5分钟注册美国区Apple ID(19年4月测试有效)

前两天帮公司一美女注册美国区apple ID,原来以为很容易,没想到现在苹果各种限制,注册难度比以前大了很多。网上找到的很多所谓教程要么就过时了,要么就是复制粘贴。以下是本人实测有效的步骤,分享给有需要的朋友。

我都是手机操作,实际上电脑肯定也是可以的,只要能把上网环境切换为"美国"。

Step1: 准备工作,上网环境切换为【美国】

  1. 手机的语言改为英语,region改为united states,保险一点把时区也改成美国的
  2. 手机,找一个靠谱的那种方式上网工具(你懂的),选择美国节点。
  3. 为了确保是美国环境,找一个ip地址验证的网站,如https://whatismyipaddress.com/ 看一下,显示的ip地址是否united states。如果不是,更换节点

Step2: 开始注册,创建ID

  1. safari打开 appleid.apple.com (看一下网站右下角地区是否米国,不是则切换为米国)
  2. 选择,create a new apple id
  3. 按步骤填写信息,记住密码保护问题,下次登陆的时候可能要你回答
  4. 有可能要verify email,切记,收到email以后,也要在当前一样的上网环境下打开,如果当前用的是手机,那就不要用电脑打开。特别是当前网络是美国状态,如果电脑上打开不是这个状态,可能影响成功率
  5. Apple id创建完成了,不代表注册完成!接下来可能需要重新登陆 activate id。那就重新登陆,如果是收到email,注意事项同上

Step 3: 完善账户信息

  1. safari打开 appleid.apple.com,登陆上面创建成功的apple id。可能会问你密码保护问题
  2. 登陆以后,点击 payment&shipping。
  • Payment选择none
  • 填写美国地址,到google map上搜一个真实地址,填上去就可以
  • 麻烦的是填写手机号码。到 Temporary SMS and Disposable Numbers 这个网站可以提供一个美国/加拿大的虚拟手机号码,可以收到短信验证码。选择一个,然后填写上去,不需要写美国的国家代码 +1。有些号码可能被用烂了,会提示invalid phone number,换一个
  • 上述步骤完成以后,确认。账号注册就算基本成功了

Step 4: 最后验证账号,大功告成

  1. 打开手机上的app store。如果之前是中国区账号登陆过,先双击home键,删掉应用列表中的app store
  2. 在美国区的app store里面,随便选择一个免费app下载。然后会提示让你登陆,选择use an existing apple id
  3. 输入注册好的账号,会提示this apple id has not yet been used in the itunes store。点击 Review
  4. 点击review以后,进去确认terms and conditions,然后一路确认。
  5. 然后切换到app store随便下载一个免费app
  6. 大功告成!


最后:账号注册完了,肯定想买点啥宝贝。我不能只管起飞,不管降落是吧。在此补充一下。payment=none,是无法再绑定中国区信用卡/PayPal的。要下载收费app有两个办法:

1/ 某宝买美区gift card充值。

2/ 找墙外的朋友代购,具体做法就是在app下载界面有gift app选项,让他付钱以后发送给你的apple id。你收到邮件点击下载链接就可以直接下载安装了。

温馨提示:碰到问题的朋友建议再重新试一遍,梳理一下操作逻辑。每一步操作的目的是什么先搞明白,再去分析可能是哪个环节出问题了。一般来说都是网络环境的问题(特别是梯子质量)。我只是个人用用,无法确保各种情况都考虑到。因此,给我发私信,一般来说我也帮不上忙。我知道的都写在帖子里了。

WhatsApp認遭資深黑客攻擊 籲全球15億用戶更新 (2019-05-14 10:12)




通訊程式WhatsApp承認,一批資深黑客透過他們軟件的漏洞攻擊,向某些特定用戶遙距安裝監控程式,未知有多少人受影響。WhatsApp表示,他們已在上周五(11日)公布軟件更新程式,呼籲全球15億用戶盡快更新。

英國《金融時報》早前報道,有黑客透過一個由以色列公司開發的間諜程式「Pegasus」,用WhatsApp致電某些特定用戶,即使對方沒有接聽電話,間諜程式也能借軟件漏洞在對方手機遠距安裝監控程式,且在成功安裝後,有關通話記錄會自動消失。

涉事以色列公司公司發聲明,強調他們開發的程式僅供執法機構打擊犯罪及恐怖主義,事件與公司沒有關係。聲明又稱公司將會調查任何涉及濫用有關軟件的情況,如有需要將採取行動,包括關閉有關軟件系統。

(英國廣播公司)

中国进入人类历史没有过的数字极权时代

来源与全文:http://blog.creaders.net/u/3843/201905/347679.html


  信息传播等新科技不仅没有成为瓦解专制者的利器,反而成了专制者巩固统治的法宝。短短十来年,竟有了这样一百八十度的大逆转,权力者谋局布阵,摆脱了短暂出现的被动局面,不仅重新掌握了管控信息的垄断权,更初步建搭起监控所有国民的体系框架


