比4种强化域名安全的协议——DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS
数字证书及 CA 的扫盲介绍
扫盲 HTTPS 和 SSL/TLS 协议》(系列)
中美政府信息监控的差异——“棱镜门”丑闻随想
每周转载:EFF 创始人约翰·佩里·巴洛和他的【赛博空间独立宣言】
CNNIC 证书的危害及各种清除方法
CNNIC 干过的那些破事儿
老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2019/09/Security-News.html

601 条评论

  1. 博主您好,您考虑好要写有关“去中心化社会组织模式”的文章了吗?

    我和您在之前的一篇博文评论区有讨论过https://program-think.blogspot.com/2019/09/weekly-share-137.html?comment=1567765219850#1567765219850

    回复删除
  2. 梦语:本是浮萍 沃土为乡(感谢灭绝支那贱畜网友)

    回复删除
    回复
    1. TO 博主

      大后排入座。
      临近沦陷70周年,俺以为博主会写一篇政治/历史方面的大礼献给伟光正。

      补充/问题:

      1.俺一直不太明白斯诺登曝光棱镜门,为啥却跑到独裁专制的俄罗斯避难?(不论网络安全还是政治自由,俺认为普京政权至少比美国佬同样危险)

      2.博主提到某些安全漏洞在黑市上卖很高价格。可否介绍某些内情,俺们读者也一饱眼福 :)

      3.既然哈萨克斯坦政府强制中间人攻击,为啥朝廷还不肯/不敢?

      4.TOR天朝用户为什么那么少 (起码俺觉得十万很少 --- 全国超过七亿网民啊!)

      5.俺觉得港府/朝廷不至于立即将香港圈入墙内,不过会先走【俄罗斯模式】,就是先封杀日常生活不用的,或者政治敏感度较高的网站/应用(举例:Telegram),接下来再和谐Facebook,YouTube之类。

      6.warshipping做的[quote]它能周期性的扫描附近的无线网络,攻击者可以执行被动或主动的攻击去渗透目标的无线网络。[/quote]
      这个扫描过程或者执行攻击的过程,会被第三方检测到吗?

      删除
    2. TO 博主

      本楼1单元发错,俺在7楼重发了一次。

      删除
    3. 感谢窝什么?决心脱支or已经脱支?

      删除
    4. 山西煤矿小老板编程随想2019年9月30日 下午7:01:00

      灭绝兄是移民黑中介大家无视它就好

      删除
    5. 决心脱支,在准备脱支的路上

      删除
    6. 期待灭绝兄的博客开博,别忘了来博主这里告知一下。谢!

      删除
    7. 我也想“脱支”,早就打算在未来入外国国籍了,但现在暂时没有出国的条件(说白了就是缺钱),所以目前只能当所谓的“精神外国人”,并努力学习外语,了解外国文化。大伙儿有什么好建议吗?去哪个国家归化?最好学习哪些语言?

      删除
    8. to all
      经过ip反定向地址检测,这个孟宇是灭绝兄的马甲,它又在自己吹捧自己啦,大伙无视即可,它鼓吹的脱支论是个阴谋,只是想骗你们的钱,当下我国蒸蒸日上,是几千年来最鼎盛繁华的时代,大伙理应协助政府努力工作建设祖国,我国的崛起势不可挡,不是几个跳梁小丑可以撼动!

      删除
    9. 7单元冒充了我,再次声明我是不会离开我的祖国的

      删除
    10. 俺是灭绝兄的迷弟,也在消化学习他的脱支论,他为我们指出了一个正确的值得为之努力的方向,五毛和它的主子当然见不得奴隶纷纷脱离支那猪圈,才会拼命冒充和污蔑灭绝兄
      经过俺在评论区半年来的观察,在灭绝兄脱支论的指引帮助下,已有不少网友深刻认识到劣等支那文化对人和社会的毒害性,更坚定了他们脱支的决心,未来如果支那猪圈多行不义必被核平时,海外华人后裔不会随之灭绝,而是融入世界文明主流得以续存,单从这点来看,灭绝兄是功德无量的

      删除
    11. 8 & 9 单元的傻逼五毛冒充司马,很抱歉我对你国毫无好感,你国实在太恶心了,我的祖国是西方民主国家,绝对不是什么中共支那国!我回到我的西方祖国之后永远不会来这个叫做 China 的国家!

      删除
  3. 对于博主提到"更进一步,如果该 app 有摄像头的权限,可以定期拍照,提取 EXIF 元数据之后再删除照片——就可以不断跟踪用户的位置变化。",至少我知道通过代码使用Android的Camera 2 API拍出来的照片数据是不带有geotag(gps)信息的。geotag信息需要通过访问定位服务然后用代码加到EXIF里,而如果没有位置访问权限是访问不了定位服务的。直接用照相机应用拍有geotag是因为照相机有访问定位服务的权限。

    当然也许有其它的方式做到。另外博主提到的引文我在原文中没有找到出处,不知能不能提供一下。谢谢

    回复删除
    回复
    1. 安卓相机App拍的照片不是都存在sdcard下的么,那么其他App都是可以读取的吧。

      删除
    2. 其实不需要什么照片的 EXIF 信息,光从手机的【传感器】就可以获取到许多信息,而且不需要申请任何权限。这是去年新加坡南洋理工大学的研究人员发现的。

      删除
    3. 说到 app “删除照片”,不知大伙儿有没有在手机上进行【数据恢复】的经历,有时你可能会发现,里面有一些莫名其妙的图片,而且是来历不明的,当然这不能作为有 app “偷拍”照片作恶的直接证据。

      删除
    4. 在手机上做手机定位是有很多办法,我并没有否认这一点。我只是对博主提到的通过摄像头权限提取定位信息的引用提出质疑。前不久我正做过这方面的实验,如果按博主所说是做不到的。而在原文又没有找到博主的引用,因此希望博主能指明来源是哪里。

      删除
  4. 邮寄包裹攻击...长见识了,谢谢随想

    回复删除
  5. 地板(?),以及一些小补充:

    关于 Windows 10 的隐私问题,有人写了一个小程序试图缓解 : https://www.winprivacy.de/english-home/

    还有最近发现的 Apple A11 及之前的 CPU 的 iPhone 上的 bootROM 漏洞: https://chinese.engadget.com/2019/09/28/apple-iphone-exploit-jailbreak/

    不过正如报道里描述的和现在的情况那样,最新发现的安全漏洞会不会成为可以被执法部门利用的方式是个令人关切的问题……

    回复删除
    回复
    1. TO ホロ

      俺个人觉得如果NSA提到的【算法后门】或者GCHQ的【ghost protocol】能得逞,连0day漏洞都未必需要了。

      删除
    2. NSA 这些部门很可能掌握了大量未披露的 0day 漏洞,公布出来的估计只是少数。

      删除
    3. -----BEGIN PGP SIGNED MESSAGE-----
      Hash: SHA256

      0day漏洞是在软件发布的24小时之内就被发现,并且被公布的漏洞,此时厂商来不及打补丁,所以很多人都可以利用此公开漏洞干坏事。
      -----BEGIN PGP SIGNATURE-----

      iHUEARYIAB0WIQQDjAWULXbMrFFF26E1HbRWgxejegUCXZTsdgAKCRA1HbRWgxej
      em7iAP9pZ/jQTUbQ2Bx/ZbmazDt4nH5RGxQm90/I+92zBdL3fQD+It09rmkRJHsk
      +rN2p+A+0HiEhgkKhzHqhJHq8+U+SQs=
      =NoCB
      -----END PGP SIGNATURE-----

      删除
  6. 博主没在沦陷日发文,提早发了网络安全动态评论?
    接下来继续上次补充的部分提问。

    回复删除
    回复
    1. 博主认为有没有更好的【验证码】替代方案?
      Google reCAPTCHA 被认为是目前最好的验证码方案,但这个验证码的用户体验不友好,需要翻墙,而且在特殊时期由于网络原因经常弹出对话框,需要重新验证,严重拖延和浪费时间。
      而且之前评论区有读者提到,reCAPTCHA 可以通过语音识别绕过,并建议在 Hacker News 寻找合适的替代品。我甚至发现某个发帖都需要验证码的论坛里面有一些广告,说明 reCAPTCHA 仍然不够靠谱,说不定五毛刷屏也利用了这一点。

      删除
    2. 这两年有些网站认为 reCAPTCHA 可以被 spam 绕过,纷纷放弃注册的验证码,改用【手机号】进行验证,而且倾向于禁止虚拟号码,怎么看待这个问题?比如 Twitter 和 ProtonMail,我去年注册不需要验证手机号,但现在几乎是强制(通过 TOR 注册 ProtonMail 邮箱时,Email 验证方式不可用), Google 也换成了新版注册界面,第二步就是手机号。Google 和 Twitter 都禁止了虚拟号码验证。
      [b]我担心有一天,博主的账号会被【强制】要求必须绑定手机号,否则就无法继续使用,这样博主就无法保持隐匿了。[/b]

      删除
    3. 博主在之前的安全经验总结文章里面提到,【桌面设备】与【移动设备】之间在隐匿方面的区别,那么【树莓派】(Raspberry Pi)以及其他 ARM 架构的设备(包括笔记本,不包括手机和平板,以下称为“ARM 设备”)属于哪一类呢?
      由于 ARM 设备的硬件和性能限制,加上架构不同,还没有支持该架构的虚拟机,只有 QEMU 这样的模拟器可以用,当然速度可想而知。但 ARM 设备的传感器显然没有移动设备多,用 ARM 设备进行【敏感操作】是否安全?

      删除
    4. 再次讨论之前的博客评论区出现精确到毫秒的 timestamp 这个问题。好像大多数网站(尤其是社交网站)都会显示 timestamp,很多还会精确到毫秒,这似乎也是业界惯例。
      我认为应该是大多数开发者没有意识到 timestamp 带来的隐私问题,包括我之前开发的网站也会有精确的 timestamp。像“品葱”(墙外的“知乎”,上面大部分是政治相关问答)对隐私要求极高的网站就有一个“延迟发布”的功能,可以设置延迟多少秒再发布。

      删除
    5. 我认为【隐私】跟【安全】都是相对的,[b]没有绝对的安全,也没有绝对的隐私。[/b]我们常用的各种服务,如社交网站,IM,邮箱等,即使是瑞士,冰岛这类中立国家,也会收集用户隐私。参考[url=https://digdeeper.neocities.org/ghost/email.html]E-mail providers: Which one to choose?[/url]

      删除
    6. 大伙儿来统计一下目前在注册和使用过程中必须验证手机号而且不支持虚拟号码(VoIP)的网站:
      目前(2019 年 9 月底)已经确认的有:Google,Twitter,Steam,Outlook(发邮件时),前两个曾经支持 VoIP。
      用 TOR 注册时必须验证手机号的网站:ProtonMail。
      不确定的(因为我没用过):Facebook,Instagram。
      由于我用过的网站不多,肯定会有遗漏,欢迎大伙儿补充,给注重隐私的人一个参考。

      删除
    7. (接上一单元)
      上面这个统计针对的是【墙外】网站,墙内网站由于众所周知的原因,必须绑定手机号,而且很多网站只支持 +86 手机号。

      删除
    8. Google Recaptcha 在国内可以使用 www.recaptcha.net 这个域名。

      删除
    9. 前两天我和 null 同学讨论通过 StarLink【卫星上网】作为未来可能出现的【物理断网】的应对措施之一,但得出的结论是马斯克不会在天朝建立地面接收站,天朝也不可能允许(即使允许,肯定强制审查),是否意味着“卫星上网”这条路行不通?

