Linux
干货集散地

英美澳施压 要求Facebook停止端到端加密计划

小狸猫阅读(3054)

近年来,跨数字平台的端到端加密已经日渐普及。但是对于监管机构来说,这也为他们的调查取证和执法行动带来了极大的麻烦。近日,美国、英国和澳大利亚政府共同签署了一封公开信,要求 Facebook 停止在其所有平台上推行端到端加密计划,且矛头直指该公司首席执行官马克·扎克伯格。

据悉,这封公开信来自美国司法部长 William Barr、代理国土安全部部长 kevin McAleenan、英国内政大臣 Priti Patel、以及澳大利亚内政部长 Peter Dutton,呼吁 Facebook“不要继续在其消息传递服务中实施端到端加密的计划”。

三国政府仍对强加密措施表示支持,因其认识到在银行和商业等处理服务中使用加密技术的必要性。与此同时,他们也指出了端到端加密通讯的弊端,尤其是妨碍执法机构对儿童剥削等不法行为的司法打击。

信中写到:“企业不应有意采用这类系统设计,以排除针对任何形式的内容访问、防止甚至阻碍重罪的调查。这样会严重削弱企业对不法内容和活动的管控,使公民和社会面临更大的风险”。

其实早在 2016 年的时候,WhatsApp 就已经因为率先部署端到端加密而遭到政府代表的抨击。比如英国内政大臣 Amber Rudd 就在 2017 年表示,其并不希望这类应用平台成为恐怖分子的交流场所。

2018 年底的时候,澳大利亚政府通过了一项有争议的反加密法案,迫使一加私营企业打造新的拦截功能,以免政府无法完全访问任何通信数据。

澳政府声称这并不是开后门,但安全专家称这只是文字游戏,此举仍会削弱端到端加密的基础,双方矛盾从根本上就难以调和。

作为一家致力于公民数字权益的非盈利组织,电子前沿基金会(EFF)称这封公开信无异于“一项旨在破坏数十亿人使用的通信工具的安全性和隐私性的惊人尝试”。

今年 3 月,扎克伯格发表了一篇评论,其中概述了 Facebook 的愿景。尽管其曾经无视过隐私概念,但后来还是转向了致力于为更多人提供私密性的加密服务。

运维从业人员如何留住健康

小狸猫阅读(1512)

相信大家已经注意到了,运维人员的大部分时间都花在电脑桌前工作,这会损害运维人员的健康。其实不需要多么复杂的养生,你只需每天做一些小小的改变,就可以摆脱病痛、保持健康。下面介绍一下我的一些经验给大家。希望对大家有所启发。

动静结合、经常变换姿势

虽然站立桌、昂贵的椅子和一些基于人体工程学的玩意的确很酷,哪怕LINUS(linux创始人)都在踏步机前工作,而事实上你并不需要这些。

关键是要变换姿势,如果你保持一个姿势数个小时不活动,你的脖子在数天后疼痛是必然的。每15分钟站起、坐下、跳、蹲下、活动一下手脚、放松一下眼睛;每小时变换一下姿势;每天走一走,爬一些楼梯,保证你的健康会得到很大的改善,关节的僵硬和肌肉的疼痛都会得到缓解。

我个人拥有一个电动站立式办公桌, 每个小时我都变换一下姿势。而且我设置一个程序来提醒我每15分钟做一个小休息,每个小时做时间较长的休息。对于MAC操作系统而言,有个“Time out”应用非常好,在windows上,我一般采用“Big Stretch Reminder”。

锻炼、正确的锻炼

锻炼是改善健康最好的方法之一,但是必须用正确的方法锻炼。首先要确保不要在无用的事情上浪费时间。

跑步真的适合你吗?

