免费抠图软件_图片加文字_在线制作拼图的网站_图片处理神器_在线抠图 免费
当前位置:建站首页 > 成功案例 > 旅游案例 >

电子商务网站开发—漫谈:黑客,NSA与自由软件

发表日期:2021-02-13 08:44文章编辑:电子商务网站开发浏览次数: 标签:    

········· 顾客服务 企业服务 ··· 生产制造制造行业vip会员会员专区 CNCERT CNNVD

创作管理方法管理中心

官方网网手机微信微信公众号企业安全性性新浪网网新浪网新浪微博

FreeBuf.COM互连网安全性性生产制造制造行业门户网网,每日发布技术性技术专业的安全性性新闻报道新闻资讯、技术性性剖析。

FreeBuf+手机微信微信小程序把安全性性放入包装袋

漫谈:互联网网络黑客,NSA与随便手机上手机软件

漫谈:互联网网络黑客,NSA与随便手机上手机软件

09:00:10

[-fortress]$ uname -a
Linux shawn-fortress 3.7-trunk-686-pae #1 SMP Debian 3.7.2-0+kali8 i686 GNU/Linux
|=-----------------------------------------------------------------=|
|=-----=[ D O   N O T   F U C K   W I T H   A   H A C K E R ]=-----=|
|=-----------------------------------------------------------------=|
|=------------------------[ #3 File 0x06 ]-------------------------=|
|=-----------------------------------------------------------------=|
|=------------------=[漫谈: 互联网网络黑客,NSA与随便手机上手机软件]=------------------=|
|=-----------------------------------------------------------------=|
|=-------------------=[ By Shawn the R0ck   ]=---------------------=|
|=-----------------------------------------------------------------=|
|=------------------------=[ Jan 1 2014  ]=------------------------=|
|=-----------------------------------------------------------------=|
--[ CONTENTS
0. Aaron Swartz - We should not forget
   0.1 Intro
1. * Manifestos - 3 branches are forked by Hacking spirit
   1.1 GNU Manifesto
   1.2 A Hacker's Manifesto
   1.3 A Cypherpunk's Manifesto
   1.4 extra bonus -- A Biopunk Manifesto 
2. What do we learn from Snowden's disclosure?
   2.1 NSA in your threat model - use crypto
   2.2 Cybersecurity industry standard corruption
   2.3 Tools we can trust
   2.4 Cyberwarfare: Inevitable shit
3. FOSS solution
   3.1 Leap of faith
4. Epilogue
5. Gratitude

--[ 0. 纪念Aaron Swartz离开地球上上一周年纪念留念

    MIT,这一之前是二十新世纪互联网网络黑客的起源地,许多计算机和微生物菌种互联网网络黑客都是在哪儿里发展趋势的,那般的一个互联网网络黑客心里中的胜地却对Aaron Swartz作出了太过的事情,虽然Aaron离开大伙儿快一年了,但那般的互联网网络黑客大伙儿不能该忘记他,纪念Aaron Swartz离开这一星体一周年纪念留念便是大家写作的主观性要素之一。
[标识:內容1]

----[ 0.1 Intro

The natural flow of technology tends to move in the direction of making surveillance easier, and the ability of computers to track us doubles every eighteen months.
                                                                               Zimmerman's Law

    过去的20好多年中,FSF(随便手机上手机软件个股股票基金会)和EFF(电子器件器件前哨个股股票基金会)一直是无ZF实际现实主义(Anarchy)抵御BIG BROTHER的最前线,这种抵御不仅仅是在技术性性制造行业,法律法规政策法规制造行业也是如此,NSA对很多在电子器件器件全世界的"无ZF实际现实主义本人个人行为"都十分的头疼,登录登陆密码学不孚众望的,因为登录登陆密码学自面世迄今就是应用于发布化的场景,对前期登录登陆密码工程项目新项目有兴趣爱好喜好的朋友可以阅读文章文章内容Hacking Secret Ciphers with Python。

    随着着随便手机上手机软件运动健身健身运动在198一年代的风靡,越来越越越大的安全性性制造行业的互联网网络黑客怀着professional paranoia的社会发展学加上赶到在这其中,应用受法律法规政策法规维护保养的随便手机上手机软件准许证( GPL, BSD, MIT, OPENSSL)发布了很多优异的登录登陆密码应用专用型专用工具,这让BIG BROTHER的偷窥成本费费急速的提升,另外一方面,在1990时期出现了很多起违反那时候候USA登录登陆密码进出口监管的案例,这一系列产品商品的小小故事都是从1991年6月Philip Zimmermann在互联在网络上公布了PGP数据信息数据加密程序的源代码,FBI对Philip进行了好多年的审讯,之后一名UCBerkeley的科学研究科学研究生以限制见解随便之名对US政府部门单位进行了提起诉讼,这一90年代著名的Bernstein v. United States案例最终导致了一九九八年判决打印出登录登陆密码提升优化算法的源代码所属于US宪法学学对见解随便的维护保养,之前的数次提起诉讼和判例也马上或者间接性性的让US政府部门单位放宽了登录登陆密码进出口监管,1990时期USA登录登陆密码监管马上由农田安全性性局担负,二零零一年以后,登录登陆密码监管早就放开,并且由商务接待招待部担负,它是抵御NSA在法律法规政策法规层面上的一次获得胜利。