      删除
    10. 关于“不记名手机号”,在不出国的情况下,博主认为是否有可能在保证匿名的前提下买到国外的 SIM?我目前暂时只想到“暗网”这个途径,不知博主有没有更好的方法?

      删除
    11. 最后,博主能否看一下我在之前两篇文章的新评论?分别是关于“电子书”和“Linux 发行版”的:
      https://program-think.blogspot.com/2019/09/share-books.html?comment=1569674213414
      https://program-think.blogspot.com/2013/10/linux-distributions-guide.html?comment=1568707217333

      删除
    12. [b]粗略看了下博主这篇文章,下面讨论本文相关话题。
      [/b]

      很高兴香港抗议民众使用了 Bridgeify 这样的【近距离通信】 IM,重新发一次上次提到的,个人认为理想 IM 应具备的特性:

      [quote]
      我个人认为,理想的 IM 应该具有以下功能:

      1. 匿名性
      无需注册,不收集用户的个人信息,如手机号,邮箱等,他人无法追踪。
      2. 安全性
      使用最新的密码学安全的加密算法和相关技术,包括 NaCl / Sodium 加密库及其推荐的加密算法,E2EE 端到端加密,OTR 等,最大限度保证信息安全。
      3. 高可用性
      分布式去中心化,没有中心服务器,客户端可以作为节点帮助其他客户端连接目标节点,GFW 和其他审查部门很难或无法封锁。
      4. 完整性
      消息默认保存在本地,可选保存在去中心化节点中,使用区块链技术,新设备自动同步云端消息,支持阅后即焚。
      5. 易用性
      客户端界面友好,简单易用,支持文字,图片,表情,语音,视频,文件以及音视频通话这些 IM 基本功能,在此基础上,可以有一些社交功能。
      6.可移植性
      开源且跨平台,支持 Windows,Linux,macOS,iOS,Android 等主流操作系统,客户端使用 Native 而不是 Electron, React Native 这些基于 Web 的技术来开发,同时也有 Web 网页版。
      7. 健壮性
      这一点针对移动设备,无需网络也能使用,在没有 WiFi 和流量的特殊情况下,仍然可以使用蓝牙或者其他方式进行近距离通信。
      [/quote]

      我之前也下载过类似的 app 以备应急时使用,但遗憾的是,具备第 7 个特性的 IM 一般只能近距离通信,无法像普通 IM 那样在有网络的情况下联系。

      删除
    13. 关于“隐私保护”和“全球监控”,我在上一篇文章的评论区讨论了很久,大伙儿如果没看过,点击下面的链接,我就偷个懒,不重新发了。
      https://program-think.blogspot.com/2019/09/Netcat-Tricks.html?comment=1568815852749

      (我在上一篇文章评论区的这些提问放在本文更合适)

      我自己的电脑【不】安装 Windows,只使用微软的 RDP 远程控制,因为我觉得 VNC 不好用。
      我自己的手机安装的是注重隐私的 /e/ OS,【不】安装天朝 app,不安装 SIM,而且不带出门。你可以用专门的手机来安装【不得不用】的天朝 app,外出带上方便他人联系,也可以应付路上警方的检查。

      删除
    14. 斯诺登的这本 Permanent Record 英文版可以在[url=https://libgen.is/book/index.php?md5=9B965019FD56CEBB08F6723FEE806AFF]这里[/url]下载,中文版我不确定有没有,目前可能还没有出版社引进并翻译。

      删除
    15. 关于“物理隔离”,前几天我在评论区分享了一篇文章[url=https://www.secrss.com/articles/2832]黑客突破物理隔离的 8 种方法[/url],当然这只是简单介绍,基本没什么干货,希望博主和大伙儿能分享一些这方面的细节干货。

      删除
    16. TO 8 单元的网友
      目前有没被墙的网站是很好的,之前有些人想到反代方案,但缺点很明显:更不容易通过验证。

      删除
    17. BTC 使用的加密和 Hash 算法(主要是 SHA256)确实不是很靠谱,由于当时的量子安全算法不多(我不知这样表述是否正确),中本聪可能找不到更好的选择。
      等实用量子计算机出现之后,不知会有多少加密货币会受到加密算法方面的“毁灭性”打击。

      删除
    18. 不同意楼上。
      首先目前量子计算机还处在非常初级的阶段。前几天谷歌所谓量子霸权,其实就是个随机数生成算法而已,实际意义非常有限。放出这消息的主要目的还是提振投资人信息拉抬股价吧,炒作成分居多。
      其次,将来量子计算机真的实用化之后,对加密货币固然是毁灭性打击,但对于传统金融甚至目前整个人类文明难道就不是毁灭性打击了吗?所以有理由相信,就像千年虫问题一样,不管是传统金融行业,还是加密货币,都能够找出应对之道。

      删除
    19. TO 18 单元的网友
      我也认为需要很长时间才能发明实用的量子计算机,但应该比“强人工智能”(技术奇点)要早。

      删除
    20. 给大伙儿分享我的 torrc 配置文件添加的部分,大伙儿也可以补充需要排除的国家和地区:

      [quote]
      StrictExitNodes 1
      ExitNodes {ch},{fl},{is},{no},{se}
      ExcludeNodes {ae},{by},{cn},{cu},{eg},{hk},{ir},{
      kp},{mo},{my},{pk},{ru},{sa},{sy},{th},{tm},{tn},{uz},{vn},{ye},{zw}
      Socks5Proxy 127.0.0.1
      [/quote]

      删除
    21. 上面最后一行的前置代理在复制时漏掉了端口,大伙儿自己加上就好。

      删除
    22. 说到新疆“集中营“以及大规模监控,会不会实现“一九八四”?互联网的“电幕”比小说中的“带摄像头的电视”要可怕得多,因为你可以看到电视形式的“电幕”并有可能走出它的监控范围,但互联网的“电幕”(包括无处不在的摄像头,“天眼”系统的面部识别,网警对墙内各网站的监视,查手机以及强制安装监控 app 等)几乎是“无形”的,普通人很难躲避,因此会可怕很多倍,这些都是奥威尔没有预料到的。

      删除
    23. 祝博主同志国庆节快乐!身体健康!快乐出行!一路平安!

      删除
    24. 博主:如果有一天谷歌账号强行要求博主提供手机号码认证,不知博主对这种情况有何对策?

      删除
    25. TO V2EX null 和其他各位相关专家

      继续前一篇博文里关于Starlink讨论。现在似乎大家看法一致是需要地面建接收站。但是如果这样一来的话就牵涉倒需要地面接收站铺设光纤到终端用户那儿。那不就又是原来的那个问题吗?:正是因为边远地区用户稀少,所以通讯公司不愿意铺设光纤到偏远地区终端用户。你现在starlink又需要从地面建接收站铺设光纤到终端用户那儿,不还是重复原来的问题嘛。有的这样不如把现今的现成的光纤网路衍生到那些偏远地区呢。我始终觉得既然马斯克开下海口“把互联网带到每个角落”,那他必然有把握不需要基建站。更何况现在的卫星电视都是不需要任何基建站的。一口“锅”就行了。随便哪儿都可接收到电视信号。

      删除
    26. 博主的政治干货文好久没发了啊!什么时候发一篇?

      删除
    27. 卫星电视是广播,只需要下行。

      我们说的地面站,指的不是服务最终用户的基站,而是指把卫星网络接入互联网的出口节点。

      删除
    28. TO 27 单元: 那就和墙内无关了,卫星网络肯定是在墙外接入入口互联网的。

      删除
    29. 对于想要借助星链规避本国网络审查的用户来说,自然是巴不得所有流量都中继到美国去落地。但你也说了,马斯克是要做大事业的,随着用户规模的扩大,星间链路是难以承载大量流量的,需要尽快通过地面站落地用光缆来传输。

      删除
    30. 俄,我不算什么专家拉.不过有时候和小粉红辩论5g,所以查过一些简单的资料而已

      目前的手机网络差不多是手机-基站-光纤-网站,而使用星链后,差不多是手机-基站-星链卫星-网站.这里要考虑到一个国外和国内的不同之处(此处仅在网上看到,并未实地核实)国内喜欢搞基

      建,基站建得农村里都到处是(简直浪费纳税人的钱!!)国外则很多地广人稀的地方没有手机信号.星链的基站不需要被光纤限制,可以在飞机,私家车,轮船等上进行部署,成本远低于大面积的基

      站建设,同时网络延时也低于普通光纤(光在光纤中速度是2/3光速,电磁波在空气中是接近光速,实时性远好于光纤)

      卫星电视和卫星上网存在一个极大的不同点,电视仅仅只需要接受和解码信号,而上网必然需要发射信号给卫星进行交互.不说手机直接发送信号到卫星的实现难度,就算真正实现,手机电池恐怕

      也要倒退到解放前的

      删除
    31. 你这就是扯淡了。
      做个简单的算术,光速传播1万公里耗时33ms,2/3光速传播1万公里耗时50ms,差了17ms而已。
      而且内部空心的空气光纤也已经研制出来了。
      光纤通信可以说是我们这个时代最伟大的发明,实验室中的速率早就是几百T级别了,现实中以最近投产的NCP海缆为例,初始设计采用相干100Gb/s波分复用技术,主干段建设7对纤芯,设计容量超过82Tb/s。
      以人类目前的技术水平,任何无线通讯方式和光纤都完全不是一个量级的,所以我们只在不得已的时候使用无线。

      删除
    32. TO 本楼的几个讨论卫星上网的网友
      感谢在此热烈讨论 StarLink 相关话题,我目前并不清楚相关的技术细节,所以只能期待博主解答了。

      删除
    33. TO V2EX 32单元

      个人猜想博主应该不会解答关于卫星的这类问题,因为博主并不是卫星通讯这方面专家,尤其是StarLink牵涉到【双向/双工】卫星通讯,博主就更加外行了。

      删除
    34. CloudFlare Workers搭建在线代理,利用依附的自由,GFW不敢封
      欢迎试用:https://c.c4.workers.dev/