跑步被广泛当作一种锻炼方式,其实并不适用于所有人。在决定通过跑步来锻炼以前,你需要确认两件事情:

1、你的身体状态足以满足跑步锻炼所需,一个严酷的事实是大部分运维人员达不到跑步锻炼所需的身体条件。
2、 跑步锻炼需要掌握正确的跑步姿势和跑步方法。

不正确的跑步姿势极有可能损伤背部和膝部。如果想跑步锻炼,请先确保体重不要过大,学习正确的姿势和方法,以慢速跑和短距离跑开始练习。所有超过5公里的跑步练习都是过度的,最好是不要以跑步来锻炼(对长期缺乏锻炼的运维人员而言)

不要到健身房健身

其实你已经意识到了健康的重要性了,从你办了健身卡、买了健身装备都能看出来,可是,你到底去了多少次健身房呢,可能都是少之又少吧,其实大家都明白,花钱购买这些健身设备和卡,主要是为了实现自己内心的“圆满”。

另外,高强度的健身方式适用于有意保持健美外形或有意取得某种特定目标的职业人士。通常,高强度训练不适合运维人员们。

我们都有自己的职业目标和适合自己的使命,所以就不要玩健身了嘛。没有效果,还会出现太多疼痛和受伤。因而,健康的运维人员不需要高强度健身。

应该步行健身

步行比跑步和其他的方式更好。步行简单、安全而且有效。我每天步行5-10公里,这个习惯将会给我们的健康带来很大的改善。请买双薄鞋底的好鞋子(仔细看好,不要买仿制经典篮球鞋)开始步行锻炼吧!

如果感到太单调,跑步时可听听音乐或者听听电子书。边学习边锻炼,多么充实!

持续的坚持

你开始步行锻炼了?如果开始了,就要坚持下去。

不要三天打鱼,两天晒网,每天运动量不宜过多,不要以为今天的过量运动能弥补昨天的偷懒,任何的锻炼,要保证效果,都是长期、持续坚持才能实现的。

如果你坚持不了,那其实不建议你去健身,因为偶尔过量的运动还会伤害你的身体。

运维人员们花了太多时间坐在电脑前,可能都忘记怎么运动了。建议从头开始,但不需要任何额外的器材,你只需要在视频网站上搜索运动操视频,然后跟着一起运动即可。

当你的运动变得自然平稳,当你走路柔软得像老虎,当你的身材正在变得优雅,这就是我们想要的效果,此时,大部分疼痛都将离你而去。我建议以下简单的辅助练习:

俯卧撑、下蹲、引体向上和桥式运动。使所有事情简化而不是复杂化。
设定小的目标,百分之百关注在动作技巧上。如果你有兴趣,请阅读一些相关书籍, 书中还是有很多智慧技巧能帮助我们进步的。

睡眠

最后,我必须指出的是优质睡眠。大家知道,但却实践的少。使你自己在一个结实的床垫上度过一整晚。不要在晚上还盯着电脑或者手机和平板,至少保证睡前一小时不使用这些电子产品。10点上床,6点半起床,你就是个快乐运维人员!

Mozilla Firefox开始默认阻止网络跟踪器运作

小狸猫阅读(1322)

Firefox
现在将默认阻止数千个网络跟踪器,保护用户免受网站,分析公司和广告商跟踪攻击。这一变化应该加快浏览器的速度并使用户的网络习惯更加私密,同时减少广告商的推向入侵。但
Mozilla 并没有像苹果公司在几年前为 Safari
添加类似功能时采取的做法,苹果浏览器默认阻止几乎所有第三方跟踪器,而不仅仅是在黑名单中收集的已知跟踪器。

苹果的方法进一步保护用户隐私,但也可能意味着用户更加头痛。通过积极阻止 Cookie,苹果浏览器可能会破坏某些网站的用户体验。

Mozilla 试图通过仅阻止已知的跟踪器而不是所有 cookie,一位发言人表示,该公司发现阻止所有 cookie
导致一些网站可能无法正常运行。任何想要更多保护的用户都可以进入 Firefox 的设置并进行更改跟踪阻止设置从默认的“标准”选项
到“严格”选项。

从今天开始,默认情况下,所有新 Firefox 用户都将启用跟踪器阻止功能,并且它将成为未来几个月内已经使用 Firefox
用户的默认设置。虽然 Firefox 在阻止跟踪器方面并不是领先者,但它仍然领先于谷歌的 Chrome
浏览器,而谷歌的浏览器刚刚开始涉足限制跟踪的功能。