    安全性性难点很多状况下都归结于信任难点,请大家思考一下无ZF实际现实主义为什么会怀着professional paranoia的心理状态去猜忌一切,其重要并不是信任NSA,而FSF和EFF所推动的随便手机上手机软件最新项目又吸引住住了很多的old school互联网网络黑客和一般顾客,其重要是信任,猜忌权威性性一直到今都是互联网网络黑客精神实质本质中的重要组成一一部分,就算Pekka从社会发展发展趋势学的工作中中伦理道德社会道德的层面上科学研究科学研究的结果也是如此,某哲人讲过:适当猜忌论是必不可少的,具体上安全性性威胁实体模型考虑到到NSA和设备机器设备供应商就是猜忌权威性性的体现。

    以往的20好多年里,FSF和EFF都不断的在告之大伙儿真实情况,但是大伙儿并没有把"真实情况"作为真实情况,而这种情况在二零一三年的Edward Snowden曝料了NSA的一系列产品商品恶心想吐想吐的偷窥本人个人行为后,所有全世界会进而造成一些变化,虽然不可易非常大,但也不会不大,在这里里一一篇文章里大伙儿尝试以无ZF实际现实主义的角度,在"后棱镜"的阶段性格况出来聊一些趣味性的小小故事,内容可能比较零散,聊到哪算哪吧:-)

--[ 1. 有很多宣言口号标语

    这一星体上早就存在了很多xxx宣言口号标语s,一般大伙儿提及“宣言口号标语"这一词的状况下全是有一种提前准备向外界公示公告一些见解,或者大伙儿称作是社会发展学或者心理状态的物件,或许对于生活起居在信息内容內容阶段的互联网网络黑客们无需关心过量的"宣言口号标语s",可是那么许多个宣言口号标语是尽量把握和弄清楚的,因为他们多多的少量的寓意着了大伙儿的社会发展学,甚至伤害了大伙儿探索本人人生道路路面具体实际意义的地面。

----[ 1.1 GNU宣言口号标语

  The best way to predict the future is to invent it.
                                                                                      Alan Kay

    GNU宣言口号标语是随便手机上手机软件运动健身健身运动的开展人RMS于198三年三月发布的,这一部宣言口号标语是一部里程数数碑式的恶变恶性事件,RMS在这里在其中描述了GNU最新项目( GNU's Not Unix)的整体总体目标是以纯粹的随便手机上手机软件替代UNIX,虽然GNU最新项目里的程序都能在UNIX上运行,但GNU系统软件手机软件实际上不一同于于UNIX(注:翻看UNIXv7被再次写过成x86综合服务平台的源代码,当时的UNIX的确是所有的手机上手机软件都装袋成一个distro接着发布,里面包括了关键,shell以及相关的*utils),在GNU宣言口号标语中RMS也提及了那时候候GNU最新项目的进度的情况,可用Lisp语言的Emacs撰写器,源代码级别的调整器(从时间表看理应就是GDB),兼容yacc的英文的英语的语法分析器,连接器和3五个专用型专用工具。

    RMS也提及了他的主观性要素是便于共享资源,不管怎样说,GNU宣言口号标语的确建立了以后的随便手机上手机软件社会发展学的很多内容,也是互联网网络黑客们在随便手机上手机软件制造行业的奥德赛之行的一开始,这悠久的旅途亲自亲身经历了快三十年直到今天持续出现了不计其数优异的随便手机上手机软件:GNU/Linux, GNUDebugger, GCC, GNU Lib C, GnuTLS, GNU Guile, EMACS, etc。从法律法规政策法规层面上,GPL( GNU Public License)在北美地区地域和欧州都遭到了法律法规政策法规的维护保养,有法律法规政策法规也是有判例,这也归功于无ZF实际现实主义中的像Eben Moglen那般的法律法规政策法规制造行业互联网网络黑客。在无ZF实际现实主义看来,iPhone和微软公司企业都是邪恶的手机上手机软件帝国,这一帝国尝试用看上去很帅的设计方案计划方案把一群傻瓜顾客拘束在数据信息全世界的监狱里,此外,从安全性性性和维护保养隐私保护维护的角度,运用iPhone和微软公司企业的产品也恩恩怨怨常不理智的,比如微软公司企业之前在win98中放置NSA的public key和iPhone应用店面里那600-700个简言之的受权管理方法应用在old school互联网网络黑客圈中其实不是秘密,甚至最极端化化的无ZF实际现实主义会感觉购买M$和iPhone的产品( windows, office, ipad,iphone, ishit)是为大大财团提供了科学研究科学研究各种各样各种各样"邪恶"最新项目(比如gene-modified food)的财产,行吧,它是另外一个小小故事了。

----[ 1.2 一名互联网网络黑客的宣言口号标语

"It's been a long long time,
I kept this message for you, Underground But it seems I was never on time Still I wanna get through to you, Underground..."

    这一section可能是很多安全性性制造行业的old school hacker们所掌握的内容,倘若觉得乏味请绕开;-)

    从运营经营规模性的出現来看,地底互联网网络黑客住宅小区是以198一年代造成的,Phrack和2600都是哪一个阶段的标识,就算到今天,很多人依然感觉Phrack是全世界上最好秀的地底电子器件器件杂志期刊刊物,具体上DNFWAH也是遭到了Phrack的启发而面世的,其实不是吗?