      代理随想博客:https://c.c4.workers.dev/-----https://program-think.blogspot.com/

      想自己搭建?搭建方法:https://51.ruyo.net/13487.html

      源代码:https://raw.githubusercontent.com/EtherDream/jsproxy/master/cf-worker/index.js

      删除
    35. 突然回忆起以前在我第一次提出卫星上网的可能性以后,资深XXX随即大量攻击我的观点,我觉得党国对此应该还是有所警惕的,就像卫星电视一样,一直是禁止私人安装的,但是识别方式到目前还是用的人工方式,所以还是有许多人偷装,未来或许可以用无人机AI识别,但个人觉得在卫星上网技术成熟并普及之后是很难的。就比如之前说到的outernet,现在叫othernet了,设备那么小,还是免费的,怎么可能禁得了,现在othernet唯一的问题是只有下行没有上行,而且速度很慢,但是用来看新闻是可以的了。所以我觉得党国对卫星上网这个事情还是很忌惮的,而且我也相信未来卫星上网会很快普及同时党国很难封禁卫星上网

      删除
    36. [疑问] V2ray开发组已经失联六个月了
      https://www.hostloc.com/thread-589971-1-1.html

      删除
    37. TO31单元
      光纤唯一的优势就是带宽,而这是由于光信号传播的自身特性造成的,光纤不过是地面条件下为降低损耗和增加拐弯功能而做出的一个妥协罢了.实际上,真空中的光信号传播,这些方面和几乎所有其他方面都可以远远超过世界上最好的光纤(拐弯除外,而星链依靠最粗暴的卫星数量解决了这个问题)
      你所说的波分复用等技术,除了光纤之外,光通信什么的基本全都可以直接拿过去用,【而星链内部卫星的信号传输正是使用了光通信】,可以说不管是技术上还是理论上都不会输给现在的光纤.任何无线通讯方式和光纤都完全不是一个量级的,仅仅只是因为需要做到同等量级,需要的成本远高于有线罢了,现在星链成本降下来了,这个问题根本就不复存在
      而光纤的灵活性(比如无法在汽车飞机轮船等地使用)和更换的成本是远远比不上星链的(之前是因为卫星贵所以没有可操作性,现在有了个spacex把这个问题解决了,打卫星的成本低于更换海底光纤的成本,是个人都知道怎么选择)

      删除
    38. 一看就知道你没在运营商干过,完全是外行的臆想。

      删除
    39. TO tomgeniewang

      老熟人回来啦,欢迎欢迎!
      [quote]就比如之前说到的outernet,现在叫othernet了,设备那么小,还是免费的,怎么可能禁得了,现在othernet唯一的问题是只有下行没有上行,而且速度很慢,但是用来看新闻是可以的了。[/quote]能够下载墙外新闻就够了,只有下行完全没有关系,这就像当年“偷听敌台”一样。
      严重同意你的[quote]我觉得党国对卫星上网这个事情还是很忌惮的,而且我也相信未来卫星上网会很快普及同时党国很难封禁卫星上网[quote]

      删除
    40. TO 34单元 小萌新

      CloudFlare GFW不敢封,但是CloudFlare Workers以及c.c4.works.dev这个域名GFW还是敢封的。

      删除
    41. TO null 37单元

      [quote]打卫星的成本低于更换海底光纤的成本,[/quote]
      我还是那句话,如果天朝真的敢打美帝的卫星,那美帝可以考虑核攻击三峡了。

      删除
    42. TO null 37单元

      [quote]真空中的光信号传播,这些方面和几乎所有其他方面都可以远远超过世界上最好的光纤[/quote]

      你的这句话让我心潮澎湃。

      删除
    43. TO null 30单元

      但是我还是那个问题:如果星链卫星还是需要【基站】,那马斯克的那句“把互联网带到全球每个角落”不就是一句空话嘛?!互联网之所以现在【没有】到达全球每个角落【就是】由于基站和光纤网铺设到偏远地区不划算。而卫星【就是】有【不需要】基站和光纤网的优势(随便地球什么地方有口锅就行了)所以才能达成马斯克的理想?

      删除
    44. [b]光纤通信可以说是我们这个时代最伟大的发明[/b]

      不能同意更多。

      最近经常见到有两拨人嚷嚷着要淘汰光纤,一拨是吹5G的,一拨是吹starlink的。都病得不轻。

      删除
    45. 光纤现在承载了互联网95%的流量

      删除
    46. TO 小萌新
      GFW 前几天好像就封了 CloudFlare,有读者反馈靠 CF CDN 的梯子连不上,现在应该是解封了。另外你发的这个 URL 我这里直连超时打不开。

      删除
    47. TO null & Zeroth Posclegomer
      这个 othernet 我是第一次听说,目前在天朝能用吗?
      马斯克说“把互联网带到世界的每个角落”,但不在天朝建立地面接收站,那么可以得出结论:[b]中国不属于世界。[/b]

      删除
    48. 顺便一提,我个人估计,光纤从发明到被取代肯定有一个世纪,也就是说 2050 年左右互联网都会用光纤传输数据。

      删除
    49. CF还能比谷歌影响大?何况墙内本来就没多少人用国际版的CF。

      删除
    50. TO V2EX 47单元

      outernet/othernet已经存在了很长一段时间了,但是感觉还是挺小众的。在天朝应该能用。网站上面好像有教程,如何自己做一个接收器。基本上用法就是在野外把接收器接在电脑上几个小时以后就把当天的othernet/outernet上的新闻,软件等等都接收到电脑上了,然后就可以浏览了。

      删除
    51. TO 49单元

      你倒还别说,防火墙至今未封CF的IP。
      GitHub还能比谷歌影响大?不也至今未封嘛。

      删除
    52. TO V2EX 48单元

      严重同意
      说不定技术奇异点2030年就发生了,人类全部数字化灵魂/心灵上载,也就不需要什么光纤了。

      删除
    53. TO V2EX 46单元
      第一个连接打不开,因为是自己镜像自己,进入死循环。
      下来几个连接(尤其是博客镜像的那个连接)是可以打开的,我自己已经亲自试过了。

      删除
    54. -----BEGIN PGP SIGNED MESSAGE-----
      Hash: SHA256

      Welcome to the OpenPGP world!

      需要测试OpenPGP在本评论区的可用性,预计会有各种各样的问题
      -----BEGIN PGP SIGNATURE-----

      iQEzBAEBCAAdFiEE61wdzdwzVF4VUR2nsYbm9vyeUmoFAl2U11MACgkQsYbm9vye
      UmqNtQgA6DbpbvpEHypv4rEX3rGTpb2TmehHqW7cCBJogCszdhXXn6jd0kf8XiXd
      6aQ9Dl/GZuNWVjtdr030xuwqDUZkcGVD1n9gzZhB0dVmRzUG85KgkgUKsCtnUCyr
      BN7hIXEZDz79B/9/3UxcwZ8iorEu0FPERpvulTcAxNIRTpaBiwJ0khRgvmm5DGPF
      3NHt4ca4ZAieyRi+JNr+feYgEh7JUM+HdzQHxgvw//1wKBJ3ghpyScQ714/RwJGV
      l0k3A1AcYOTMIrT9iq9xTWPPCDjxN0qAL/XETqEkYOt/6uKb+cW1RkMVFb2kZkyj
      gVBG0xRNykk+m+vSGYY4UrC76fiCJw==
      =GgVy
      -----END PGP SIGNATURE-----

      删除
    55. -----BEGIN PGP SIGNED MESSAGE-----
      Hash: SHA256

      博主的BBCode会产生[quote]一些影响[/quote]是可以预期的。
      需要还原[quote]这种语法,才可以验证本文
      -----BEGIN PGP SIGNATURE-----

      iQEzBAEBCAAdFiEE61wdzdwzVF4VUR2nsYbm9vyeUmoFAl2U2GYACgkQsYbm9vye
      UmpQzgf+J1JFqXSOrqFpkyqF2kCftN+XHrH/nZQsgy3o0ThubM1611AybHVSDnJV
      rSocgD+OjLfUV5I+FDxp+TuFKxsW7pZrLWCZfgXD11nN0WGYTynRqRLwGYgBe5U0
      yc76OcACIqIAQUfjv5coNg47821C4pyC2Uz52DYn13CCqaeAnaP0WXz1jLgYvOAj
      QsBS2TMvNypcGrGhGkNSTOfOWA6g4pmjdBXKSAxXekl5fhB9UtQREyZfUC0GAtQP
      VOlN6pW5BFEgBjzFQ0JbNM2o5LVDzqEi1SA+pwi80NXn9cRHZr9uzxVHRtxi0+pX
      wu7EgYOUPyZqNZSNuU3Z0LK63sWbeQ==
      =eIfH
      -----END PGP SIGNATURE-----

      删除
    56. -----BEGIN PGP SIGNED MESSAGE-----
      Hash: SHA256

      不知道用多了会不会被判为刷屏
      - -----BEGIN PGP PUBLIC KEY BLOCK-----

      mDMEXZTcBhYJKwYBBAHaRw8BAQdAQX+xpPkqLT4sUnAMCFuZ15+xZCOF1eeXro80
      Nf4uBhy0BUFCQ0RFiJYEExYIAD4WIQQDjAWULXbMrFFF26E1HbRWgxejegUCXZTc
      BgIbAwUJAAnCqgULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRA1HbRWgxejei59
      AP4/iYAUI4GHtVpWDWWG1B5t1S5Nnz/Ri9FJF+p2PTMBsAD/ajHsep73cgAHJG9l
      1fYEfWZ2PGceed3L9YKcpt6QDgq4OARdlNwGEgorBgEEAZdVAQUBAQdAjDR8mp5l
      cnbFINFtGdrZzP0M8tWvAV6+FR2gM4Cwe3sDAQgHiH4EGBYIACYWIQQDjAWULXbM
      rFFF26E1HbRWgxejegUCXZTcBgIbDAUJAAnCqgAKCRA1HbRWgxejeuloAQDmfwCB
      RxyTfqErjz1uHywQosPKBO3w/ziiw25h4lCVPwD+LH4Er1MMOMGkn0DUN3BULPtS
      4jndtw5WBXjTZU5cjQU=
      =O9ct
      - -----END PGP PUBLIC KEY BLOCK-----
      -----BEGIN PGP SIGNATURE-----

      iHUEARYIAB0WIQQDjAWULXbMrFFF26E1HbRWgxejegUCXZTcsgAKCRA1HbRWgxej
      etMmAP9J517odm6+G1mWYjSKXmeJDb5PYMzjYvckNA9v5RXV7QEA8n79O0xiQwsp
      lqd5HNOB8XNhlJBsOYGu6Es6P+euDQk=
      =CIND
      -----END PGP SIGNATURE-----

      删除
    57. -----BEGIN PGP SIGNED MESSAGE-----
      Hash: SHA256

      不知各位有没有听过军事上的一种战术:故意【网开一面】,挑选一条生路,而不是直接全歼。
      如果全歼,则会遭遇敌人的殊死抵抗。
      如果故意让敌人觉得还有逃走的希望,敌人说不定就会丢弃辎重而逃,战斗力就会下降。
      现今,有的网友不务正业,而是非要选择费事费力,花在翻墙和学外语上,指望哪天能够肉翻,不就是这个原理吗?
      -----BEGIN PGP SIGNATURE-----

      iHUEARYIAB0WIQQDjAWULXbMrFFF26E1HbRWgxejegUCXZTgNQAKCRA1HbRWgxej
      egS6AP9ji7qtZBuXEE4tjg8zE0yZ+D278hyKxzGeDnrNTGhVXgEA6t+W+5jzwZZL
      7QbawqtZ6pB2HtmcGnIINQxfGRvYbAQ=
      =wEyp
      -----END PGP SIGNATURE-----

      删除
  7. TO 博主

    二楼一单元发错了,重发一次。

    大后排入座。
    临近沦陷70周年,俺以为博主会写一篇政治/历史方面的大礼献给伟光正。

    补充/问题:

    1.俺一直不太明白斯诺登曝光棱镜门,为啥却跑到独裁专制的俄罗斯避难?(不论网络安全还是政治自由,俺认为普京政权至少比美国佬同样危险)

    2.博主提到某些安全漏洞在黑市上卖很高价格。可否介绍某些内情,俺们读者也一饱眼福 :)

    3.既然哈萨克斯坦政府强制中间人攻击,为啥朝廷还不肯/不敢?

