在上周,“心臟滴血”(Heartbleed)無疑是安全界最大的新聞;事實(shí)上,應(yīng)該是最近幾年最大的安全事件。此外,一份包含姓名、照片、用戶名和密碼的anonymous成員名單無疑會(huì)讓你大飽眼福。最后,將和大家分享我常用的一款資訊獲得工具。
“心臟滴血”是一件好事
“心臟滴血”漏洞和其他幾乎所有的用戶隱私泄密事件不同的是,最大的威脅是我們每天都在進(jìn)行的互聯(lián)網(wǎng)訪問,包括通道上的家用路由器,而不簡(jiǎn)簡(jiǎn)單單是一兩個(gè)網(wǎng)站。這個(gè)曝光的漏洞似乎在一定程度上解釋了近兩年的一些“離奇而“無解”的安全事件,誰知道這個(gè)漏洞在曝光之前被多少人多少次地利用,又有多少人莫名其妙地中招。
別的不打算再說了,網(wǎng)上的技術(shù)資料太多了,個(gè)人想就“心臟滴血”談以下三點(diǎn):
(1)開放的互聯(lián)網(wǎng)從根本上是不安全的。因此,在互聯(lián)網(wǎng)上該有的警惕性一定要有,該小心的一定要小心。最起碼主要網(wǎng)站(特別是有支付交易網(wǎng)站)的密碼需要經(jīng)常修改的。
(2)OpenSSL是安全的。這和(1)不矛盾。特別在天朝,OpenSSL不應(yīng)該被批判,恰恰相反,應(yīng)該大力推廣。
(3)“心臟滴血”是一件好事。我在微博中寫道,“‘Heartbleed’事件說明安全在天朝的發(fā)展階段還是很低的。當(dāng)下,安全最大的推動(dòng)力仍舊不是正向的,還是依靠倒逼。”。“心臟滴血”一出來,該升級(jí)的升級(jí),該修改的修改,這對(duì)于安全在天朝的發(fā)展來說,是一個(gè)不小的促進(jìn)。
因此,我認(rèn)為需要從更為積極和正面的角度來看待“心臟滴血”事件。“心臟滴血”不是“世界末日”,更應(yīng)該是一個(gè)新時(shí)代的到來。
anonymous成員名單被公布
看到本期海外回顧的朋友有福了。點(diǎn)擊下面的鏈接(http://vdisk.weibo.com/s/C72IDYVyepIf6)可以獲得部分Anonymou成員的姓名,所在國(guó)家,他們的Facebook地址、賬號(hào)和密碼等。
下面是部分Anonymous成員的Webcam截圖:
這些數(shù)據(jù)是自稱"Buddhax"的黑客在Facebook上發(fā)布出來的,該黑客屬于以色列黑客組織——以色列精英部隊(duì)(Israeli Elite Force ,簡(jiǎn)稱IEF)。IEF在與Anonymous的多次攻防戰(zhàn)中戰(zhàn)績(jī)輝煌。在去年就曾經(jīng)公布過參與“OpIsrael Reloaded”行動(dòng)的部分Anons成員名單的姓名、照片、城市、IP地址等。本次曝光的數(shù)據(jù)來自Anons新近對(duì)以色列代號(hào) #OPIsrael的攻擊行動(dòng)。
“Buddhax"奉勸Anonymous在展開網(wǎng)路攻擊的時(shí)候要小心點(diǎn),不要總被抓到小尾巴。
我再補(bǔ)充一點(diǎn),不管用什么方法,請(qǐng)把你的攝像頭擋上。
一款不錯(cuò)的海外資訊訂閱工具
之前有不少朋友通過微博和郵件問我如何獲得海外安全資訊的。在本周,我會(huì)和大家一起分享一款很好用的資訊訂閱工具。這也是我?guī)缀趺刻於荚谟玫暮M獍踩畔@取工具。
這款工具的名字是:FeedDemon,它最方便的地方是在一個(gè)軟件內(nèi)集中獲得你所想獲得的資訊。誠(chéng)然,Google Alert多少也可以實(shí)現(xiàn)這個(gè)目標(biāo),但是我不太喜歡以郵件獲得資訊的方式。FeedDemon內(nèi)置的Chrome瀏覽器可以很方便地點(diǎn)擊前往你想去的網(wǎng)頁(yè),同時(shí)可以在不同標(biāo)簽頁(yè)中切換網(wǎng)站。
下面是我的FeedDemon訂閱列表,從截圖里你也可以看到我曾經(jīng)訂閱的部分內(nèi)容,你可以根據(jù)自己的喜好設(shè)計(jì)你自己的關(guān)注列表:
你可以選擇的資訊來源包括Google Blog,Google News,Bing等在內(nèi)的多個(gè)搜索引擎。個(gè)人比較偏愛Google News,盡管仍舊和Google引擎分不開。其實(shí)很正常,在國(guó)內(nèi)你搜索一個(gè)新聞,baidu是不二的選擇,搜索海外資訊,同樣在很大程度上,只有Google一個(gè)選擇了(當(dāng)然,Bing也是一個(gè)不錯(cuò)的救火隊(duì)員,特別是在Google被墻或搜索圖片的時(shí)候)。
除了Google等搜索引擎之外,F(xiàn)eedDemon還可以訂閱Twitter,F(xiàn)acebook等“騙子”網(wǎng)站(連訪問都不能訪問的網(wǎng)站,不是騙子還是什么)。從獲取海外安全資訊的角度,Twitter在很大程度上彌補(bǔ)了搜索引擎留下的缺口。個(gè)人認(rèn)為,Twitter是一款最單純善良的工具,和微博豐富的APP相比,Twitter簡(jiǎn)單得有點(diǎn)老土。但是,孔子云,Simple is best,特別對(duì)于以獲取資訊這樣單純的目的來說,沒有哪個(gè)工具比Twitter可以更快更好地獲取海外安全的最新動(dòng)態(tài)。
眾所周知,Twitter是一個(gè)定位于社會(huì)化媒體(SNS)的社交工具,和微博一樣,是用來扯淡的。只是拿來獲取資訊多少有點(diǎn)半吊子;這可能和每個(gè)人的性格有關(guān),我寧可在Twitter上淹死,也不愿意露出水面換一口氣。這其實(shí)不是一個(gè)好習(xí)慣。
也許我今后也可以考慮變得更social一點(diǎn),比如在@Offical_SEA16的帖子里留言,I 服了You!
從獲得海外安全資訊的功能性角度上來說,F(xiàn)eedDemon可以滿足你大部分的需求。說到不足,一個(gè)是實(shí)時(shí)性。從個(gè)人使用經(jīng)驗(yàn)上,F(xiàn)eedDemon的實(shí)時(shí)性稍差一點(diǎn),特別在訂閱來自搜索引擎的信息上。原因是什么,我不知道,也許是時(shí)差本身造成的。不過,Twitter網(wǎng)頁(yè)版可以很大程度上來彌補(bǔ)這個(gè)缺口。