    19三十年代后半期,第一代互联网网络黑客们早已MIT糟踏着各种各样各种各样趣味性的设备机器设备,当然也包括无线网络互联网电方面的,在之后的三十半年度出現了一大帮电话飞客,也就是今天具体实际意义上的通信互联网网络黑客的本名,相关那一段历史时间時间可以参照一本重要的經典经典著作EXPLODING THE PHONE: The Untold Story of the Teenagers and Outlaws Who Hacked Ma Bell,大部分所有的old school hacker们全是本人个人收藏这一部书。

    亲自亲身经历了不计其数的hacking和抵御后,终于有一些年轻人觉得该总结一些物件了并且共享资源给所有住宅小区,198五年十一月1七日,Taran King和Knight Lightning开启了Phrack Issue 1,在之后的一年里不计其数的互联网网络黑客都是Phrack上共享资源了本身趣味性的hacking亲自亲身经历,时间一一转眼赶到198六年:

+------------------------------------------------------------------
| GNU最新项目按照标准的速度进行着,GDB公布发布,GCC正提早提前准备用C再次写过....
+------------------------------------------------------------------
| 因为毒刺和吹管,前前苏联入侵阿富汗陷入僵局.............
+------------------------------------------------------------------

    但这类恶变恶性事件都不是较大要的,从头开始刚开始戏是前期的玩Phreaking的电话飞客们一开始涉足计算机制造行业,这就是地底全世界传说故事小故事中的以后有一群既娴熟通信又娴熟*NIX系统软件手机软件的互联网网络黑客,抽着大麻,喝着啤酒,唱着随便手机上手机软件之歌,用着各种各样各种各样本身开发设计设计方案的能运行在各种各样各种各样具体实际操作系统软件手机软件(GNU/Linux, *BSD, Solaris, AIX, DEC-*, Windows, Macintosh)上的专用型专用工具对所有corenetwork进行着趣味性的"科学研究科学研究"......

    198六年九月份,Phrack Issue 7上发布了一篇全名是"一名互联网网络黑客的宣言口号标语"的文章内容內容,由一名叫The Mentor的年轻人所写,这一份宣言口号标语的具体实际意义在于他是完全立在本人(individual)的角度来诠释了被以后Pekka Himanen称作社会发展发展趋势学具体实际意义上的互联网网络黑客伦理道德社会道德,这也算地底互联网网络黑客住宅小区第一次发布的公布相关地底互联网网络黑客社会发展学的内容,向大伙儿呈现了hacking的主观性要素,选择hacking之途重要目的是便于不断的学习培训学习培训和演化,因为不一样地区(北美地区地域,欧罗巴,亚太地区地域,南美洲洲,etc)的地缘文化艺术造型艺术所寓意着的"标准型"乏味社会发展发展趋势一般给互联网网络黑客们不计其数的限制,这自然是互联网网络黑客们所反感的,因而地底精神实质本质(社会发展学)和不一样地区的标准型社会发展发展趋势时兴社会发展学的抵御从未停止过,互联网网络黑客要想的具体上十分简易,就是真实情况,至少在社会发展学层面上是那般,当然,在Aleph1在Phrack Issue 49公布了那篇震撼人心内心所有安全性性制造行业的大学毕业毕业论文Smashing The Stack For Fun And Profit的题型就具有很深的社会发展学性隐喻,Fun和Profit其实不是对立面面,而便于Profit而选择从hacker变为了security professional也不理应遭到见解,这2者的关系十分的相互中间:

*Fun,对于一些互联网网络黑客,hacking是性命的逐一一部分,倘若停止了hacking甚至他们无法存活出来,还还记得互联网网络黑客们都抵触乏味的社会发展发展趋势生活起居?对于安全性性制造行业的互联网网络黑客们在编写poc/exploit时没什么疑惑会体会到造物者创世时的快感,比吸大麻或者可卡因更有快感?;-)

* Profit,金钱,当然过重要,Whitehat为商业服务服务型而工作中中,那Blackhat呢?

==> 当然,不管whitehat还是blackhat都可以以能销售市场市场销售exploit或者干着地底的勾当;-) 因而少一些社会发展社会道德上的批判是适当的,其实不是吗?

Well,具体上上面的都不重要,重要是:倘若大伙儿

--> 唯一Fun的一一部分,太精神实质本质化了点吧,这无法让人们(业界)确信你真是一名real-life安全性性工程项目新项目师,更重要的是,这会缺失思索你与业界(全世界)的关系的机会,而我认为有益于本人探索人生道路路面具体实际意义。

--> 唯一Profit的一一部分,wow...这会更不绝人意,好似一堆会棍拿着一篇提案跑遍全世界一样,他们和dead walk(行尸之惧)并未过多区别。

    大伙儿相信真正的互联网网络黑客没什么疑惑是同时保持了fun和profit的一一部分并且有聪明伶俐去做一些平衡(trade-off),行吧,扯的有点儿儿远了,但大伙儿还是提前准备谈一谈从Phrack看安全性性制造行业的演化路线图来结束这一section,下面是Phrack从198五年的第一期到二零一三年的68期中Phrack撰写组的信息内容內容:

DATE        NAME                                        PHRACKZ
----------+-------------------------------------------+--------------------
 The Phrack Staff (p67..p68)
 The Circle of Lost Hackers (p64..p66)
 The Phrack Staff         (p57..p63)
 route                                        (p51..p56)
 route, Datastream Cowboy                     (p50)
 route, Datastream Cowboy, Voyager            (p49)
 Voyager, ReDragon, route                     (p48)
 Erik Bloodaxe                                (p42..p47)
 Dispater                                     (p33..p41)
 Crimson Death                                (p31..p32)
 Taran King + Knight Lightning                (p20..p30)
 Crimson Death                                (p18..p19)
 Shooting Shark                               (p17)
 Elric of Imrryr                              (p16)
 Taran King + Knight Ligthning                (p01..p15)