  老高按:曾记否,互联网和移动信息工具兴起之初,让挑战专制极权的人们何等惊喜地欢呼!他们仿佛看到了突破信息封锁、突破言论钳制、澄清谎言、还原真相的曙光,并憧憬着从这里打开缺口,瓦解靠"两杆子"防卫得固若金汤的堡垒,推动中国走向宪政转型。
  这是反抗专制者的"中国梦"。事后看来,他们实在过于天真了。这个"中国梦"虽然比习近平的"中国梦"美好百倍,却很快就破灭了。
  互联网络和移动媒体既然是工具,己能用,彼亦能用。世上有了矛,势必会有盾;魔高一尺,道高一丈;魔高十丈,道高百丈。专制者拥有庞大财力、人力和强大的资源动员能力,他们一边挥动"中华民族富强"大旗以鼓舞人心士气,一边通过各种基金项目大把砸钱,双管齐下聚集起甘愿供其驱使的科技、知识精英。很快就谋局布阵,摆脱了短暂出现的被动局面,不仅重新掌握了管控言论、信息的垄断权(当然,任何时候都会有漏网之鱼),更初步建搭起监控所有国民的体系框架。这个体系,我曾经形容为:"无微不至,无远弗届,无孔不入,无所不包",如今框架庶几完成,今后就是不断完善、精准、延伸、消灭死角而已。奥威尔的《一九八四》、王力雄的《大典》等寓言小说、《少数派报告》《国家公敌》(Enemy of the State)等科幻、惊悚电影所描绘的情景,在中国已经成为现实。
  信息传播等新科技不仅没有成为瓦解专制者的利器,反而成了专制者巩固统治的法宝。短短十来年,竟有了这样一百八十度的大逆转,我们应该从中得到不少启示。
  数年来,这个问题是我博客的主题之一,曾经转发过至少十多篇警醒和探讨这一问题的文章,我写的按语,大概都达万字了。今天在纽约时报中文网上读到洪振快的文章《在中国,当数字革命遇到极权主义》,转载如下。在这种数字极权主义之下,挑战专制者注定了挑战-失败-再挑战-再失败-直至灭亡的悲剧命运吗?


  在中国,当数字革命遇到极权主义

  洪振快,纽约时报中文网 2019年5月8日

1557333219596163.jpg

  视频显示北京的人工智能公司旷视科技正在使用面部识别系统软件。 Gilles Sabrie for The New York Times

  公众如果想了解中国的监控系统装备状态,最好的观察地点之一是北京天安门。这个区域历来是政治敏感地带,安全级别高。如今,这里已被特别分隔开来,进入该区域需要特别的安全检查,核实个人身份;除了随处可见的警察,还有密布的监控摄像头。随着"六四事件"发生30周年的临近,该区域的监控可能更加严密。
  天安门一带的安全保障,是中共管控中国社会的一个缩影:每个人的一举一动都在严密监视之下。最近,中国官方印发文件,提出在2019~2022年间超高清视频产业发展行动计划,目标是"提升监控范围、识别效率及准确率,打造一批智能超高清安防监控应用试点"。这反映出中国政府在监控民众上的野心。传统的人盯人监控是旧式极权主义,而利用最新数字化技术、人工智能则是新式的数字极权主义。
  1949年中共夺取政权之后,建立的是一套党国极权体制,其特征是文革中公开宣扬的"东西南北中,党政军民学,党是领导一切的"。所谓"领导",实际上就是控制,控制一切,包括控制个人的行为和思想,毛泽东时代就是如此。1978年开始的改革开放,尤其是1980年代提出的政治体制改革设想,使中共的统治从极权转变为威权。但不幸的是,这个进程被1989年的"六四"事件所打断。尽管如此,之后推行的邓式市场化改革,还是使民间掌握了更多的财富,个人自由增加,中国社会逐渐正常化,中共对社会的控制也被弱化。

GreatFire 新项目曝光苹果在中国实施的审查




GreatFire 开启新网站,揭示苹果与中国政府互联网审查合作的程度,该国阻止访问西方新闻来源,尤其是那些有关人权和宗教自由的信息,苹果帮助该政权屏蔽了可以绕过该国普遍存在的在线监控的隐私增强应用程序。

新网站 AppleCensorship.com 允许用户通过 Apple 的应用商店检查中国人无法访问哪些应用,表明已被禁止的应用。它是由 GreatFire.org的研究人员创建的,该组织负责监督中国政府的互联网审查。

2017 年底,苹果公司向美国参议员承认,它已从中国的应用程序商店中删除了600多个VPN,这些应用程序允许用户逃避审查并绕避在线间谍活动。但该公司从未透露它删除了哪些特定应用程序 — 也没有透露其在中国专制政府的要求下从其应用程序商店中撤出的其他服务。

除了数百个 VPN 应用程序外,Apple 目前还禁止其在中国的用户下载新闻机构的应用程序,包括纽约时报、自由亚洲电台、西藏新闻和西藏之声。它还阻止像Tor和 Psiphon 这样的审查规避工具; Google的搜索应用和 Google地球也被阻止;一个名为 Bitter Winter 的应用程序提供有关中国人权和宗教自由的信息,也被阻止;以及由西藏中央管理局运营的应用程序,提供有关西藏人权和社会问题的信息,同样被阻止。