研究人员发现能逃避杀毒软件检测的Linux后门

小狸猫阅读(1458)

安全公司 Intezer 的研究人员披露了一种正被利用发动针对性攻击的 Linux 后门,它能逃避几乎所有杀毒软件的检测。被称为 HiddenWasp 的恶意程序包含了特洛伊木马、rootkit 和初始部署脚本。

文件时间戳显示它是在上个月创造的。感染 HiddenWasp
的计算机被发现已经感染了相同攻击者的其它恶意程序,显示它是作为感兴趣目标的后续攻击使用的,能够上传下载代码,以及上传文件,执行多种指令。研究人员的分析显示,HiddenWasp
的部分代码借用自物联网僵尸网络恶意程序 Mirai,部分代码与 Azazel rootkit 和 ChinaZ Elknot 有相似之处。

U盘仍是企业计算机安全风险的主要威胁

小狸猫阅读(1301)

一份最新报告显示,尽管云存储兴起,87%企业仍在使用USB驱动器。加密驱动器制造商Apricorn的研究表明,58%的公司和组织不使用端口控制或白名单软件来管理USB设备的使用,而26%的用户不使用基于软件的加密。

此外,只有不到一半的组织(47%)要求对存储在USB驱动器上的数据进行加密,但是有91%的员工表示公司要求他们必须使用加密的USB驱动器。

Apricorn最新这份调查显示,只有不到一半的组织(47%)制定了USB驱动器丢失/被盗政策,而2017年这一比例为50%。53%的被调查者声称他们的组织没有适当技术来防止或检测将机密数据下载到USB驱动器上,而Apricorn在2017年的调查显示,54%的人声称他们的组织确实拥有这些技术。

该报告还暗示,云存储也不是万灵药。对将最敏感数据迁移和存储到云上,超过一半(57%)的公司和组织存在信心不足的问题。Apricorn认为,考虑到当今企业面临安全威胁的数量、复杂程度和严重程度日益增加,雇主必须为员工配备安全的USB驱动器,以防止发生严重破坏性的数据泄露。尽管现在90%的员工使用USB设备,但近60%的雇主未能使用端口控制或白名单软件来管理USB设备使用,这一事实令人震惊。

Siri被曝私下录音用户敏感谈话内容 苹果回应

小狸猫阅读(1254)

苹果语音助手 Siri 被曝录音用户谈话,包括但不限于性接触、医患交谈、毒品交易等内容,并将隐私的音频内容发送给 Siri
的国际承包商,用以改善 Siri。对此爆料,苹果立即做出回应,向媒体解释称:这些录音只是用于改善 Siri
的听写功能,而且这些发送给国际承包商的录音没有记录用户的 Apple ID(脱敏数据)。

苹果强调,这些录音用户不到 Siri 日活的 1%,而且大多数录音内容仅持续几秒钟。

换言之苹果承认了 Siri 录音一事,但坚称录音影响不大。

不过此番表态似乎有所保留,据外媒采访苹果承包商时得到的信息显示,这些录音行为没有排除用户无意中触发 Siri 的情况,它们可能最终无意中听到用户可能从未希望记录的对话。而且这些录音拥有可以识别的用户详细信息。

承包商表示:“工作没有太多的审查,我们可以自由查看的数据量似乎相当广泛,识别你正在听取的录音对象也并不困难,尤其是误触发情况的内容包括了姓名、地址等信息。”

而此事的爆料人更为直接地向媒体表示:“无数的录音都是医生和患者之间的私人讨论,商业交易,疑似犯罪交易,性接触等等。这些录音附有显示位置,联系方式和应用数据的用户数据。”

有史以来最先进、功能最全面的移动监视软件Monokle或产自俄罗斯

小狸猫阅读(1470)