    198五年到1991年是Phrack也是地底全世界最狂热的出現的环节,在这里里一环节大部分分分互联网网络黑客一开始碰触赶到UNIX,并应用之前在电话飞客阶段的工作中工作经验和科学研究科学方法论一开始探索新的制造行业:计算机硬件配置配备,手机上手机软件和互连网,赶到1990时期早期,无ZF实际现实主义开展了Anti-Security movement(反安全性性运动健身健身运动),他们倡导把所有的安全性性信息内容內容都给完全发布,这也是Full Disclosure电子器件电子邮件文件目录面世的环节,在199三年有一群互联网网络黑客一开始把魅力放进了互联网的协议书书TCP/IP的科学研究科学研究上,另外一些人则再度具有挖掘栈的缓存文件区外流的开心,栈的缓存文件区外流在1996年的Morris搜索引擎蜘蛛散布中充足充分发挥了巨大的作用,90年代Thomas Lopatic发布了过去一大半年度在Bugtraq电子器件电子邮件文件目录中相关栈缓存文件区外流的科学研究科学研究,90时代Aleph1发布了那篇里程数数碑式的大学毕业毕业论文: Smashing the Stack for Fun and Profit,之后也出现了著名的标志符串文档文件格式化系统软件系统漏洞,这就是为什么二零零一年左右的编号会计财务审计都是那般做的;-):

-----------------------------------------------
grep strcpy *.c
grep –E –e ‘printf\s*\([^”]+[,\)]’ *.c
-----------------------------------------------

    也是有另外一件环节,Phrack在1990时期和二零零一年代的伤害力巨大而且爆光了很多生产制造商的系统软件系统漏洞,最终US政府部门单位在二零零五年强制性关闭了Phrack,因而EFF和FSF都投资跟US政府部门单位打官司,这期限内Steve Wozniak还冠名冠名赞助了一些花销,最终投诉取得成功,它是无ZF实际现实主义在北美地区地域的再一次获得胜利,这激励了在其他地区生活起居的互联网网络黑客们,2013年Phrack重开,2013年到现如今一共发布了5期,第六4期一定不能以错过了了;-)

    行吧,讲一个互联网网络黑客宣言口号标语扯了那麼一堆物件,希望你需要在学.....

----[ 1.3 一名电子器件器件朋克的宣言口号标语

May this night carry my will
And may these old mountains forever remember this night
May the forest whisper my name
And may the storm bring these words to the end of all worlds
                                                           Ihsahn, "Alsvartr"

    电子器件器件朋货品运送动是1990时期由美国数学课课家Eric Hughes等人开展的,Eric也是“一名电子器件器件朋客的宣言口号标语“的写作者,电子器件器件朋货品运送动的重要目的是便于保证本人在信息内容內容阶段的隐私保护维护难点,隐私保护维护和秘密其实不是一样的含义,隐私保护维护是一些不肯让所有全世界掌握的事情,而秘密是一些不肯让所有人掌握的事情,互联网网络黑客们感觉隐私保护维护对于一个对外开放对外开放社会发展发展趋势是尽量的,但如何保证信息内容內容阶段的隐私保护维护呢?回应还是和抵御NSA的难点一样:登录登陆密码学是最有效的方法。

    无ZF实际现实主义一直都不希望一切政府部门单位,公司和其他一切大中小型商业服务服务组织来尝试保证本人的隐私保护维护操纵权,因而包括FSF和EFF之内的组织致力于于于开发设计设计方案一系列产品商品的登录登陆密码手机上手机软件甚至硬件配置配备来维护保养隐私保护维护,Eric自身就是地球上上上第一个发布密名电子器件电子邮件共享系统软件服务的写作者,数据信息数据加密方面有一系列产品商品的专用型专用工具都是old school互联网网络黑客们最钟爱的包括:GnuPG,TOR,OTR这种。GnuPG是GNU最新项目中的在这其中一个随便手机上手机软件最新项目,重要是提供从1024到4096位的非对称性性数据信息数据加密和签名,这一最新项目大伙儿得感谢Philip Zimmermann和随便手机上手机软件个股股票基金会,这儿多讲2句,根据Snowden的曝料,1024位的非对称性性密匙早就很风险性了,因为就算是204八位也只十分于对称性性密匙在登录登陆密码学级别抗压强度抗压强度的12八位,具体上在PGP电子器件电子邮件应用中,old school互联网网络黑客们早就运用4096位(十分于对称性性密匙抗压强度抗压强度的256位)许多年了。

    电子器件器件朋客宣言口号标语中谈及了另外一个对于对外开放对外开放社会发展发展趋势十分重要的难点:尽量保证密名性。过去的很多个新时代迄今要保证隐私保护维护是无法的,但在信息内容內容阶段这变为了可能,可是进行密名性的重要关键还是在于登录登陆密码学习培训技术性,今天最获得取得成功的密名互连网Tor是由EFF冠名冠名赞助的最新项目,其面世也多多的少量的遭到了1990时期电子器件器件朋客宣言口号标语的伤害。再谈一点相关NSA为什么反感Tor?因为Tor自从最新项目开启后就准时的有探讨会,探讨的题目重要集中化化在“倘若大伙儿那般设计方案计划方案,NSA会怎样做?....倘若大伙儿那般进行,NSA会怎样日大伙儿?"。