其中一些禁令过去曾被媒体报道,但许多禁令从未成为新闻头条。 GreatFire.org的联合创始人 Charlie Smith 告诉 The Intercept,该组织有动力推出这一新项目,因为"Apple 对其应用程序商店中的审查透明度很低。大多数开发人员发现他们的应用程序在中国流量下降并试图找出存在的问题后就会受到审查。我们希望为这些审查带来透明度。"

Smith 表示,该网站仍处于早期开发的测试阶段,并补充说,直到现在,要确切地检查Apple从世界各地的应用商店中删除了哪些应用并不容易。例如,他说,"现在我们可以看到美国应用程序商店中排名前100位的VPN应用程序在中国应用程序商店中都无法使用。"

Smith 说,"现在我们可以看到美国应用程序商店中排名前100位的VPN应用程序在中国应用程序商店中都无法使用。

自由亚洲电台发言人 Rohit Mahajan 告诉 The Intercept,去年12月,苹果通知该组织,其中一个应用程序已从中国的应用程序商店中删除,因为它不符合"中国的法律要求"。 "据我们所知,没有任何投诉的选择," Mahajan 说。

自由亚洲电台总裁 Libby Liu 补充说,"关闭可靠的外部新闻机构途径是一种损失 — 不仅仅是对我们而言,更有对于那些依赖我们的报告和更新的数百万人而言。我希望西方公司致力于西方的价值观。"

苹果发言人拒绝解决中国特定应用程序的删除问题,但指出了该公司的应用程序商店审查指南,其中称:"应用程序必须遵守您提供这些应用程序的任何地方的所有法律要求。"发言人说Apple 在下一份透明度报告中计划发布有关政府要求从其应用商店中删除应用的信息。

中国政府希望西方公司在允许其进入该国利润超过8亿互联网用户的市场之前做出让步。这些让步包括遵守执政的共产党全面的审查和监视。近年来,中国政府不断加强了镇压力量。例如,它引入了一项新的"数据本地化"法律,迫使所有互联网和通信公司将中国用户的数据存储在中国大陆 — 使中国当局更容易获取用户的隐私数据。

根据数据本地化法,Apple 同意与国有的中国电信达成协议,以控制和存储中国用户的iCloud数据。 Apple 声称它保留了对数据加密密钥的控制权,确保中国政府无法访问人们的照片和其他私人信息。但是,人权组织仍然高度关切。国际特赦组织此前曾表示,"通过将其中国iCloud服务移交给当地公司而没有足够的保障措施,中国当局现在可以不受限制地访问所有Apple中国客户的iCloud数据。苹果明明知道这一点,但尚未向中国客户发出风险警告。"

苹果首席执行官蒂姆库克(Tim Cook)将自己视为"用户隐私的捍卫者"。在去年10月的一次演讲中,库克宣称,"我们苹果认为隐私是一项基本的人权。"目前还不清楚库克如何调和这种言行不一 — — 苹果从其在中国的应用商店中删除隐私增强软件,这有助于确保国家政府能够继续监视其公民并打击一切对手。库克似乎认为遵守中国的审查和监督是值得的妥协?

关联:揭穿苹果谎言《声称"给你隐私"但不给你自由:看 Apple 如何把玩文字游戏

NEW SITE EXPOSES HOW APPLE CENSORS APPS IN CHINA: AppleCensorship, allows users to check which apps are not accessible to people in China through Apple's app store, indicating those that have been banned.

济南,新的互联网审核之都


来源:记者站     

文:磊子   


  从地理位置上看,头条在东,一点凤凰在西,人民网在中,多家审核平台与在济南的传统媒体一样,已形成了东、西、中的格局。

  审核团队的大举入驻,一方面吸引了不少传统媒体人的加入,另一方面也吸引了很多山东的高校毕业生——如果毕业就能加入国内知名的互联网公司,即使不是核心部门,对自己来说也是很好的提升和锻炼,何况几百上千个审核岗位,还是很值得一试的机会。

  1

  3月中旬,《济南日报》以头版标题的形式刊载了一条新闻:济南市委书记王忠林到访人民网,双方签署战略合作协议,同时宣布落户济南的人民网信息技术有限公司成立。人民网总裁叶蓁蓁表示,将于济南开展战略合作,"建设共商、共建、共享、共赢的内容审核平台"。

  这个协议的核心是:人民网将在济南建立新的内容审核平台。

  在人民网的业务构成中,审核是极为核心的板块,人民网公告显示,其第三方内容审核业务收入2018年同比增长达166%,成为公司所有增长单元中增长幅度最高的业务板块。

  把这么重要的业务放入济南,人民网下了大决心。公开信息显示,人民网信息技术有限公司位于济南市市中区绿地中心,法人是潘健。人民网网站的"高管团队"介绍中显示,潘健现任人民网党委委员、副总编辑,曾兼任人民日报媒体技术股份有限公司副总经理。据知情人士透露,济南市中区也提供了包括提供办公场地在内的多项优惠政策。