研究人员发现了一些有史以来最先进、功能最全面的移动监视软件。自 2016 年 3 月以来,这种被称作 Monokle 的 Android
应用程序就已经被发现。据说 Monokle 由俄罗斯国防承包商开发,旨在帮助该国情报机构干预 2016 美总统大选。安全研究机构 Lookout
发布的一份报告称,Monokle 使用了几种新式手段,包括修改 Android 可信证书存储区,可通过互联网 TCP
端口、电子邮件、短信或电话通信下达指令和控制网络。

更令人意想不到的是,Monokle 提供了离线监控功能,即便在互联网连接不可用的情况下,该软件也能够正常工作。下面是 Lookout 披露的 Monokle 的完整功能:

  • 检索日历信息,包括事件名称、时间、地点等描述;
  • 针对 HTTPS 流量和其它受 TLS 保护的通信的中间人攻击;
  • 收集 WhatsApp、Instagram、VK、Skype、imo 的帐户信息和检索消息;
  • 通过短信或指定的控制电话发送关键字(控制短语)和接收外带消息;
  • 将短信发送给攻击者指定的号码;
  • 重置用户密码;
  • 录制环境音频(并可制定高 / 中 / 低音质);
  • 拨打电话;
  • 通话录音;
  • 检索流行办公应用的文档文本;
  • 拍摄照片、视频和截图;
  • 记录包括手机解锁 PIN 码在内的密码;
  • 检索加密盐,以帮助获取存储在设备上的 PIN 码等密码;
  • 接受来自一组指定电话号码的命令;
  • 检索联系人、电子邮件、通话记录、浏览历史记录、帐户和相应的密码;
  • 获取包括品牌、型号、功率级别、Wi-Fi 或移动数据连接、屏幕开启或关闭等在内的设备信息;
  • 若设备已开启 root 权限,Monokle 可以 root 身份执行任意 shell 命令;
  • 追踪设备位置;
  • 获取附近蜂窝基站信息;
  • 获取已安装应用列表;
  • 获取附近 Wi-Fi 详情;
  • 删除任意文件;
  • 下载攻击者指定的文件;
  • 重启设备;
  • ● 卸载自身并删除受感染手机中的所有痕迹。

基于对某些 Monokle 样本的分析,Lookout 研究人员猜测还有针对苹果 iOS 设备开发的 Monokle 版本。

开发者可能无意中将某些 iOS 控制代码添加到了 Android 示例中,可针对密钥字符串、iCloud 连接、Apple Watch 加速度计数据、iOS 权限、以及其它 iOS 功能或服务。

之所以将这类恶意软件称作 Monikle,是因为它包含了所谓的 monokle-agent 组件。尽管目前 Lookout 研究人员尚未发现任何 iOS 样本,但其认为它们可能正在开发过程中。

Lookout 研究人员认为 Monokle 与圣彼得堡的 STC 公司有特殊的联系,时任美国总统奥巴马曾对这家俄罗斯国防承包商施加过制裁,理由是其涉嫌干预 2016 美总统大选。

有线索表明,Monokle 与 STC 的控制服务器有连接,且后者的加密证书被用于该恶意软件的样本签名。此外,Monokle 的复杂性表明,其背后或有政府力量在提供暗中支持。

Lookout 还举了 PegASUS 这个例子,这款由以色列开发的针对 iOS 和 Android 设备的强大间谍应用程序,曾于 2016 年被用于对抗阿联酋的不同政见者、并于今年被再次用于英国律师。

Lookout 安全情报高级经理 Christopher Hebeisen 在接受 ArsTechnica 采访时称,我们又一次见到了有国防承包商来生产一种用于监视移动设备用户的高度复杂的恶意软件。

Lookout 指出,这样的行为,会对移动设备造成极高的被攻击风险。不过研究人员也发现,Monokle 被伪装成了极少数的应用程序,表明该监视工具是专门为攻击有限数量的特定人群而开发的。

根据 App 的名称和图标,Lookout 列出了 Monokle 潜在攻击目标的一些特征 —— 某教信众、居住在东欧高加索和附近地区、对一款名叫 UzbekChat 的消息应用程序感兴趣。