----[ 1.4 一名微生物菌种朋客的宣言口号标语

    抵御NSA的提案看上去跟微生物菌种互联网网络黑客无关紧要,因为今天的主战场还是在信息内容內容技术性性制造行业,但为什么大伙儿还是聊一聊微生物菌种互联网网络黑客呢?因为微生物菌种互联网网络黑客和计算机互联网网络黑客的演化健身运动运动轨迹大部分如出一辙,连面世的物理学学位置都大部分一样,它是耦合?还是出現?计算机互联网网络黑客是19三十年代从MIT起源,之后散布赶到西海湾的UC Berkeley,之后伤害赶到欧州,之后全世界,微生物菌种互联网网络黑客的演化地貌图和计算机互联网网络黑客大部分如出一辙,这儿大伙儿只是给自己一个提醒:下一个抵御NSA的比赛场可能是微生物菌种制造行业,或许战争早就一开始。

    一名微生物菌种朋客的宣言口号标语是由现居荷兰的好看漂亮美女微生物菌种互联网网络黑客Meredith L. Patterson在二零一零年一月30日所写,这一份Manifesto的内容对于计算机互联网网络黑客来说十分非常容易掌握,互联网网络黑客伦理道德社会道德伤害的第一大制造行业当然是计算机制造行业,Creative Commons准许证作为类GPL在造型设计造型艺术制造行业的基因变异一直支撑点点着像Clearbits(当时的beta legal torrents)那般的造型设计造型艺术互联网网络黑客住宅小区的发展趋势发展趋势.但这一阶段性的状况毋庸提出质疑的偏重了高新科技高新科技,而能变更未来的三大高新科技高新科技就是AI, Biotechnology和Quantum Mechanics,倘若非要用Singularitarian的技术专业专业术语:G(enetic), N(anotechnology), R(obtics);whatever,所有的技术性性的方向都是朝着Strong AI进军.当然这一整个过程会亲自亲身经历许多个阶段,而这一阶段(2011--2022)则是微生物菌种高新科技高新科技商业服务服务创新的最后提前准备阶段,怪不可Bill Gates也在劝大家去科学研究科学研究molecular biology,微生物菌种互联网网络黑客至今的伤害力早就超过造型设计造型艺术互联网网络黑客,变为互联网网络黑客伦理道德社会道德马上伤害下的第二尺寸区.

    从James Weis的文章内容內容Biohacking: The Beginning of the Biological Revolution(微生物菌种hacking:微生物菌种改革创新的一开始)里能见到越来越越越大的互联网网络黑客一开始关注微生物菌种制造行业,在19三十年代面世于美国东海岸的MIT的互联网网络黑客伦理道德社会道德马上开拓了电子器件器件计算机改革创新的导致,在车库里进行趣味性hacking的当代性也一开始出现在了微生物菌种制造行业,互联网网络黑客们依据本身亲手来生产制造生产制造一些设备机器设备比如用于具体实际操作和拷贝DNA的开源系统系统软件的openPCR的成本费费早就降到了500美刀,而像DIYbio,Genspace和Biohack那般的微生物菌种互联网网络黑客住宅小区也一开始出现在了美国东海岸,互联网网络黑客伦理道德社会道德再一次的在非计算机制造行业中持续出现了不计其数的互联网网络黑客,过去的Cyberpunk变成了今天的Biopunk,今天的微生物菌种互联网网络黑客将会变为明天的技术性性界领导干部者,或许前期的互联网网络黑客Bill Gates的看法是适当的:“倘若你需要为全世界造成巨大的变化,就理应科学研究科学研究分子结构构造微生物菌种学。这一制造行业的科学研究科学研究也务必互联网网络黑客精神实质本质,而且将对大家导致一样长久的伤害。” 二十新世纪的物理学学习的快速发展趋势发展趋势让人类生产制造生产制造计算机硬件配置配备变为了可能,方法化系统软件手机软件则变为了大家设计方案计划方案手机上手机软件的房角石,但随着着抽象性性层(abstract layer)和交叉式式课程内容中耦合度的提高让人类在复杂系统软件手机软件眼下变成了弱智,大伙儿不能不从早就一般见识我不恨你的还原论社会发展学变为对整体论的思考,从Unix系统软件手机软件面世至今40年的整个过程中,大伙儿从计算机硬手机软件设计方案计划方案中获得了不计其数处理复杂性的工作中工作经验,这类工作中工作经验将将大家带向下一个当代性的转移---微生物菌种制造行业,愿高新科技高新科技之神太阳直射Alonzo Church,Alan Turing, John von Neumann的子孙后代子孙后代.....................

--[ 2. 大伙儿从Snowden的曝料中学到些什么?

    依据Snowden的曝料不一样的互联网网络黑客没什么疑惑会出現不一样的解读,大伙儿在这里里里重要以无ZF实际现实主义的本人和随便手机上手机软件住宅小区的角度来讨论自此次恶变恶性事件中学习到的物件,这一section有一些内容是参考了安全性性制造行业的大社会发展学家Bruce Shneier和随便手机上手机软件法律法规政策法规制造行业互联网网络黑客Eben Moglen的访谈提案:斯诺登,NSA和随便手机上手机软件。Bruce Schneier确信不能详尽详细介绍了,这儿顺便提一下Eben Moglen是美国加拿大高等院校法律法规政策法规及法律法规政策法规史权威专家专家教授,随便手机上手机软件个股股票基金会权威专家会组成员及义务顶级法律法规政策法规资询咨询顾问,手机上手机软件随便法律法规政策法规管理方法管理中心开创人及新任现任主席,在"棱镜"恶变恶性事件以后,Eben以Snowden and the Future为提案有一系列产品商品的探讨会,有兴趣爱好喜好的朋友可以看看。

----[ 2.1 NSA在你的威胁实体模型里 - 运用登录登陆密码工程项目新项目

    很多人说不care很多埋伏的安全性性性的难题,甚至许多人确信AES是毫无疑问安全性性的,在安全性性制造行业当听到“毫无疑问”这一词时你得去思索了,它是professional paranoia基本的心理状态,当然,在绝大部分情况下AES还是是安全性性的,但倘若你的威胁实体模型中有NSA呢?不是是务必再度来鉴定下这一对称性性数据信息数据加密系统软件手机软件选型的难点?