    4.TOR天朝用户为什么那么少 (起码俺觉得十万很少 --- 全国超过七亿网民啊!)

    5.俺觉得港府/朝廷不至于立即将香港圈入墙内,不过会先走【俄罗斯模式】,就是先封杀日常生活不用的,或者政治敏感度较高的网站/应用(举例:Telegram),接下来再和谐Facebook,YouTube之类。

    6.warshipping做的[quote]它能周期性的扫描附近的无线网络,攻击者可以执行被动或主动的攻击去渗透目标的无线网络。[/quote]
    这个扫描过程或者执行攻击的过程,会被第三方检测到吗?

    回复删除
    回复
    1. 新中国成立70周年礼献2019年9月30日 下午2:48:00

      [url=https://www.zhihu.com/question/270393195/answer/835202110]新中国自成立以来有哪些翻天覆地的变化?[/url]
      [url=https://zhuanlan.zhihu.com/p/84172937]3 分钟回顾祖国 50 个历史瞬间,你看到哪一个泪目了?[/url]
      [url=https://www.zhihu.com/question/276636947]有哪一瞬间让你为祖国激动得热泪盈眶?[/url]
      [url=https://www.zhihu.com/question/28247984]你是什么时候感觉到「中国强大了」?[/url]
      [url=https://www.zhihu.com/question/61308351]为什么中国能够变得强大?[/url]

      删除
    2. 同样有这些疑问,斯诺登当年完全可以去冰岛,然而他却去了俄罗斯,我估计是因为俄罗斯“抢先一步”提供了政治庇护,斯诺登当时已经“慌不择路”了。另外天朝的 TOR 用户少很正常,想想天朝翻墙的网民有多少?而且 TOR 速度慢。

      删除
  8. 最近梯子大规模被封,博主有什么高招吗?

    回复删除
    回复
    1. 我感觉还有很多【漏网之鱼】,或者说,其实 GFW 没有加高太多。
      常用的那几家 VPS,像 BWG Vultr Linode DO 这些,都没有完全封锁所有 IP 段。我现在就用 Linode 代理上来的。今年 6 月初我使用的是机场的梯子,可以说完全没有受到干扰。

      删除
  9. chengr28(28小盆友)2019年9月30日 下午4:10:00

    博主你好。

    RevokeChinaCerts作者chengr28(28小盆友),在周六(9月28日)时,突然消失。Twitter账号注销,RevokeChinaCerts删除或者私有。随后不久,Pcap_DNSProxy也删除或私有。

    目前不知道他是否还好,推测可能因为这两个项目……

    我不知道该做什么,除了祈祷和关注,只剩下害怕,害怕某一天这样的事情也会轮到自己,害怕某一天自己也这样蒸发……

    如果有人真的在现实生活中认识小朋友,希望能悄悄的告诉TA,感谢TA一直以来的奉献。

    回复删除
    回复
    1. 原来他这么出名?他关注了我之前的 Twitter 账号,但我却没关注他,有点可惜。

      删除
    2. 著名博客与推号 GFW BLOG(功夫网与翻墙)已停更数十天。

      删除
  10. 最近Cloudflare出了個warp,據說可以提高隱私?另外博主對在評論區用GPG簽名確定身份怎麼想?Github也有用來確定commit的身份

    回复删除
    回复
    1. 我已经打算在发表评论时启用 GPG 了,因为有五毛冒充我。

      删除
    2. 我已经打算在发表评论时启用习近平思想了,因为有五毛冒充我

      删除
    3. 别提了,本来wireguard用得好好的,就因为cloudflare搞了这个大新闻,现在这个协议已经废了。

      删除
    4. 楼上的五毛冒充技术还是如此拙劣,甚至还以为我支持中共,我根本就不知道包子思想是什么鬼东西,真是可笑之极。

      删除
    5. 如果在不久的将来谷歌开始强制博主进行手机号码认证账户,不知博主有没有为这种情况做好对策准备。

      删除
    6. 每周转载,电脑科技文章看的有些腻了。博主什么时候来篇政治干货文章让我们这一众博主发烧友过把瘾?

      删除
  11. 博主这篇文章有点专业,适合程序猿童鞋们讨论,窝已肉身脱支,可无视贵支专制政权威胁,就不研究这些啦
    支共伪政权70周年,博主应该在政治抹黑方面有点大动作才是

    回复删除
    回复
    1. 山西煤矿小老板编程随想2019年9月30日 下午7:00:00

      to all
      灭绝兄又来蛊惑博主为中国唱赞歌,好阴险的伎俩,博主千万不要上当啊

      删除
    2. 向你学习,早日加入外国国籍,归化成为一个合格的世界公民!

      删除
    3. 楼上的五毛冒充很爽是不,我虽看不惯共党,也绝不会移民逃跑,!干这事的都是汉奸卖国贼,我和我的祖国一刻也不能分离!

      删除
    4. 3 单元这个傻逼五毛冒充的风格不仅漏洞百出,老熟人一看就知道是冒充的,这次还连续用了两个标点。而且可笑的是,昨天这个五毛还说恶臭不堪的“习近平思想”,今天就改口说“看不惯共党”了?我在 2 楼 11 单元也说了,我对你国极度失望,一旦我移民了,我是永远也不会回来的!我的祖国是西方民主国家,不是你们恶臭不堪的支那!来生不做中国人!

      删除
  12. 先生,请教一个问题,我前前后后捣鼓i2p很多次。每次都是补种成功,但是浏览器通过i2p代理访问网页就失败。不知道是什么原因,还望您不吝赐教

    回复删除
  13. 问大家一些问题
    1. 博主 70 大寿献礼准备的如何了?
    2. 各位使用 i2p 的用户,i2p 大约有多少个活跃节点才可以有能忍受的速度(10 KBps 以上)?我挂了很久的 i2p,有 30 多个活跃节点,速度还是个位数,有的时候甚至是零点几。
    3. 博主对 Zerodium 这样的公司怎么看?之前看到一篇报道说,同样的一个 Tor 高危漏洞,曝光给 Tor 官方最多 4000 多美元,曝光给这样的公司能有百万美元,然后公司再转手高价售卖给政府(NSA 等)
    4. Tor 的 meek 插件依靠域名前置,但是现在好像禁止域名前置已经成为了业界共识。如果有一天,Azure 也禁止了域名前置,墙内用户只能用其它代理来做前置了?有没有人知道为什么要禁止域名前置?

    回复删除
    回复
    1. 博主已经浪子回头,决定再也不发反华文章,用习近平思想武装头脑,做习主席的好战士!

      删除
    2. 楼上的傻逼五毛纠缠不休,冒充水平低得漏洞百出,这个可怜的五毛是不是被包子思想深度洗脑了?十句不离包子思想,五毛就这点能耐?

      删除
    3. 2.i2p在使用说明中写了不适用于浏览公共网络,它的出口节点经常是崩的。

      删除
    4. 老大,我从来没有成功使用i2p上网过,补种能成功,能看到活跃节点。但是浏览器代理上网一直失败。不知道您是怎么弄的

      删除
    5. 可能跟区域有关,我用 I2P 也一直不行:访问暗网不行,明网就会提示 outproxy not found 。

      最近这段时间我用 自由门 和 VPNGate ,还都挺稳定的, VPNGate 似乎看视频很容易被断掉。

      删除
    6. -----BEGIN PGP SIGNED MESSAGE-----
      Hash: SHA256

      i2p最难的地方在于补种,我建议刚装i2p的人先挂上Tor补种
      -----BEGIN PGP SIGNATURE-----

      iHUEARYIAB0WIQQDjAWULXbMrFFF26E1HbRWgxejegUCXZTpCAAKCRA1HbRWgxej
      ehPBAP9IrV5bVK2uih8/MgjMWvtQmuojz2rR+GN8CEbdY94VSQEAmrNz5mqeUu+W
      N3nyhOzK/c659KcYl+qb0KFV/PTTSwc=
      =qZj3
      -----END PGP SIGNATURE-----

      删除
  14. 所以说GFW还是厉害,平时睁一只眼闭一只眼,真到了关键时刻,封的死死的。不得不说,水温控制的很好。

    回复删除
    回复
    1. 墙洞多得是,看我在 8 单元的回复就知道了。

      删除
    2. 能拦下大部分人就足以控制局面,就GFW所要实现的目标而言是很成功了,维稳卓有成效。
      现在很多人的心态都是等这几天过去,这就是我说控制水温的意思,温水煮青蛙。

      删除
    3. To 楼主:既然封的死死的,那你怎么上来了?

      删除
    4. 伟光正的掘墓人2019年10月1日 下午5:22:00

      14楼楼主,我用的无界,速度挺好的

      删除
  15. 技术小白一个,想请教博主的看法,为何天朝还未效仿哈萨克斯坦进行中间人攻击呢?是技术上不够?还是考虑到反对的声音会很大?个人认为以通过网络实名制的速度来看,应该不太可能是顾忌言论。顺带吐槽,平时能用的一众梯子全部倒下了,这次封锁力度是真的大。

    回复删除
    回复
    1. 你听说过 CNNIC 吗?去 12306 网站买过火车票吗?知道为什么 12306 要你下载它自己的证书并安装吗?搞不好有些天朝 app 内置自己的证书,悄悄地 MITM 了。

      删除
  16. 关于Manifest v3,Mozilla的解释关于内容屏蔽的部分:

    Content blocking: We have no [b]immediate[/b] plans to remove blocking webRequest and are working with add-on developers to gain a better understanding of how they use the APIs in question to help determine how to best support them.