其表示,大多数应用程序都被打包进了合法的功能,以防止用户对这款恶意软件产生怀疑。

Mozilla被提名英国“互联网恶棍”奖

小狸猫阅读(1453)

Mozilla Firefox 是目前最流行的浏览器之一。很多用户喜欢它胜过 Chrome 就是因为它鼓励隐私保护,并且可以通过一些选项设置让你的互联网活动尽可能地私密。

不过最近推出的功能之一 —— 仍然处于测试阶段的 DoH (DNS-over-HTTPS) 功能却受到了英国互联网服务提供商行业协会的负面评价。

英国互联网服务提供商行业协会Internet Services Providers Association(ISPA)决定将 Mozilla 列入 2019 年“互联网恶棍”奖的最终入围者名单。该奖项将在 ISPA 于 7 月 11 日在伦敦举行的颁奖典礼上进行颁发。

为什么说 “Mozilla” 是 “互联网恶棍”?

ISPA 在他们的声明中表示,Mozilla 因为支持了 DoH(DNS-over-HTTPS)而被视为“互联网恶棍”。
@mozilla 被提名为 #ISPA 的 #互联网恶棍 是因为他们试图推行 DNS-over-HTTPS 以绕开英国的内容过滤系统和家长监护模式,破坏了英国 #互联网 安全准则。 https://t.co/d9NaiaJYnk pic.twitter.com/WeZhLq2uvi
— 英国互联网提供商行业协会 (ISPAUK) (@ISPAUK) 2019 年 7 月 4 日

和 Mozilla 一同被列入最终入围者名单的还有欧盟《版权法第 13 条》和美国总统特朗普。ISPA 在他们的声明里是这样解释的:

Mozilla:因为试图推行 DNS-over-HTTPS 以绕开英国的内容过滤系统和家长监护模式,破坏了英国互联网安全准则。

欧盟《版权法第 13 条》:因为要求各平台使用“内容识别技术”,威胁到了线上言论自由。

美国总统特朗普:因为在试图保护其国家安全的过程中,为复杂的全球通信供应链带来了巨大的不确定性。

什么是 DNS-over-HTTPS?

你可以将 DoH 理解为,域名解析服务(DNS)的请求通过 HTTPS 连接加密传输。

传统意义上的 DNS 请求是不会被加密的,因此你的 DNS 提供商或者是互联网服务提供商(ISP)可以监视或者是控制你的浏览行为。如果没有 DoH,你很容易被 DNS 提供商强制拦截和进行内容过滤,并且你的互联网服务提供商也同样可以做到。

然而 DoH 颠覆了这一点,可以让你得到一个私密的浏览体验。

你可以研究一下 Mozilla 是如何开展和 Cloudflare 的合作的,并且可以自己配置一下 DoH(如果需要的话)。

DoH 有用吗?

既有用又没有用。

当然了,从事情的一方面来看,DoH 可以帮助用户绕过 DNS 或者互联网服务提供商强制的内容过滤系统。如果说 DoH 有助于满足我们避开互联网审查的需求,那么它是一件好事情。

不过从事情的另一方面来看,如果你是一位家长,而你的孩子在 Mozilla Firefox 上使用了 DoH 的话,你就无法 设置内容过滤器 了。这取决于 防火墙配置 的好坏。

DoH 可能会成为一些人绕过家长监护的手段,这可能不是一件好事。

如果我这样的说法有问题,你可以在下面的评论区纠正我。

并且,使用 DoH 就意味着你没办法使用本地 host 文件了(如果你正用它作为广告拦截或者是其它用途的话)。

总结

你是如何看待 DoH 的呢?它足够好吗?

你又是如何看待 ISPA 的决定的呢?你觉得他们这样的声明是不是在鼓励互联网审查和政府对网民的监控呢?