    虽然曝料看得出到NSA的所做所做就跟硬奇异小说集里勾勒的一样,就算如此NSA没什么疑惑还是有成本费费限制的难点,NSA也务必一大群工程项目新项目师来开展这种巨大的工程项目新项目,合理的假设理应是"NSA会出現一些大伙儿不知道道道的登录登陆密码技术性性",信息内容內容的不正确称是客观性性存在的,过去的好多年里NSA都掌握随便手机上手机软件住宅小区在干些什么,但大伙儿十分少掌握NSA在干些什么,从这一角度,或许大伙儿理应感谢Snowden在某类水准上解决了这种信息内容內容的不正确称。

    另外一方面,自动式化攻击综合服务平台是NSA的必不可少武器装备武器装备,原因十分简易,就算是NSA也不可能随便在街道上寻本人并且能短时间间把他们训练成old school互联网网络黑客,old school互联网网络黑客在这里里里重要指这种娴熟*NIX系统软件手机软件,互连网(互联网和电信网网网),反方向工程项目新项目技术性性,登录登陆密码学,C/ASM的编号会计财务审计等最低层技术性性的人。

    为什么登录登陆密码学十分是端到端的数据信息数据加密是抵御NSA的有效方法呢?因为从曝料的内容来看,登录登陆密码学本身无法攻破,NSA其实不是在数学课课层面上具有优势,而很多的是依据盗取私钥,假冒资质资格证书和采用其他非登录登陆密码学方法来做到这种污秽的目的。甚至在对Google监控的案例中,NSA也没有破解从顾客浏览器到Google互联网网络服务器的数据信息数据加密数据信息信息内容,因为Google默认设置设定运用了消费者端SSL/TLS认证,但NSA获得取得成功的监控了Google数据信息信息内容管理方法管理中心正中间的流量,可能是因为成本费费难点Google并没有在数据信息信息内容管理方法管理中心的数据信息信息内容传输中放密。不管从什么角度,登录登陆密码学仍然是最好的抵御NSA的方法之一。

----[ 2.2 信息内容內容安全性性生产制造制造行业标准的腐化难点

    Dual_EC_DRBG(双椭圆)是一种伪随意数转换成器,在2012年时被NIST建议可作为国际性性运用,仅许多个月以后便会有些人注重这可能是NSA的边门,安全性性制造行业的大社会发展学家Bruce Schneier在2013年也确立明确提出了明确提出提出质疑,Snowden在曝料一连串"Big Brother"的全球管控计划方案后,RSA公布建议顾客终止应用 Dual_EC_DRBG(solidot的中文报道),这一恶变恶性事件也伤害赶到随便手机上手机软件住宅小区,十分是OpenSSL和GnuTLS的进行,OpenSSL在二零逐一年的FIPS操纵控制模块当中加上了Dual_EC_DRBG,GnuTLS的libnettle和Mozilla-NSS并没有DUAL_EC_DRBG的进行。

    在这里里个难点上Bruce感觉实际上并不是所有的安全性性标准都存在安全性性安全性安全隐患,他感觉AES仍然是安全性性的,大伙儿无法将Dual ECC的难点怪罪于安全性性标准的制定流程,进行更为重要,国际性性手机上上标准的登录登陆密码提升优化算法A5/1并没有NSA的报名参加,但客观性客观事实确认安全性性性存在很较为比较严重的难点,安全性性标准的难点的关键在于不是是有公众的报名参加,要想保证安全性标准不可易腐化,尽量有不一样类型的人的报名参加,网编感觉得有随便手机上手机软件的狂热分子结构构造,社会发展学性的无ZF实际现实主义以及像Bruce那般的山参加。

----[ 2.3 甚么专用型专用工具大伙儿可以信任?

    从顾客的角度,GnuPG, Tor, OTR都是可以信任的,从开发设计设计方案者的角度,OpenSSL,GnuTLS是可以信任的,因为这类随便手机上手机软件最新项目的报名参加者们有一些是security/crypto paranoia,他们的daily bread就是思考NSA会如何攻击这类最新项目,从设计方案计划方案和进行的角度,很多随便手机上手机软件都十分十分好。

----[ 2.4 互连网战:不可以能避免的狗屎

    一些人问Bruce当NSA看喜欢你呢怎样办,Bruce感觉倘若作为本人被NSA这种级别的机构看上大部分无计可施。这可是十分APT啊;-) 回到主题风格,互连网战会结束吗?大部分无法,倘若在我国间的抵御社会发展学都感觉是要营销推广定义的话,具体上最后相互全是变为遇害者。在这里里种状况下不是是大伙儿越来越越没有希望呢?Bruce对于这一的见解倒是挺积极主动积极的:"社会发展发展趋势的发展趋势是因为大伙儿勇于去思考这种unthinkable的事情,接着20,三十年以后每个人全是说那么就是个十分好的idea,当然这会务必较长的时间,但尽量得有一个一开始。"