    注意这个[b]immediate[/b],以Mozilla紧跟Chromium的尿性,说不定会紧跟上,毕竟Firefox传统的XUL也被换成了狗屎的WebExtensions :(

    回复删除
  17. 博主。你好。上次还有技术问题没解决

    回复删除
    回复
    1. 我说的物理隔离是指你文章 [url=https://program-think.blogspot.com/2016/12/howto-prevent-hacker-attack-8.html]黑客入侵8[/url] 里提到的[quote]★招数5:“物理隔离”搭配“多重代理” “物理电脑”进行“网络隔离”的玩法(方法之一) [/quote]

      用隔离机和网关机上网,当然要两台电脑同时在线,并且因为有网线相连,应该就是在同一个局域网内了?

      既然隔离机要用到网关机的代理,网关机就必须开放一个端口,又怎么做到[quote]【没有】可见端口?[/quote]

      两台电脑都用了网线连接了,怎么还能用[quote](交换机、路由器)隔离?[/quote]

      并且一般电脑只有一个网线接口,网关机的网线接口连接隔离机了,只能用无限网卡上网了吗?是不是需要某种网线1分2的接口东西?

      删除
    2. iptables和nftables都只是防火墙管理工具,实现防火墙功能的是netfilter。firewalld则是同时支持iptables和nftables的图形前端。

      上下关系图:
      firewalld
      |
      iptables 和 nftables
      |
      netfilter

      这个文字画的关系图对吗?

      那这样即使iptables被淘汰了,也没有安全问题了。

      但为什么博主推荐老旧的iptables,是不是因为iptables功能更多,教程更多?

      删除
    3. 和骇客联系除了【公共论坛】交换信息,还有没有其他方法?

      删除
    4. 使用双虚拟机,隔离虚拟机若使用linux系统。网络设置的[b]【路由选项】[/b]应该怎么填?假如网络设置原先都是选的自动设置,在虚拟机选了仅主机模式后,这个路由选项就会自动消失。要手动配置ip地址里的网关才会出现。

      博主之前在[url=https://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]跨省追捕7[/url] 里你的windows设置部分并没有路由设置。

      linux系统如果路由手动配置并且不填,是[b]【无法上网】[/b]的。这个路由要不要手动配置,如果要,怎么填?尤其是[b]网关和metric部分[/b]。之前windows系统教程你是让不用填的,但这个不填,linux系统的路由选项就无法显示,只有手动配置了网关,linux的路由选自动配置,才能重新显示路由。

      如果只是浏览器上网,倒还能在网关机那里直接填网关机的ip和端口上网,但如果使用了redsocks之类的转发,要正常使所有软件上网,路由部分必须设置。

      https://images1-focus-opensocial.googleusercontent.com/gadgets/proxy?container=focus&refresh=31536000&url=https%3A%2F%2Fi.loli.net%2F2019%2F09%2F22%2FbyIxKBQ2vZlWqnS.png

      https://images1-focus-opensocial.googleusercontent.com/gadgets/proxy?container=focus&refresh=31536000&url=https%3A%2F%2Fi.loli.net%2F2019%2F09%2F22%2FlDsBzkt4pYeb1PG.png

      删除
    5. TO 有技术问题(1 单元)
      网关机只能用无线网卡上网了,然后把网络通过有线网卡共享给隔离机。
      但博主又反复强调【无线网络不安全】,所以我认为,博主最好把教程改成“两块有线网卡”,两台电脑都不要使用无线网卡。

      删除
    6. 贴图失败?我直接复制的你博客回帖的图片网址。再复制另一个试试。
      https://i.loli.net/2019/09/22/byIxKBQ2vZlWqnS.png
      https://i.loli.net/2019/09/22/lDsBzkt4pYeb1PG.png

      删除
    7. ipv4下面的地址如果选手动设置,是3个选项:address,netmask,网关。

      address好解决,就把原来自动设置的ip地址填进去就行了。比如仅主机ip段是192.168.111.0,那填个192.168.111.也行。

      netmask似乎是255.255.255.0,隔离机的网关不知道怎么填?网关机的默认网关是前3个nat的ip段加第四位的数字2。

      删除
    8. 主要4个问题。6和7单元补充

      删除
    9. 先前几篇博文里V2EX和其它博友提到现在手机号码认证越来越成为主流。不知道博主有没有考虑过如果有一天谷歌强迫博主进行手机号码认证应该采取什么办法?

      删除
    10. 博主最近发的要么是技术文,要么是每周转载。什么时候能来一篇政治干货文解解渴啊?

      删除
  18. phpstudy都不提一下?

    回复删除
  19. 台湾最大匿名聊天室kekeke近日遭到恶意上传儿童色情导致主机被封,进而关站
    编程大大,如果你的博客遭到恶意上传儿童色情攻击,有对策吗?

    回复删除
    回复
    1. 這裡又不像KEKEKE那種無限制的自由, 這些低端下三濫的手法, 隨想君百百種方法, 輕輕鬆鬆隨隨便便就擺定了

      删除
  20. 支那猪圈的主子权贵支畜70大寿到来,为防止寿宴遭破坏,放出公母支畜出圈咬人,大伙快围观,等下权贵支畜收回狗链就看不到辣

    帝吧网友饭圈女孩为国庆生 发"出征檄文":证吾国家
    https://news.163.com/19/1001/00/EQC2PKSB00018AP1.html

    回复删除
  21. http://i.ntdtv.com/assets/uploads/2019/09/GettyImages-1171981039-600x338.jpg

    回复删除
  22. 我是滑稽吧吧友,之前也发过言
    现在360浏览器打开你的博客会以崩溃为由强制重启(或关闭,你自己选),看来党国有进一步行动了:)

    回复删除
  23. 博主在这个人神共愤的日子里没有狠狠地抹黑党国,发了一篇无关紧要的文章,真的非常失望!共匪政权竟然存在七十年之久,博主一直等待非暴力革命的机会,我看是没什么希望的,纵观中国历史,只有暴力革命才能推翻这个邪恶政权!

    回复删除
    回复
    1. 之前有个香港读者Mr.k,多次在博主的文章评论说打算通过雇佣兵发动战争的方式暴力革命推翻共匪政权,博主一直没回复。下面转发他的这些评论。

      删除
    2. [quote]
      请问阁下,你就觉得中共能撑到22世纪吗?我是说大陆有希望在22世纪前脱离其魔爪吗?我们该做些什么能帮助大陆尽量能在22世纪前摆脱共产党的统治?
      [/quote]

      删除
    3. [quote]
      如果往最坏的方面想,那就是雇佣兵,你觉得是否可行呢,佣兵的战斗力是非常强的,十万佣兵足以结果共产党。当然这是打算在21世纪末采取的行动,最后的计划,鄙人目前在香港,目前的计划是这样的:

      1.雇佣兵介入挑起战争,无关输赢,旨在挑起战争,解决欧美国家(尤其是美国)“师出无门”,此举就像一颗手榴弹去炸一火药,干柴烈火一点即爆。

      2.届时,各方面都会支持反共,立场鲜明举起反共大旗,香港、台湾、美国、各新闻报社、人权观察组织、海内外、网络、推特...等等,到时群情激愤,必结果了中共不可,此举做一个引子,旨在动员所有人,核心目的是引起连锁反应。

      3.就算不能成功,中共也肯定会被吓的魂飞魄散,全世界都是倒共之声,中共也名存实亡,过街老鼠人人喊打,在内忧外患之下,此时再进行非暴力革命就如同补刀,一击即倒。

      4.研究中共数十载,已经找到了其几处软肋,只需袭击这几处弱点,中共必会手忙脚乱,惊慌失措,上忙下乱,应接不暇。

      5.我知道随想不喜欢、不希望这样做,但我觉得以你博客的力量未必能在22世纪前终结共产党,希望渺茫到几乎可以不计,你觉得呢?当然,如果能那样做最好,以非暴力革命的方式结束中共,但概率很小,我衷心的希望能如此。
      [/quote]

      删除
    4. [quote]
      如果中共能够撑过22世纪,那我们就真的没什么指望了;我们总说等机会,非暴力革命,战略上悲观,战术上乐观,我们总是一直在拖。

      国内的形式越来越严峻,共匪统治的时间越长,民主的难度就越大,倘若几百年后,即使推翻了中共,民众也是变的和脑残一样了,根深蒂固各种余毒恐怕使民主进程根本无法展开。凡是被共产党折腾过的国家没几十年元气很难恢复,有时候需要上百年其阴霾才能消散殆尽,就如同核污染核辐射一样。

      等待机会可以,但要有个期限,给自己个期限,也给别人承诺,这个期限可以很长,但不能一直无止境就这么将就下去,这样的日子真不知道什么时候才是个头。人生有限,短短几十载,真正壮年失去也就二三十年,过了这个阶段,你再想做什么也有心无力了,我们毕竟是肉体之躯,我们都会老去,一定要把握住时间,在有限的时间内让个体产生无限的价值。

      我觉得应该给读者、大家一个期限,不能这么盲目下去。
      [/quote]

      删除
    5. [quote]
      而且时间越长,你被爆破的风险越大,哪一天你被抓了,大家就彻底失去希望了,我们也没有什么可以联络的地方了,大家就如同一盘散沙被大风一刮消失在苍茫的大沙漠中
      [/quote]

      删除
    6. 我曾经询问他是否有联系美国黑水公司,在时机成熟时发动暴力革命推翻共匪政权。他一直没有回复。

      删除
    7. 博主下一篇文章是总结香港反送中抗议活动还是给共匪政权送终?

      删除
    8. 博主今天去天安门参见国庆大阅兵,被习大大英明神武的身姿折服,痛改前非再也不想反共,一心建设祖国,你们不用期待博主了

      删除
  24. 梯子几乎都坏了~~~你们好厉害还能翻出来啊。

    回复删除
    回复
    1. TO 楼主: 你也好厉害啊!翻出来了!
      还有,这个论坛上有相当一部分人是在*墙外*的,可以直接在论坛留言。

      删除
    2. 翻出来是不难,但你要知道绝大多数人是没有这种技术能力或者渠道的。这些年随着墙日渐变态,翻墙人群扩大了不少,他们中相当一部分都是依赖于一些傻瓜化的方法翻墙的。

      删除
  25. www.iyouport.org -IYP 不是过眼云烟的新闻网站,我们提供实战能力,这里是值得您反复回看的档案室

    by 《斯诺登:智能手机本身就是不安全的东西(video)》https://www.iyouport.org/%e6%96%af%e8%af%ba%e7%99%bb%ef%bc%9a%e6%99%ba%e8%83%bd%e6%89%8b%e6%9c%ba%e6%9c%ac%e8%ba%ab%e5%b0%b1%e6%98%af%e4%b8%8d%e5%ae%89%e5%85%a8%e7%9a%84%e4%b8%9c%e8%a5%bf%ef%bc%88video%ef%bc%89/

    回复删除
    回复
    1. 《永久记录》(洋文“Permanent Record”)这是政府不希望您阅读的书。


      另推荐《第四公民》(英語:Citizenfour)是一部2014年由罗拉·柏翠丝(英语:Laura_Poitras)执导的美国纪录片,讲述了爱德华·斯诺登和棱镜门事件。

      删除
    2. 斯诺登的新书《永久记录》(洋文“Permanent Record”)电子版下载,已经于昨日在 iyouport 的 telegram 频道发布:https://t.me/iyouport 您可以随时下载阅读。

      删除
    3. 楼上你这个电子书是中文版还是英文版?能不能上传到网盘?我没有telegram账号,谢谢

      删除
  26. 请问博主大神为党国朝廷70年大寿准备了哪些大礼?