我个人觉得这个提名决定非常可笑。即使 DoH 并不是所有人都需要的那个终极功能,能够有一种保护个人隐私的选择也总不是件坏事。

在下面的评论区里发表你的看法吧。最后我想引用这么一句话:
在谎言遍地的时代,说真话是一种革命行为。(LCTT 译注:引自乔治奥威尔)

如何在Ubuntu 19.04中安装Shutter截图工具

小狸猫阅读(1537)

Shutter 是我在 Linux 中最喜欢的截图工具。你可以使用它截图,还可以用它编辑截图或其他图像。它是一个在图像上添加箭头和文本的不错的工具。你也可以使用它在 Ubuntu 或其它你使用的发行版中调整图像大小。FOSS 上大多数截图教程都使用 Shutter 编辑。

虽然 Shutter 一直是一款很棒的工具,但它的开发却停滞了。这几年来一直没有新版本的 Shutter。甚至像 Shutter 中编辑模式被禁用这样的简单 bug 也没有修复。根本没有开发者的消息。

也许这就是为什么新版本的 Ubuntu 放弃它的原因。在 Ubuntu 18.04 LTS 之前,你可以在软件中心,或者启用 universe 仓库来使用 apt-get 命令安装它。但是从 Ubuntu 18.10 及更高版本开始,你就不能再这样做了。

抛开这些缺点,Shutter 是一个很好的工具,我想继续使用它。也许你也是像我这样的 Shutter 粉丝,并且想要使用它。好的方面是你仍然可以在 Ubuntu 19.04 中安装 Shutter,这要归功于非官方 PPA。

在 Ubuntu 19.04 上安装 Shutter

我希望你了解 PPA 的概念。如果不了解,我强烈建议阅读我的指南,以了解更多关于什么是 PPA 以及如何使用它。

现在,打开终端并使用以下命令添加新仓库:

sudo add-apt-repository -y ppa:linuxuprising/shutter

不需要再使用 apt update,因为从 Ubuntu 18.04 开始,仓库会在添加新条目后自动更新。

现在使用 apt 命令安装 Shutter:

sudo apt install shutter

完成。你应该已经安装 Shutter 截图工具。你可从菜单搜索并启动它。

删除通过非官方 PPA 安装的 Shutter

最后我以卸载 Shutter 以及删除添加的仓库来结束教程。

首先,从系统中删除 Shutter:

sudo apt remove shutter

接下来,从你的仓库列表中删除 PPA:

sudo add-apt-repository --remove ppa:linuxuprising/shutter

你或许还想了解 Y PPA Manager,这是一款 PPA 图形管理工具。

Shutter 是一个很好的工具,我希望它能被积极开发。我希望它的开发人员没问题,他/她可以找一些时间来处理它。或者是时候让其他人分叉并继续让它变得更棒

Ubuntu 17.10将于8月24日进入冻结阶段 最终版于10月19日发布

小狸猫阅读(2737)

Ubuntu 基金会团队最新简报中宣布,Ubuntu 17.10 操作系统依然需要投入大量的人力来进一步完善,尤其是桌面系统从 Unity 迁移至 GNOME Shell 上。不过从最近开发进度来看,Ubuntu 17.10 将于 8 月 24 日也就是两周内进入功能冻结阶段。

功能冻结意味着 Canonical 不再为系统引入新的功能、新的 package,也不会对系统进行其他的重大调整。进入该阶段之后会将工作的重心转移到 BUG 修复方面,因此需要得到社区的帮助来寻找和修复 BUG。Ubuntu 17.10 的首个 Beta 版本将会在本月底也就是 8 月 31 日发布。

除了 Ubuntu 17.10 系统桌面环境重大调整之外,默认搭载 GNOME 环境,并且后台也会发生重大调整,迁移至最新的 Python 3, GCC (GNU Compiler Collection) 7 和 Perl 5.26 技术。

Canonical 在最新的 Ubuntu 基金会团队简报中写道:“Python 3 的迁移过程还在继续,artful-proposed 中支持版本列表中已经加入 Python 3.5 版本。”此外 Canonical 还承诺在 Ubuntu 17.10 最终版中默认搭载 Perl 5.26 and GCC 7,最终版本有望在今年 10 月 19 日发布.