  人民网不是第一家在济南设立审核平台的互联网公司。在此之前,已经有一点资讯、凤凰网、最右等多家互联网公司的审核队伍落户济南,济南地区审核编辑岗的总人数已经接近5000人。我们看到的新闻、文章、视频、图片、段子等内容,有很大一部分会先经过济南,再呈现到我们面前。

  可以这么说——济南,正在成为新的互联网审核之都。

  2

  2015年投入使用的济南报业大厦位于槐荫区西客站附近,是济南西部的地标建筑。每天早晚,不少行色匆忙、悬挂胸牌的年轻人在这里进出,他们中的大部分并不是报社的编辑记者,而是互联网公司的审核编辑。

  凤凰网新闻监控中心和一点资讯审核部门都坐落在这里,且人员不少,其中凤凰网占一个楼层,一点资讯占两个楼层。

  早在2016年7月,凤凰网新闻监控中心就正式宣布落户济南,与济南日报报业集团签约,入驻济南报业大厦。这应该是最早把审核平台放在济南的知名互联网公司。

  同样位于济南东部的东环国际广场还有"最右APP"的审核团队,这是一个针对年轻人的搞笑段子社区,总部在北京,在业内也算较有名气。

  人民网审核平台位于济南市市中区的绿地中心。这里位于市中心黄金地段,是目前的济南第一高楼,高层可远眺千佛山,俯瞰大明湖、五龙潭、趵突泉,山、泉、湖环绕。从这里乘车15分钟,是山东电视台。

  从地理位置上看,头条在东,一点凤凰在西,人民网在中,多家审核平台与在济南的传统媒体一样,已形成了东、西、中的格局。

  审核团队的大举入驻,一方面吸引了不少传统媒体人的加入,另一方面也吸引了很多山东的高校毕业生——如果毕业就能加入国内知名的互联网公司,即使不是核心部门,对自己来说也是很好的提升和锻炼,何况几百上千个审核岗位,还是很值得一试的机会。

  济南某高校新闻专业的老师透露,很多新闻系毕业生可能不会把审核岗位当做首选,但是在找到更心仪的工作前,或是考研备考前去实习,还能拿到不错的报酬,也是大家乐意的选择。在头条实习过的一个毕业生表示,这里的团队氛围还是非常好的,年轻人的确是很受锻炼,"不过这个工作的确流动性非常快,我们班毕业之后大概有6名同学去做审核工作,目前还在职的只有一名了。"

  3

  一位山东的资深媒体人表示:"把审核团队放在济南,其实是相当划算的安排。"

  首先,济南市大学林立,这里有山东大学、山东师范大学、济南大学、山东财经大学、山东政法学院等50多所高校,应届毕业生生源极为充足。其次,山东人踏实认真,岗位匹配度高,从房租和薪资水平来看,济南相比北京可以说是相当实惠。此外,济南和北京高铁不到2小时,往返总部也比较方便。如果再算上当地给的一些优惠条件,对于非核心业务,把团队放在这里就非常合算。

  还有一点是,山东人有踏实肯干的传统,据业内人士透露,即便是在人员流动比较快的审核领域,这里的流动也是相对慢一些的。

  然而为什么是内容审核业务,而不是别的配搭?还是要说说山东人的传统。 

  齐鲁大地,虽然有世界知名的德州(不是德克萨斯)、滨州(不是宾夕法尼亚)、东营(不是东瀛)三地,但是受儒家文化影响深远,山东人对政治、官员、体制之热衷,全国都名列前茅。

  山东人多、官多,这已经是全国都认可的"刻板印象"。当公务员、进体制内、进国企,这是老一辈山东人的标准人生。所以在多个版本的《山东人返乡指南》里都会写到,如果谁家孩子在北京工作却没有当上公务员,那在长辈看来,基本上就是混瞎包了。连带在山东吃饭的宾主座次图,都成了自媒体写作的好素材,很少有人意识到,主陪主宾严格的座次,正是山东人注重规矩的社交表达。

  有媒体调查表明,在最关心时政新闻的省份里,山东、北京、广东高居前三。凤凰网的一项调查也显示,相对其他省份,山东用户对国家大事最为关注。2016年山东省新闻出版广电局发布公众阅读状况调查结果是,山东居民最喜欢阅读的内容是时政类新闻。

  关心新闻的另一个证明是,这里有最密集的新闻媒体。

  外地媒体人不可想象的是,济南一地现存的报纸数量远远超过大多数省会,山东手机报的订阅量高居全国前列,其他如闪电新闻、齐鲁壹点、新时报、爱济南、海报新闻、速豹新闻、山东24小时等新闻app呈现多强竞争的局面,相比某些只有一个新闻客户端的城市,很难想象这里能容下这么多客户端,并且,还不算各家媒体下属的新闻网站。

  这样的媒体氛围,可遇不可求。

  和山东人在一起吃饭,如果你对一方政局一无所知,那将就会是个尴尬的局面。因为在场的山东人聊天,都会围绕官员的升迁和大政展开。一般的对话都是这样:

  "xxx在x市干的不错啊听说。"

  "是不错,不过二把手好像跟他不对付,俩人有点矛盾。"

  "那个二把xxx,之前不是调走了吗?"