    回复删除
    回复
    1. 阅兵式好精彩,我想下载高清版本纪念珍藏,博主有开源的视频下载软件推荐吗?

      删除
  27. 说明:操作系统有32位和64位之分,64位操作系统可支持4g及4g以上的大内存。如果电脑的内存是4G或4G以上,请选择64位系统;否则请选择32位系统。微软对Windows 7安全补丁更新支持到2020年1月14日,在此之前一直都可以使用 Windows 7;微软对 Windows 8.1的安全补丁更新支持到2023年1月10日,在这个日期之前都可以使用 Windows 8.1。微软对 Windows 10 企业版 2016 LTSB 版(长期服务版)服务支持周期是10年,在2026年7月之前都可以使用Windows 10 企业版 2016 LTSB 版。


    32位Windows 10 企业版(2016 LTSB 版)系统镜像文件(2016年07月版)信息:
    文件名称:cn_windows_10_enterprise_2016_ltsb_x86_dvd_9057089.iso
    SHA1值:0422052F25C9C8DF983F3B287F725860AAB907CF
    SHA512值:
    59E093D39F6275890EB1CEA96CBE59ACEDB5A00DF0456BA147DF9EDE6EB6018C594BAB9B33A254531F1BF0B803D82523ED99019A4314EC9DD58F80C961961471
    64位Windows 10 企业版(2016 LTSB 版)系统镜像文件(2016年07月版)信息:
    文件名称:cn_windows_10_enterprise_2016_ltsb_x64_dvd_9060409.iso
    SHA1值:9E405E950890D2A196565BCA35E152F9CFAD296D
    SHA512值:
    F876DA373DA109BAA4B150BE13859BADAFF2932BFCE986911600A5F69365E34DACCC708A5358CAAECB999A5168A84E763FC60E512B8C12F02430F509DB76231B

    回复删除
    回复
    1. Windows 10 Enterprise LTSB 2016 MAK密匙

      7GN97-FQ6DF-QBMYV-28KM2-76FCK

      7KK6K-4NDVV-HTVGG-QDVQC-3YJWX

      7DNJW-JKTTC-TP8WH-P9GQ6-238WX

      删除
  28. 伟光正的掘墓人2019年10月1日 下午12:04:00

    博主,墙内简直不能忍,微信朋友圈被亲戚的爱党爱国潮给刷屏了................默默不语,免得被口水喷死,来到您的博客透透气,真难受,他们要么是因为自己心里太脆弱,寄希望于参与集体、群体式的庆祝狂欢来找到共同感,以此抵消个人的脆弱性,要么就是学校无知的小粉红,就如当年我在学校时一样,无知且脑残,不知道真相,也在跟着瞎凑热闹,另外,向博主求教,如何不断让自己的心智成熟起来,虽然已经看过您推荐的《少有人走的路,心智成熟的旅程》这本书,建立自律,推迟满足感、承担责任、尊重事实、保持平衡,但是还是觉得无法让自己摆脱专制教育、家庭教育的阴影,所以特请教方法,希望能够让自己摆脱这些阴影,真正的让心智成熟起来

    回复删除
    回复
    1. 阅兵式真精彩,是时候摆脱编程随想的阴影了!让心智成熟起来!

      删除
    2. 哈哈,楼主好搞笑哦,被祖国的生日吓到躲在墙角,真滑稽

      删除
    3. 伟光正的掘墓人2019年10月1日 下午2:21:00

      31楼的1单元和2单元,我不知道你们是专门的五毛还是单纯的自甘五,那是谁的国?少数人的国,让他们少数人去爱吧,本身我也不想关心什么政治,只想跟自己的家人过点正常人的普通生活,买的起房,看得起病,养得起老,吃的上一口安全的食品,生儿育女,可是现在仿若我跟家人、亲戚之间产生了隔阂,他/她们认为我别去关心政治,管它主席是谁,江山是谁的,只要在中国能让自己和自己的家人过好生活就好了,还跟我辩论说我被西方思想洗脑了,美国人为什么现在福利这么好,都是因为原始的罪恶资本的积累之类云云......当然我自身还不具备宽广的知识面,不能够一一去反驳他/她们的观点,当然要是换成博主的话,肯定能够一一反驳,毕竟博主博览群书、知识面宽广,我现在就正处于博主说的半梦半醒的状态,知道自己处在洗脑的环境中,但是暂时还不能够建立起自己的思想体系,虽然已经抛弃了共产党灌输的意识形态的那套东西,接受普世价值观:人权、公民意识、司法独立等等,另外让我最可恨的是学校的那些老师,帮着伟光正奴化学生,使学生失去独立思考的能力,要么他/她们是真正的揣着明白装糊涂,要么就是把国家、政党等等这些概念搞混了,把爱国移情到了爱伟光正,还是一位教中特的老师说的比较公正:就看共产党能不能做到一碗水端平,把各个阶层、群体的利益都做到平衡,当然,我家往前数二代,爷辈是农民、父辈是农民工、而我有幸接受了一点教育,但是被教育产业化收割,虽然伟光正号称无产阶级的代表,按我的个人利益考虑,我应该追求政治正确,成为毛粉、支持伟光正,但是,我还是不支持伟光正,原因一:现行体制下,我和我的家人都是利益受害者,买不起房、看不起病...虽然我的家人还是斯德哥尔摩综合症患者,自己是体制的受害者却还为体制辩护,原因二:伟光正打着公私合营的旗号,把民营企业搞死,把国企做强,让像我这样的人受控于他/她们,没有太多选择的余地,间接性的通过控制个人饭碗来奴役别人,这让我尤为厌恶,民营企业完了,就没有工作机会,毕竟穷人没有创造财富的能力,还是得靠财富精英们来提供就业岗位、发展经济,我知道现在整个国内暗潮涌动,去各个街头看看,就会发现现在有一些各式各样的团体、群体,有些有野心的人正指望着像我这样的农二代去为他/她们充当炮灰,还有的左派毛粉企图用提供工作岗位来笼络人心,我不想成为任何人的棋子、炮灰、工具,想通过控制我的个人饭碗来奴役我,不可能,物以类聚、人以群分,我知道现在整个中国可能有着诸多的不同群体,有着不同的利益诉求,现在国庆(沦陷)日,街头外卖小哥的摩托车都插上了小红旗,可能是接受了指令,饭馆一隅也有升斗小民在用手机看伟光正的阅兵,街上开奔驰宝马的车主车上到处插着血旗,公交车内两边也都是小红旗,车内的初中生、高中生也是人手一面小红旗,大学操场也是人手一面小红旗在欢呼祖国啊,地铁上的电子屏幕不断的播放人人手拿小红旗爱国的视频,一些景点也有宣传机构正在拍摄爱国宣传片:一群大妈、中年人人手一面小红旗,边摇边喊走进新时代...居民小区道路的两边也都是小红旗......正如清朝的和珅,大清国让他贪了这么多钱财,他为什么不爱大清国呢?总之,我感觉以后中国肯定会有大变,之前在中国数字时代网站上看到陈天庸写的一篇文章,我为什么离开中国?让我内心震撼不已,显然我被认为是他笔下的动荡之源,当然任何人写的文章都可能有偏差、不全面,因为不同的人站的位置不一样,看到的是不一样的面貌,而我作为升斗小民,在以后的大变化面前也无能为力,只能让自己和家人的生活过的好一点,尽量不结婚、不生育,让孩子来到这个世界、太过残酷

      删除
    4. To 楼主:
      我和你一样也是算是与这个社会格格不入的少数派。正是因为知道国内的审查和监控,所以像我们这类人的声音在墙内是没办法发出去的,或是像我一样现在根本就懒得再去说些什么。虽然没法明确在国内的社交平台上表态,但保持沉默不说违心话还是可以做到的。所以我相信其实国内还是有不少人群是属于沉默的大多数,未表态,因此被国内媒体呈现表象所忽略产生认知偏误。
      我虽然几乎没有任何资源和资本,但也是骨子里不甘心去做炮灰,去被他人奴役。所以一直以来就没融入过任何团体(国内几乎任何团体背后都有CCP的影子),能做到的就是常来博主这里看看,提升自己的能力。
      我也在年初时读到了陈天庸的那篇文章,包括后来听文昭的时评提到了公私合营2.0,当时就立马反应过来:正常的收费和税收难以满足这帮人的需求,这帮人怕是又要像当年一样重新抢钱和掠夺了。有时感觉自己其实就是一只釜中蛙,即使能明白现状,但却无力跳出这即将沸腾的温水。也许目前能做的就是尽量提升自己的反脆弱性,如果有机会跑路就赶快跑路,共勉吧

      删除
    5. 伟光正的掘墓人2019年10月1日 下午5:00:00

      31楼的4单元,确实,不翻墙、一直接受墙内的信息的话,长此以往真的会变成伟光正的支持者,而翻了墙就会知道墙外的报道与墙内官媒的报道有何差异与不同,长期在墙内的社交媒体上浏览信息,是真的会产生认知偏差的,不好的、反面的言论被删掉,留下的只有正面的、歌功颂德的言论,接触久了,真的会以为一片和谐,歌舞升平,而这也正是博主所提倡的批判性思维能力,对于出现在眼前的各种信息,不论墙内的、还是墙外的,不能完全接受,而是要批判性的接受,至于你说的犹如釜中蛙,确实,我也有同感,不过我个人感觉就像是人肉电池,人肉电池就是把个人的青春、精力榨干,你能够跑路的话,就跑路吧,反正我是没有这个能力跑往国外,一来手里没有钱,二来父母都在国内,我跑了,谁给养老,至于你说的团体,现在觉得以前大学军训的时候很傻逼,还写了军训感,说军训有何意义,我个人认为是为了锻炼个人的身体,所以才搞个军训,现在才知道军训是因为1989年六四的镇压事件,为了培养大学生的顺从意识和听指挥,所以才这样设置,貌似在喊着1234的口号声中,整齐一致的步伐,瞬间让人融入了一种集体感,一下子就不感觉到个体的渺小和脆弱,继而享受集体步伐一致所带来的力量和影响,当然不是说我不合群,而是厌恶这种所谓的集体式的狂欢庆祝,尤其在现在到处挂着小红旗,越是挂、越是喊得口号响亮,就越让我感觉它很心虚,如果真的有凝聚力,还需要这样的方式么,看到现在那些年少的小粉红、犹如看到当年的自己,假如他/她们知道了真相,会不会像我一样瞬间变成草泥马