--[ 3. 随便手机上手机软件的解决方案计划方案

Bruce Schneier感觉随便开源系统系统软件手机上手机软件比闭源然就更安全性性。依据2个基本的缘故:

1,一切人都可以以以阅读文章文章内容源代码
2,无法置入边门

    大伙儿大概无需那么的忧虑(但其实不不是忧虑)NSA会往像linux关键,GCC,Glibc,OpenSSL这类基天性的随便手机上手机软件中置入边门。根据爆光的文字文本文档表明,NSA具体上是极端化化不愿意冒一切风险性性,NSA十分不愿意被爆光,因而NSA一般会选择"安全性性"的方法去行动,NSA时刻都是思索着他们的规范:“孟子干错事干万别被逮到。”,而随便手机上手机软件住宅小区有很多old school互联网网络黑客以往的20好多年中为不计其数的最新项目都做编号会计财务审计和commit review,这也是为什么要给编译程序程序器置入边门其实不是易事。

    而很多企业消费者在运用硬件配置配备小小盒子产品(传统式式三层状况防火安全安全性墙, IDS/IPS, UTM,NGFW, etc)也遭受了史无前例的安全性性安全性安全隐患,很多硬件配置配备盒产品在部署许多年都没有升級规范,甚至都没有升級已发布系统软件系统漏洞的补丁下载免费下载,一些商业服务服务生产制造商便于推销产品商品产品而耳濡目染了一些歪斜确的观念给消费者:部署了硬件配置配备小小盒子就"安全性性"了,这一基本的关键核心理念完全违反了old school安全性性规范:

安全性性其实不是:

安全性性其实不是安装一堆防火安全安全性墙
安全性性其实不是一个产品或者服务...( by Bruce Schneier)
安全性性其实不是一个产品,仅仅一个持续不断的整个过程...( by Bruce Schneier)
安全性性会计财务审计其实不是"扫描仪仪一堆端口号号"

安全性性是:

安全性性是考虑到到"你可以以没有伤害业务流程步骤的情况下组织不被入侵吗?"
安全性性是最缺乏的防御力将变为你的欠缺点
安全性性便是你隶属企业的资源(机器设备和人)的风险性性管理方法方式,务必技术性技术专业技术专业专业技能,时间管理方法方式,实
施成本费费,数据信息信息内容备份数据数据信息/修补的一系列产品商品流程
安全性性是关乎整个过程,科学研究科学方法论,成本费费,防范措施和人
安全性性是考虑到到"一些人能社工进入公司并且访问计算机,电脑硬盘和磁带..."
安全性性是24 * 7 * 365...持续不断..并且决不停止

    过去的2年里,越来越越越大的企业管理方法方式层意识赶到这种硬件配置配备小小盒子实际上不可以解决真正的难点,这儿还得注重的是具体上这种硬件配置配备小小盒子里运行着很多随便开源系统系统软件手机上手机软件(linux关键, snort, surricata, BRO, l7, etc)但很多生产制造商基本上没有为住宅小区有一定的无私奉献。真正的企业安全性性是得靠聘用old school互联网网络黑客们在平常的工作中中流程中持续不断的去改进,当然,时兴市场销售销售市场宣传策划方案策划"小小盒子全能型论"和无法找寻合适的old school互联网网络黑客是2件事情;-)

    立在随便手机上手机软件可用者的角度,大伙儿其实不是感觉这种硬件配置配备小小盒子不要看关键,仅仅务必其他的一些构成。Design for failure是没法怎奈现状下的唯一具体发展趋势方位,商业服务服务小小盒子加上开源系统系统软件方案计划方案的构成其实不不是可以,那般可以把没安心的一一部分相互之间cover一下,它是一种过重要的方法;大家因该严苛严格把关注点从“小小盒子”,“产品”,“技术性性”很多往实处落,怎样设计方案计划方案,怎样开发设计设计方案,怎样配置?没有这类重要点,都是夸一夸其谈!而随便开源系统系统软件住宅小区和old school互联网网络黑客们在这里里方面给大家搞好了很多基本。

    此外一方面,随便开源系统系统软件手机上手机软件可以为中小型型企业极大的降低成本费费,比如说构造结构加固互联网网络服务器的规定,随便开源系统系统软件手机上手机软件的解决方案计划方案可以十分快速的运用iptables/snort/psad/tcpwrapper/apparmor/openssl/apache搭建出系统软件手机软件层面的构造结构加固方案计划方案,而WEB层面还能够借助像DJANGO的实质规范以及mod_security来进行。

----[ 3.1 信心的飞跃

    行吧,大伙儿讲了一大堆,具体上上面的内容实际上不象听上去的那么靠谱,或许你也觉得听上去也不怎样靠谱?:-)

    客观性客观事实上沒有人能保证100%的安全性性,没有本人或者公司有工作中工作能力去会计财务审计他们运用的所有手机上手机软件的源代码,就算让你无穷的资源也无法下定自信心去那麼干,MIT的CS第一门课程内容內容就告之了未来的monkey-coder们,程序撰写从本质上是一个信心难点,即Leap of faith(信心心的飞跃),这一词常被社会发展学术界用于描述跨越本质界和情况界的差别的唯一方法,回到主题风格,倘若程序员A在写程序F时要要引进库H,但H也是由程序员B所编写,那麼你一直在写程序时就务必完全的信任B。但为什么A会信任B所编写的程序H?因为大伙儿干了code audit?或者便是大家信任某随便手机上手机软件住宅小区之前干了仔细的review?倘若都不信那麼就得A亲自去做code audit,倘若编号多到libreoffice这种级别呢?倘若BOSS要求A尽量在一个月内开展开发设计设计方案,那A仅有不得已的信任B所编写的库H,最终A开展了信心的飞跃。倘若是运用GCC,你需要是许多给自己点信心心,克尔凯郭尔会猜忌GCC吗?;-)