  "还没有,据说还没正式批"……

  你最次也得知道公务员考试注意事项,或者省里事业单位最新发了多少精神文明奖金,才能勉强跟上大家的话题。你要是想聊聊艺术或者其他,对不起,大家会很奇怪地看着你。

  毕竟在山东,连小孩子都知道"新旧动能转换"这个词儿。

  4

  接纳互联网公司,还因为山东着急。

  2019己亥年春节刚过,正月初七第一个工作日,山东就召开了主题为"担当作为、狠抓落实"的动员大会,省委书记刘家义发表讲话,提出要大胆使用电视剧《亮剑》中"李云龙式的干部"。

  就在一年前,山东也曾召开动员大会,省委书记刘家义坦言:"如果山东的发展方式涛声依旧,产业结构还是那张旧船票,就永远登不上高质量发展的巨轮"。

  在这篇信息量极大的讲话中,刘家义明确敲响了"山东落后了"的警钟。

  彼时,很多媒体都用"山东终于承认落后了"的标题,报道来自山东的焦虑。而今年,媒体的措辞已经变成"山东着急了"。

  还有一个重要的细节是,2018年的这次会议上,刘家义还感慨过山东原创互联网公司的数量,他的原话是:"全国互联网企业百强我省只有2家,排名都在60名以后,滴滴打车、支付宝、微信红包等具有超前引领作用的创新模式,都没原创在山东。"

  不光是大的互联网公司,山东作为全国经济体量第三的省份,即使是二三线的原创互联网公司也都很少见,这和其在全国的经济地位是很不匹配。

  对济南来说,同样着急。

  衡量一个省会城市的"首位度",一般通过计算"省会城市GDP"除以"非省会城市中GDP最大的城市GDP"来观察。副省级的济南作为省会,也有同样面临首位度不高的问题:GDP长期排名省内第三,居于青岛、烟台之后。2017年,济南的省会首位度为0.65,在全国27个省会城市首位度中仅次于南京,排名倒数第一。

  2017年2月,时任山东省委常委、济南市委书记王文涛就直言:"作为省会,济南也面临着尴尬的境地。

  2018年,济南市的GDP终于超越了烟台,跃居省内第二位。2019年,莱芜并入济南,被很多媒体认为是山东打造强省会的标志动作,新济南的省会城市首位度终于超过了南京。打造强省会地位的济南,自然要对互联网公司伸出橄榄枝,吸引大批互联网公司入驻,无疑是提升城市软实力的名片。对于互联网公司来说,人力资源充裕,地方条件优惠,把队伍拉到这里,何乐不为?

  互相吸引,互相借力,一切都是时势使然。对于济南来说,一个媒体大格局固然已经到来,这座城市的互联网故事,却是刚刚开始。

不願受中國政府控制 Netflix產品長:暫不進軍中國市場

影音串流平台Netflix。   圖:翻攝自Radio Times
影音串流平台Netflix。   圖:翻攝自Radio Times

影音串流平台Netflix,近期致力於開發台灣、香港、南韓等亞洲市場,Netflix產品長皮特斯(Greg Peters)日前接受《中央社》訪問時表示,因為中國政府會控制媒體與傳播平台,所以Netflix短期內沒有進軍中國市場的打算。

皮特斯在受訪時提到,Netflix希望可以創造出讓觀眾有共鳴的故事,因此,他們提供多樣化的內容,無論是與台灣或中國團隊合作,或是製作日本動畫片和南韓喪屍片,最終的目標都是要走向世界,而影視業的發展需要市場支撐,中國因為擁有龐大的市場,所以往往被像是南韓等影視產業發達的國家,視為重要的出口市場之一,但皮特斯卻指出由於中國政府對媒體和傳播平台通常擁有控制權,Netflix近期內沒有計畫投入中國市場。

雖然Netflix對於進入中國市場,抱持較保留的態度,且目前中國消費者仍無法直接使用Netflix帳號,需要「翻牆」連上境外網站的虛擬私人網路(VPN)或代理伺服器(proxy)才能觀看影片。皮特斯強調,Netflix仍會努力開拓中國市場,其實,早在2017年,Netflix就曾與中國影音平台愛奇藝合作,讓部分創內容透過愛奇藝能夠在中國播出,此外,他們也和中國團隊打造原創科幻片「流浪地球」,上映不到10天,就在全球獲得超過新台幣150億元的電影票房。

【图说天朝】默安科技 “翻墙行为态势监测”

默安科技网站:https://www.moresec.cn/

3月13日,网传一张来源不详的图片,该图显示国内某部门正在进行"翻墙行为态势监测"的有关工作(疑似默安科技所在地),图片放大后左下角有"幻阵"字样,经检索为"默安科技"所开发的"网络攻击欺骗与威胁检测系统"。图片右下角"加密通道态势感知"一栏下列有"VPN"图标以及疑似的自由门logo。

图片来自网络 来源不详

该图右方被马赛克屏蔽(但"伙伴"两字露出),经中国数字时代编辑搜索发现,被屏蔽内容有较大可能为默安科技公司logo:

在""的"幻阵——攻击欺骗与威胁检测系统"产品介绍部分,其宣称该产品可部署于运营商的业务环境,具备对目标"网络身份和指纹信息识别、取证和溯源"的功能。

2018年1月2日,中国移动对"默安科技"团队于"第十九次全国代表大会和第四届世界互联网大会乌镇峰会期间提供的网络安全保障服务",给予肯定和感谢。

2018年4月3日,"默安科技"圆满完成"两会"信息安全保障工作

2018年11月20日,"默安科技"获得"国家信息安全服务资质证书"。

翻墙?隐私?今天聊聊VPN的那些事儿



三年前斯诺登泄密事件揭露的东西,从安全的角度看对互联网服务提供商来讲并没有太多的帮助,甚至可以说做的有些过火。同时也模糊了反恐政策的概念。

而当新闻爆出像NSA的Vulcan数据库或者它的Diffie-Hellman策略时,任何一个网络隐私主义者看过了都会心中发颤。突然间似乎每个人都需要重新评估下某些网上用于保持隐私的工具——VPN。

传统VPN简介

VPN(虚拟专用网络),这款工具通常用于混淆用户的IP地址,或在用户进行WEB浏览时增加一层安全保护。它会把你的流量转到加密且安全的VPN服务器上。

不同的人使用VPN的目的也不同,有些人可能是用它来改变自身的IP地址,这样就可以获取一些其他地域的媒体内容,或者能匿名下载一些东西。还有的人希望以此规避广告商的网络追踪,或者防止盗用WIFI后的负面影响,甚至只是为了在他们访问特定网站时隐藏真实的IP地址。

然而VPN的质量也是参差不齐的。事实上某些存在问题的VPN会让用户的安全更加脆弱。某些VPN是禁用了torrent下载的,还有些会记录下信息,跟踪上网行为,或者按照当地的法律对数据进行保留。

去年我开始尝试整理一份好的VPN列表,虽然网上已有不少类似的VPN清单,但是通常都充斥着附加内容链接,很难确认其准确性。

这份VPN比较图表,里面概述了VPN业务流程、日志记录、服务配置和其他特性。但它存在矛盾策略,并误导读者,声明各类的服务是100%有效的。但其实大部分内容是从真实的VPN网站导入的,这就意味着可能会混入一些错误信息。

几个月的研究后,笔者的尝试都失败了。所以现在笔者仍然不能推荐一组安全的VPN列表给大家。相反的是,研究结果刷新了笔者对目前VPN的三观。当涉及到日志记录的时候,评估可行性和验证准确性也不是件容易的事,所以,我觉得与其给大家一个简单的列表,还是提供一些指导方针更加靠谱,让大家自己了解在本年度哪些VPN是有效可用的。

VPN不是用来匿名的

关于VPN的一个常见的误读是:它们会给大家提供匿名功能,即使是针对民族主义者。但是,安全研究员Kenneth White表示:

"如果政府对目标进行专门的监测追踪,VPN是不足以做到这一点的。"

事实上,VPN声称的会给提供用户匿名性,是"不可行的,不负责的,或者两者兼备的"。DNSleaktest.com的站长Jeremy Campbell在邮件里告诉记者:

"为了实现匿名去使用公共VPN是非常愚蠢而危险的,无论服务配置的有多么安全,匿名技术本身并没有在这里实现。VPN服务要求你信任他们,但匿名系统本身是没有这个属性的。"

White没有坚持完全放弃VPN,但是他警告说它应该作为一个辅助工具,而不是一个隐私的解决方案,他表示:

"相反,像专门的隐私工具如Tor浏览器之类的(里面可能包含了信用良好的VPN),那就是可以使用的。它们不仅实现了匿名化属性,而且浏览器已经进行了大量定制,以实现网络隐私的最大化(比如弱化了cookie、Flash、Java插件等特征)。"

Tor分布式网络,会尝试在多个中继传输流量来实现匿名。但其实它也很难进行核实,没有人知道Tor这样是否能够获得百分百成功。Tor浏览器最近受到了美国国防部的瞩目,这只会强化这种担心。某些批评者认为,Tor会让人们更容易依赖过时版本的Firefox,但这些东西都不能保证是万无一失的。

Johns Hopkins大学的密码学教授Matthew Green表示:

"某些在俄罗斯出口节点的恶意Tor,实际上会偷偷修改二进制文件。所以,如果你不幸在Tor下载文件时碰巧遇到了这些节点,它们可能会将它转换成恶意软件。"

尽管Green并没有听说过VPN发生过这样的事,但他指出这样的攻击是存在可能的。与多数VPN不同,Tor和Tor浏览器通常用于高风险的情况,工程师需要迅速修复安全漏洞,这样的方式可能不适用于所有的VPN。

用VPN来BT下载安全吗?

某些VPN提供商会禁用p2p,如果有必要还会把用户的名字给版权所有者。代表版权所有者的利益的,可能会取消惯犯的账户。希望使用VPN进行torrent下载和流媒体观看的亲们,可以寻找那些特殊的服务提供商(或者不保留日志),但是问题又来了,Campbell表示:

"然而,我们并没有办法验证VPN提供商所说的话。大家必须依靠新闻报道和网上论坛的讨论等等,来判断服务提供商的声誉。"

看来,必须时刻保持警惕才行。

VPN可以"防御"广告追踪?