      删除
    6. 可怜的楼主,学会翻墙后不但没有看清西方国家抹黑我国的恶意,反而走向了另一个极端,被美帝皿煮洗脑了,你要知道美帝亡我之心不死,这次贸易战就是个例子,强大的苏联也是这样被忽悠没的,我们普通人不要考虑那些形而上的政治问题,做好自己的本职工作,好好建设祖国,国家强大了生活才会变好,你看闹皿煮的国家有几个不动乱的,当下香港不就是这样?共产党即便有万般不是,但中国没有比它更合适的统治者了

      删除
    7. 伟光正的掘墓人2019年10月1日 下午8:23:00

      6单元的是自甘五还是五毛?国家强大了,生活才会变好??又拿你那套国家什么的概念来塞别人的脑袋?正如同一些银行的电子屏幕上滚动播放的:国家利益高于一切,那么我要问一句:谁的国?你的国?你领导给你发的工资高么?买得起房么?你孩子上的起学么?抱歉,我爱国,我爱的是这块土地和这块土地上值得我爱的人,而不是你所维护的政权:中国共产党,看看你所维护的共产党,干了多少坏事,篡改抗日历史、反右、三年饥荒、文革、64镇压等,它可曾有过正面的反省,老是拿人民这个词来遮羞,人民这个词都让它给用烂了,今天大阅兵,又花了多少民脂民膏,在京城耀武扬威,吓唬谁?是吓唬普通老百姓吧,建议你好好看看沙叶新的《国家事,管他娘》,被美国民主洗脑了?那么我要问问,共党的高层为什么把他们的子女和家人送到美国,就不怕敌对势力要挟么?把子女送到敌对势力那里接受西式精英教育,然后反过头来又对墙内的普通家庭的孩子说:你们要爱党爱国,你们是社会主义接班人,既然美帝这么坏,美帝这么想用民主来洗脑中国年轻人,那么高官就不该送他们的子女去美国么,应该送去社会主义的兄弟国家,比如朝鲜接受教育么,国家强大有个屁用,作为普通人,个人的权利和尊严都不能够得到保障,这样的国家强大有何意义?

      删除
  29. 斯诺登,电子版
    https://www9.online-convert.com/dl/web2/download-file/a5a83834-afa5-448d-9fab-371bb2a12434/1_Edward_Snowden_Permanent_Record.pdf

    回复删除
  30. 唉~~~70年了还没倒,路漫漫其修远兮~~~

    回复删除
  31. 如果您需要真正的專業黑客服務,請聯繫:FIRSTCLASSHACKERS1@GMAIL.COM
    這些是一群超出人類想像力的專業黑客...他們評估所有數據庫而沒有任何痕跡...
    通過提供以下服務的不可追踪的滲透軟件,可以100%保證您的服務;
    -增加YouTube訂閱者,曬黑和觀看次數以及Instagram關注者
    貨幣乘法
    -在沒有預期的情況下加載比特幣
    -無限的空白卡和信用卡2年
    開單銀行賬戶
    -清除不良駕駛
    受害者追踪地點
    -我們使用預付信用卡將帳戶存入帳戶
    -Western Union MTCN和Moneygram Hack
    -網站卡黑客
    -記住信用分數餘額
    -大學變化的變化
    -擦除犯罪記錄黑客
    -Facebook Hack
    -Witters hack
    電郵帳號
    -等級變化變化
    -網站遭到黑客入侵
    -服務器崩潰的黑客
    Skype黑客
    -數據庫黑客
    -Word新聞博客Hack
    個人電腦駭客
    黑客遠程控制設備
    數字-伯納克·哈克
    貝寶認證賬戶
    -任何社交媒體帳戶
    -Android和iPhone黑客
    短信捕獲
    郵件攔截
    -信用卡免費在線交易
    無法追踪的IP
    您將永遠不會後悔任何服務。:FIRSTCLASSHACKERS1@GMAIL.COM

    回复删除
    回复
    1. 嘿嘿。编程随想是禁止打广告的,但近期广告一概不屏蔽,猜测一下,是编程的小号在打广告,看来编程是穷疯了呀,嘴上说的好听,下面自己贩卖黑客服务,搞不好编程随想就是诈骗传销团体

      删除
  32. 如果您需要真正的專業黑客服務,請聯繫:FIRSTCLASSHACKERS1@GMAIL.COM
    這些是一群超出人類想像力的專業黑客...他們評估所有數據庫而沒有任何痕跡...
    通過提供以下服務的不可追踪的滲透軟件,可以100%保證您的服務;
    -增加YouTube訂閱者,曬黑和觀看次數以及Instagram關注者
    貨幣乘法
    -在沒有預期的情況下加載比特幣
    -無限的空白卡和信用卡2年
    開單銀行賬戶
    -清除不良駕駛
    受害者追踪地點
    -我們使用預付信用卡將帳戶存入帳戶
    -Western Union MTCN和Moneygram Hack
    -網站卡黑客
    -記住信用分數餘額
    -大學變化的變化
    -擦除犯罪記錄黑客
    -Facebook Hack
    -Witters hack
    電郵帳號
    -等級變化變化
    -網站遭到黑客入侵
    -服務器崩潰的黑客
    Skype黑客
    -數據庫黑客
    -Word新聞博客Hack
    個人電腦駭客
    黑客遠程控制設備
    數字-伯納克·哈克
    貝寶認證賬戶
    -任何社交媒體帳戶
    -Android和iPhone黑客
    短信捕獲
    郵件攔截
    -信用卡免費在線交易
    無法追踪的IP
    您將永遠不會後悔任何服務。:FIRSTCLASSHACKERS1@GMAIL.COM

    回复删除
  33. 如果您需要真正的專業黑客服務,請聯繫:FIRSTCLASSHACKERS1@GMAIL.COM
    這些是一群超出人類想像力的專業黑客...他們評估所有數據庫而沒有任何痕跡...
    通過提供以下服務的不可追踪的滲透軟件,可以100%保證您的服務;
    -增加YouTube訂閱者,曬黑和觀看次數以及Instagram關注者
    貨幣乘法
    -在沒有預期的情況下加載比特幣
    -無限的空白卡和信用卡2年
    開單銀行賬戶
    -清除不良駕駛
    受害者追踪地點
    -我們使用預付信用卡將帳戶存入帳戶
    -Western Union MTCN和Moneygram Hack
    -網站卡黑客
    -記住信用分數餘額
    -大學變化的變化
    -擦除犯罪記錄黑客
    -Facebook Hack
    -Witters hack
    電郵帳號
    -等級變化變化
    -網站遭到黑客入侵
    -服務器崩潰的黑客
    Skype黑客
    -數據庫黑客
    -Word新聞博客Hack
    個人電腦駭客
    黑客遠程控制設備
    數字-伯納克·哈克
    貝寶認證賬戶
    -任何社交媒體帳戶
    -Android和iPhone黑客
    短信捕獲
    郵件攔截
    -信用卡免費在線交易
    無法追踪的IP
    您將永遠不會後悔任何服務。:FIRSTCLASSHACKERS1@GMAIL.COM

    回复删除
  34. 隨想兄你能不能黑了gfw的服務器

    回复删除
  35. 你们别等回复了,我儿编程随想已经放弃撰写博客,它将于未来某个时间段彻底关闭。
    早上给我儿看伟大祖国70周年大阅兵,他已经感动地说不出话来,看到祖国如此强大,再看看自己写的那些令人作呕、污秽不堪的反华文章,愧疚之情难以言表。愧对父母,愧对国家、愧对党、愧对国家、愧对我们敬爱的人民领袖[b]习近平[/b]主席。
    当电视里面播放到习主席的专车缓缓驶出,向三军将士招手致意时,编程随想激动地眼泪都流出来了,大呼“[b]中国共产党万岁!!习主席万岁!!!![/b]”,他说:从今往后,我要改邪归正,金盆洗手,做社会主义的接班人,做习主席的好学生,用[b]习近平新时代中国特色社会主义思想[/b]武装自己,永远拥护、永远忠诚于我们伟大的、至高的、至伟的党和国家最高领导人国家主席[b]习近平[/b]!

    回复删除
    回复
    1. 亡羊补牢,为时不晚!今后我儿编程随想将洗心革面,坚持同反华反党反人民黑恶暴恐势力做最高级别、你死我活的斗争

      删除
  36. 回复
    1. 1.关于平等的问题。我是看见过有人说自由和平等矛盾,过于自由会导致不平等,反过来过于平等也会侵犯个人自由。

      但这并没有从根本上直接[b]宣告平等这种诉求就是错的,表象,肤浅的。[/b]

      如果有哪位思想家直接说过平等这种诉求是错的,请告诉我?

      我只见过很多资本主义者常提机会平等,并没有直接说平等这种诉求是错的

      删除
    2. 2.错误,落后的人性该不该反对,批判,改造?
      之前看你对别人反驳马克思的说到共产主义是反人性的,我虽然也反对马克思,但拿反人性来说事,首先要回答一个问答:

      [b]错误,落后的人性要不要反?[/b]

      人性中有很多劣根性,吸烟酗酒赌博好色暴力斗殴都是人的劣根性在发挥作用。人性也不喜爱深度思考。

      反马克思是对的,但反人性也该是对的。

      删除
    3. 3.请博主明确压迫平民的敌人有哪些?腊肉提出三座大山,明确敌友关系。毛让人仇视资本家,虽然资本家的确有压迫克扣工资的行为,但问题在于平民的敌人不止资本家一个。

      对于古代帝王来说,宦官,外戚,文臣武将统统都是可能篡位的敌人,能全杀了吗?不能。杀光某一方也可能让权力失衡。

      毛让人仇视资本家,愚民不懂自己的敌人还有[b]领袖,还有人民这个集体[/b]本身。暴君的权力是愚民赋予的。有人反对暴君,集体还会强迫其从众。

      韩非子有八奸说,博主认为对于平民来说有几个敌人?

      删除
    4. 4.关于你提过的马斯洛的需求层次理论,我觉得是错的。
      [b]两个错误:1不尊重独居者。2需求级别上下颠倒。[/b]

      https://zh.wikipedia.org/zh-cn/%E9%9C%80%E6%B1%82%E5%B1%82%E6%AC%A1%E7%90%86%E8%AE%BA
      1这里面提到了社交需求和尊严需求。这两种都是群居动物的需求,如果是喜欢独居的独居者呢?