--[ 4. 完毕语

    随便手机上手机软件运动健身健身运动,电子器件器件朋货品运送动和地底安全性性全世界,这看上去三个完全不相干重要的群体却有着互相的社会发展学状况:互联网网络黑客伦理道德社会道德,或者马上叫互联网网络黑客精神实质本质吧。是互联网网络黑客精神实质本质把这几群人聚集在了一起,他们是来源于于不一样制造行业的互联网网络黑客,但他们全是有一个互相的并且强悍的敌人:NSA。

    此次没有硝烟的战争还会继续再次持续出来,确信NSA还是会不断的给随便手机上手机软件住宅小区造成"额外"的工作中中量,运用随便开源系统系统软件方案计划方案实际上不寓意着着就一定安全性性,一个随便开源系统系统软件手机上手机软件不是是安全性性取决于住宅小区的活跃性性水准,报名参加者的编号会计财务审计的水平,从企业运用开源系统系统软件方案计划方案的角度,编号review+audit也是尽量的,更重要的是务必对信息内容內容安全性性管理方法方式流程进行"构造结构加固",更... ...更重要的是,得心怀感恩感恩回馈住宅小区,唯一翠绿色绿色生态链的成形才能够保证很大水准的安全性性性。

    二零一三年,Snowden恶变恶性事件确认了FSF和EFF基本上没讲过过谎,随便手机上手机软件住宅小区从未如此强悍过,刚结束的30C3上也聚集不计其数的互联网网络黑客商讨抵御NSA的方案计划方案,17年有可能能变成地底精神实质本质重回的年里....

May the L0rd's hacking spirit guide us!!!

--[ 5. 感谢

    最开始感谢过去几十大半年度与NSA抵御的互联网网络黑客们,没有大伙儿也不会出現今天的一切,也感谢Phrack好多年来的写作者们,没有Phrack,old school圈中很多人或许不可易进入安全性性制造行业,Phrack Issue 63的intro也提及:"As long as there is technology,there will be hackers. As long as there are hackers, there will bePHRACK magazine. We look forward to the next 20 years",甚至地底精神实质本质最好的体现就是Phrack本身。

    感谢诸多小伙子伴们的宝贵提议和调节拼读歪斜确,感谢的人排名分不清楚先后:deftsp,LittleFater, phreaker, Robin Lee, Samson, Mike Bai, 修练中的鱼儿,yazhouli, Yifan Jiang, 百由服务生, Tom Li。

--[ 6 - References

Hacking Secret Ciphers with Python

inventwithpython/hackingciphers.pdf

Bernstein v. United States

en.wikipedia.org/wiki/Bernstein_v._United_States

Bruce Schneier and Eben Moglen: Snowden, NSA and free software

schneier/blog/archives/2013/12/eben_moglen_and.html

Snowden and the Future

snowdenandthefuture.info/

The GNU Manifesto by RMS

gnu.org/gnu/manifesto.html

Hacker's Manifesto by _The Mentor, Phrack Issue 7

phrack.org/issues.html?issue=7&id=3&mode=txt

A Cypherpunk's Manifesto by Eric Hughes

w2.eff.org/Privacy/Crypto/Crypto_misc/cypherpunk.manifesto

The Many Flaws of Dual_EC_DRBG

blog.cryptographyengineering/2013/09/the-many-flaws-of-dualecdrbg.html

Trends in Cyber Security by Dan Geer

geer.tinho.net/geer.nro.6xi13.txt

Anarchism Triumphant: Free Software and the Death of Copyright

old.law.columbia.edu/my_pubs/anarchism.html

[原文中由FB写作者citypw原创,转截请标出出處。via ]

原文中写作者:, 转截请标出来源于于

# 互联网网络黑客 # Aaron Swartz # NSA 被以下本人个人专辑百度搜索百度收录,发现很多精彩纷呈纷呈内容 + 盈利我的本人个人专辑 开展很多

点评

按时间排序

请登录/申请办理申请注册后在FreeBuf发布内容哦

相关明显强烈推荐

关 注

0 文章内容內容数 0 点评数 0 关注者 请 / 后在FreeBuf发布内容哦

相关新闻

湖南长沙微信小程序—竹山网站模版一般需要多

...

日期:2021-02-13 浏览次数:154

商洛企业官网建设—微信公众平台号怎么制作投

手机上入门机手机微信互连网互联网网络投票主题风格设计风格主题风格主题活动是第三方根...

日期:2021-02-07 浏览次数:174

商城系统开发建设网站—小程序开发有限责任公

手机上手机微信手机微信微信小程序开发设计设计方案设计方案计划方案比较较为比较有限企...

日期:2021-02-02 浏览次数:124

自助建站快速建站方法—签约中清融达实业有限

义务编写: /各种各样各种各样工程项目新项目最新项目基本建设新项目主题风格设计风格主...

日期:2021-01-27 浏览次数:93

易强建站为何免费—凡科互动

制作一款吸引住住住人的主题风格设计风格主题风格主题活动,可使大家的这一点在同行业业...

日期:2021-01-25 浏览次数:141