尽管VPN能掩饰你的IP地址,但它不一定能保证你免受间谍广告和追踪的困扰。

Campbell表示:

"VPN提供的防广告追踪的技术可以忽略不计,因为IP掩盖是一个弱标志。网络广告更倾向于cookies、supercookies和浏览器指纹技术,这些东西VPN是无法进行保护的。"

为了防止无处不在的广告跟踪,广告阻断器uBlock、uBlock origin,以及追踪阻断器PrivacyBadger或Disconnect会提供一定程度的保护。

禁用JS代码,或者使用Firefox下的NoScript可以消除一些指纹。更高级的用户可以使用虚拟机或者沙箱浏览器。当然,Tor浏览器也能防止产生特定浏览器指纹。

VPN让你更危险?

用户使用VPN的是为了保护自身网络安全,特别是在处于公共WIFI之下的时候。GoGo被爆出使用了Youtube的伪造证书,这可能会泄露用户的流量,包括用户的Youtube密码。

因为VPN建立了用户和VPN商服务器之间的通道,所以用户对于VPN提供商的信任非常重要。毕竟提供商能看到和记录你所有的流量,甚至可以更改你的流量内容。一个VPN的配置不当,黑客就可能直接访问你的本地局域网,这比别人在咖啡店网络下,嗅探你的流量更加可怕。

"如果VPN服务供应商不老实的话,你只能自己做祈祷了。你得时刻担心是否会在本地局域网被人黑掉,若是使用了一个粗制滥造的VPN服务,很可能就会把自己推入虎口。"

预共享密钥

White提供了一个VPN的列表,在网上已有共享密钥发布。

"如果我知道了你正在使用的VPN预共享密钥,并且我控制了你所在WIFI的热点,那么就可以进行中间人攻击并且解密你的上网行为。也就是说,当黑客拥有这预共享密钥时,您的网络安全系数就降低了。"

PPTP的代替品

一些VPN还使用了老掉牙的的PPTP VPN协议,这在根本上就是不安全的。更好的选择包括IPSec(有人积极维护)、L2TP/IPSec、IKEv2以及OpenVPN等等。

在上述的几个选项中,IPSec可以设置为不需要安装额外的软件,但有人认为这是故意破坏和削弱NSA(美国国家安全局)的力量。OpenVPN比它还要安全,但是搭建手法更加复杂,需要第三方软件的帮助,以及用户进行正确且复杂的配置。

根据High-Tech Bridge最近的研究发现,SSL VPN中,有90%会使用不安全的或者过时的加密。而有77%使用了不安全的SSLv3(甚至SSLv2)协议,76%用了不可信的SSL证书(黑客可以更轻易的进行中间人攻击,拦截VPN连接中的流量),更有一大部分用的不安全的RSA密钥长度的签名,以及不安全的SHA-1签名。不管你信不信,其中还有10%存在心脏出血漏洞。

数据保留和日志记录

一些VPN会根据本国或当地的法律,进行日志信息保存。而且许多VPN服务提供商会记录大量信息,比如在特定的用户来连接时,是从哪里、从什么时候连上的,甚至还有他们做了哪些连接。

甚至有些VPN服务提供商,日志量少时会记录下重要日志,比如连接的IP地址和用户名,以及内部路由使用的内部负载均衡和服务器维护。某些VPN服务提供商的日志记录可能会很快销毁,而其他的由于本地的相关法律,处理方式会有所不同。不管怎样日志里保存的信息都是足以破除用户匿名性的。

仔细阅读服务条款会帮助你确定服务商日志维护保留的情况,并可以了解他们会如何使用收集到的信息。

但是其中的真伪也很难验证。有人认为进行犯罪活动时VPN也会保护用户的身份,但人家美国政府已经与世界上数十个国家签署了司法互助条约了。

泄露用户隐私

即使用户已经连上了VPN服务器,但某些发出的包可能没有经过VPN通道进行通信,这就泄露了用户的隐私。

Campbell表示:

"从技术角度来讲,我认为最被低估的漏洞就是VPN软件客户端的网络信息泄露。 严重的时候,它可能会危及用户的生命,许多网络安全和隐私社区已经对此漏洞进行了重点关注。"

一些VPN服务提供商设置了规则,在用户出篓子之前,能阻止不安全的连接。比如你首次登入某个WIFI热点,或者从一个热点转入另一个的时候。其他服务商还会允许用户自己设置防火墙规则。

2015年6月,罗马Sapienza大学和伦敦玛丽女王大学的研究人员测试了14款热门的商业VPN服务,他们发现了其中10个会泄露IP的数据,且都会遭受IPV6 DNS劫持攻击。虽然后期研究人员并没有全面复查他们是否修复了,但是也做了一些特别的测试,并发现情况有所改善。但是可能修复了问题后,还存在其他漏洞。