      我觉得社会需求是一种[b]【伪需求】[/b],社交只是获取资源的手段,不是目标。不考虑现实困难,人如果可以自己一人占有一个宇宙,没有资源困难,没有社交的必要,更别谈需求了。([b]虚拟假设也有意义,比如物理学的真空,光滑平面[/b])

      2需求上下颠倒。我认为生存欲才是第一位的核心本源需求。虽然现在吃饱饭很容易,但想要长生不老很难。想要宇宙毁灭依然永生就更无比艰难。

      其次是对资源的占有欲。人赚钱就是在满足占有欲。占有欲也是在为生存欲服务。

      至于其他的欲望需求,比如自由欲,亲情友情爱情,自我实现等等都是衍生的下级需求。


      虽然往往在生理需求满足后才追求,但不能因此说它们是高级需求,只是衍生需求,是可有可无的。

      比如古代帝王就没有爱情,[b]人家根本不屑于所谓真爱,女人都是他的奴婢,也不需要友情,只要臣子忠诚就好了。[/b]
      权力的意义就在于极大的满足帝王的占有欲,占有了整个江山,也就无所谓感情需求了。


      当然生存欲也不是绝对第一,比如遭受酷刑就想自杀,但这属于特殊情况,无可奈何才这样的,人还是想要活着活好的。

      再说的透彻点。现代大学那么多高深复杂的理论,然而多数大学生学知识的核心目的是什么?粗俗点说就是占有资源,拥有大量美女做爱享受性快感,顺便延续后代。

      看看韦小宝有上床画面的电视剧,有多少弹幕说:[b]这才是男人[/b]

      这和原始人甚至虫子也没多大区别。

      删除
    5. 5.关于智者和强者的问题。强者历来的定位倾向就是统治者,主宰者。即使是民主社会,强者也该倾向于个人拥有令人羡慕的资源和力量。过于无私的人一般做不了强者。

      你用[b]影响力[/b]这个词就不好,列举几点反驳:
      1因为某些人是有影响力,但这种影响力可能死后才产生,比如孔子生前不得志,梵高等。

      2小人物也可能在某些时候产生蝴蝶效应的巨大影响力。

      3一个对社会影响力很大的清官或其他影响力巨大的人。自身却比较穷,要么最多中产。

      退休后没请保镖,到野外游玩,被强盗或仇家或干脆是疯子,报复社会的盯上了,被人掐着脖子说:你很弱。被他们按在地上摩擦后虐杀。你想想,这是[b]什么画面[/b]?

      你还觉得这样的人能算强者吗?这是内心强大能解决的吗?

      强弱的衡量标准是[b]个人实力[/b],个体实力不强,哪怕增强集体百倍也不算强者。实力指力量和资源,而[b]力量和资源可以快速互相转化,很多时候可视为同义词[/b]。


      你拿原始人和现代人相比,然而所谓的现代人大多和原始人没有本质的需求差别,[b]知识智慧是为欲望服务的,欲望没变,就没本质差别。[/b]

      卡尔达肖夫指数没错,实际上把能量换成猎物也没错,越先进的文明肯定要能获取和制造更多的猎物,是否需要并不重要。

      再高级的文明也要保留【原始核心需求】。不管美国有多先进的文化经济,这都要以最强的军事实力作保证。没有军事,资源,被野蛮征服文明,那文明就是弱者,就是输了。

      [b]控制变量法[/b]:A文明拥有100颗太阳能源,B文明拥有1万颗太阳能源,B能灭了A,不管A在文化知识追求上有多先进,A相对B都是弱小落后的文明。

      谈追求高低,前提是资源,军事实力相近才有资格谈。

      删除
    6. 关于强者的定义,可以引申出一个悲哀的事实。个人和集体的利益往往是矛盾的。

      使集体增强实力的个人,往往自己吃亏。比如一些为国为民的人,实际上自己往往得不到什么好处,多半还可能被杀。

      而个人要占大利,往往就不能做什么贡献,实事。做实事也容易得罪人。

      而且这还牵扯到一个回报率的问题。即使个人和集体利益兼容。个人为集体做贡献了也得到巨大回报了。但同等的回报,总归是付出越少,回报率越高。所以付出的多,对个人来说还是有所吃亏。

      删除
    7. 对了。这个时间点,发这个文章有点水。搜集安全新闻,再加点评论,似乎不需要太耗时。

      删除
    8. 原来是有什么大礼的,真的没有

      删除
    9. 伟光正的掘墓人2019年10月1日 下午10:09:00

      楼主认为强者就是倾向于统治者、站在金字塔最顶尖的人?博主用影响力这个词来衡量,是不是就是那种一呼百应、自己的言行或者思想等等能够传播、影响到范围足够大的人群?

      删除
  37. 伟光正的掘墓人2019年10月1日 下午9:31:00

    博主,你说毛说过的:落后就要挨打,到底有没有道理?这是我一亲戚老是引用它怼我的一句话,他认为人性都是自私的,什么为人民服务,什么民主,什么自由,都不过是一个幌子,哪个当政者不是先满足自己的个人欲望、然后才会考虑去为人民服务,我想博主博览群书、知识面宽广,对于这类言论,是如何看待的?

    回复删除
    回复
    1. 建议阅读「来生不做中国人」一书。博主的电子图书馆有

      删除
  38. 为了维护世界和平,我还是发出轮子的翻墙软件
    请大家访问https://github.com/Alvin9999/new-pac/wiki/ss%E5%85%8D%E8%B4%B9%E8%B4%A6%E5%8F%B7

    回复删除
  39. 请问编程随想是什么势力范围?中国人跑到美国开博客,编程随想算是“中国”的附庸,同样的道理,本文前面章节提到的“编程随想的博客”可以视作美国的势力范围。

      1. 关于【势力范围】
      比如说,“白俄罗斯”基本上算是“俄罗斯”的【附庸】。如果你要排除掉俄罗斯(ru)的 Tor 节点,那么你顺便也要把白俄(by)的节点排除掉。(注:俺只是举例,“俄罗斯”的“附庸国”肯定不止这一个)
      同样的道理——本文前面章节提到的“五眼联盟”可以视作美国的势力范围。

    回复删除
  40. Ѕlоbodan Šešеlj2019年10月2日 上午2:15:00

    博主怎么看今天那一发?我觉得这八成不是上面的意思,而是那个警察情绪激动,违抗命令了。因为如果开枪,墙外舆论马上会把矛头指向tg——今天的twitter已经展现得很清楚了。但是我看为那个学生发声的只有一般群众和人权组织之流,难有官方性质的媒体站出来给他说话,毕竟为一个外国的城市发生的游行说好话对哪个政客的支持率都没有好处。除非对手是共产党。

    回复删除
  41. 香港民众10月1日在多区进行集会游行。抗争活动中,遭遇警方丧心病狂的镇压,警方不仅在多个地点不间断地施放巨量催泪弹,还数次实弹开枪,有中学生抗争者被警方用实弹射中胸口,情况危殆。


    根据香港城市大学学生会编辑委员会的报导,下午4点多,在荃湾大河道中附近有示威者左边胸口被打中,伤者倒地后不断高呼:“我心口好痛”,并且有大量血液从心口涌出,由救护员急救。


    苹果日报等多家港媒均报导了上述消息。明报报导,警方消息确认有警员曾在荃湾开实弹枪,一名示威者左胸中弹。港大校园电视所拍片段显示,该示威者当时在警员背后挥短铁通,警员持枪转身近距离开枪击中示威者。
    报导说,中弹者被在场人士询问姓名时,他答“曾智健(音)”。

    明报报导,伤者中枪后被送往玛嘉烈医院抢救,情况危殆,其友人赶赴医院了解,表示伤者为中五学生。目前仍未能找到其家人。

    根据“立场新闻”报导,该名中枪示威者一度毫无知觉。警方没有将该名示威者上铐,期间并一度试图让示威者张开眼睛。不久,有救护员到场为伤者急救,并为伤者戴上氧气罩,随后固定伤者颈部,并由救护员以担架抬走并送上救护车。

    自由时报报导,下午3点多,在油麻地发生的警民冲突中,香港警方曾以左轮手枪对空发射实弹。并有至少3名员警曾将枪口指向示威者。

    另据网络媒体“米报”报导,在弥敦道窝打老道交界处有2辆警车,在弥敦道与示威者发生冲突,最后有2名警员向天开2枪。#



    责任编辑:方晓

    回复删除
  42. “如今又过了这么多年,俺【保守】估计:会在10万以上。”————你确定翻墙的人越来越多?我没有那么乐观哦。

    回复删除
  43. 国庆期间墙内首次启用了白名单模式,造成大量正常境外网站无法访问。
    寒冬已经到来

    回复删除
  44. 关于翻墙,最近v2ray裸vmess协议速度会很慢,套tls后速度会快很多

    回复删除
  45. 话说博主在【国殇日】放毛假啊,继续发文攻击党和政府啊。
    还有,你竟敢反对【民主政权】监控WhatsApp,美国爹没给够你钱么?

    回复删除
  46. Rust和Go这种底层层面的差别有没有详细的介绍?想了解一下,感觉Go也是很底层的样子

    回复删除
  47. 博主,"政治/政治理论/社会主义/"这个目录下有几本书重复上传了,只有文件名不一致,内容完全一致;
    “经济/经济学/教材” 与 “经济/经济学/理论” 也有部分重复;
    有时间的话麻烦更正下。

    回复删除
  48. -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA256

    我认为美国总统应该特赦斯诺登,或者承诺特赦。或者国会修改法律后,再根据新法律撤销控罪。
    -----BEGIN PGP SIGNATURE-----

    iHUEARYIAB0WIQQDjAWULXbMrFFF26E1HbRWgxejegUCXZTyPAAKCRA1HbRWgxej
    eh/rAP46kPIDUAb984MpKHYRwP0OG1iq3T1a8+d1G9LNFJdCzgD/eMti0KvNfzEg
    lhyX4ADNYv9BLAC5NJJrNe1ZA2RPvwM=
    =hhAG
    -----END PGP SIGNATURE-----

    回复删除
  49. -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA256

    不知道是否会有编码问题,因为汉字也可以存在多种编码,我担心直接被别人复制过去验签不一定能通过。
    -----BEGIN PGP SIGNATURE-----

    iHUEARYIAB0WIQQDjAWULXbMrFFF26E1HbRWgxejegUCXZTzdAAKCRA1HbRWgxej
    ehJFAQDnRGCZ0K7FV3FBBA3esAE3BhCus+T9L539e92Y11Lh4wEAxqHuvOEE8d3B
    i8CACwBugomlkAU/1e73LQm1Hc1hQgk=
    =H5hm
    -----END PGP SIGNATURE-----

    回复删除