伦敦玛丽女王大学的研究员GarethTyson博士表示:

"我给大家的建议是,如果你担心被政府监控,你应该全方面使用Tor。"

同样,这可能也是一个不完美的解决方案。虽然Tor浏览器提供匿名、规避审查和反监控追踪,但是它并不像VPN一样迅速。更糟糕的是,某些互联网服务提供商会拒绝Tor。

营销宣传

许多声称安全的VPN服务提供商,其实缺乏可信度。某些VPN服务提供商声明不会记录日志,接受比特币,浮夸地表示他们是军用、政府、NSA级别的加密。

而且,VPN不仅仅会存在安全漏洞的问题,还可能是民族主义者的蜜罐,相反,那些事先声明他们的威胁模型,讲清楚能保护的和不能提供保护VPN服务提供商,可能更值得信任。

阅读服务条款有时能给用户一个清晰的认识。比如2015年,免费的以色列VPN Hola被发现将用户带宽出售给Luminati VPN。那些想要隐藏IP地址的用户不知不觉就变成了VPN的出口节点和终点(暴露了自己的IP地址,混入了别人的流量)。

直到8chan留言板运营商 Fredrick Brennan说,直到Hola用户在不知不觉中被利用来攻击他的网站后,才更新了自己的FAQ。

如何寻找可信的VPN

看到上面所有的预防措施和VPN说明了吧,靠它们去找可信的VPN靠谱么?VPN服务提供商表示购者自慎。

某家VPN服务提供商是否使用了最新的协议,该公司的背景和声誉如何,服务条款是否容易理解,这些VPN 到底能防护什么和未能照顾到什么,它对于信息披露的细节表达了足够诚实吗?

抛开这些因素,Campbell建议大家看看公司的行为,他说这可能会显示出一个服务商是否关心客户的隐私。这三年来,他自己也在寻找一个清晰明确的隐私政策,而不是只有样板政策的公司。

Campbell警告道:

"在斯诺登泄密事件后,过去几年已有了很多廉价的VPN服务提供商。这些新入行的VPN服务提供商在安全方面做的不是很好。许多情况,他们想把部分服务器的主机业务转为带宽业务,但是他们完全没有安全方面的经验。"

作为最后一个预防措施,Campbell也在寻找不通过第三方系统捕获用户敏感数据的VPN,他表示:

"任何尊重客户隐私的VPN服务提供商,都不会去触碰与客户交互的系统,比如第三方聊天脚本、支持票务系统、博客评论等等。用户通常会在请求包里提交非常敏感的数据,但是他们并不一定清楚他们的VPN服务提供商是否单独监控了流量系统。"

自己动手,丰衣足食

根据你的隐私需求,一个满意的预解决方案可能并不存在。如果是这样的话,懂技术的用户可以自己搭建VPN。如果你的方案里更在意速度,你可以在DigitalOcean、Amazon主机、Vultur,、OVH或者其他可靠的主机商的VPS运行Streisand。

Streisand是在土耳其推特全面被封杀后推出的,它的目的是为了帮助用户绕过互联网封锁。Streisand的Github页面称:

"Streisand可以在服务器上搭建L2TP/IPsec、OpenConnect、OpenSSH、OpenVPN、Shadowsocks、sslh、Stunnel,以及Tor桥,它还会为这些服务生成自定义配置指令。"

其缔造者Joshua Lund告诉记者,Streisand的目标之一就是使得安装过程尽可能简单。他设想这个开源服务能够成长为一个"集中式知识存储库",成为一个自动化升级最佳实践的社区。

Lund 在邮件中告诉记者:

"Streisand将几个最困难的步骤实现了自动化,大大提升了安全性。比如Streisand配置OpenVPN时会启用TLS认证(又名HMAC防火墙)",生成了一个自定义组的Diffie-Hellman参数,启用了一个更强大的多密钥校验机制(AES-256/SHA-256替代了原来默认的Blowfish/SHA1)。 许多用户在手动配置时,其实会跳过这些选择性的耗时步奏。事实上,大多数商业VPN服务商并不启用这些OpenVPN配置。

Streisand还有个好处在于,当自动安全更新和安装过程后,约十分钟就能让用户得到一个全新的服务。相比商业VPN服务商,Streisand也不太可能成为审查、DDoS或者流媒体封锁的目标。

像大多数VPN一样,Streisand会不同。在2016年考察这些产品后,我们只得到一条准则:寻找VPN决定于你使用它的第一目的。

寻求对自身网络安全进行保护的用户,与那些想隐藏自己真实地址的用户目的是不同的。意识到VPN的局限性和具体的弱点缺陷,至少可以帮助你做出一个更明智的复杂决定。

*参考来源:ARS,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


This Feed Will Stop Updating on March 1st 2019! Please contact the owner to avoid disruption.

According to our new plans, Inoreader Pro is required to export RSS feeds.

If you are the owner of the feed, please consider upgrading to Pro.



via https://blog.inoreader.com/2019/02/official-announcement-inoreader-new-plans-and-pricing-updates-in-february-2019.html
RSS Feed


Unsubscribe from these notifications or sign in to manage your Email Applets.

IFTTT