IYPs Telegram频道本年度部分内容更新汇总 - iYouPort
IYP’s Telegram频道本年度部分内容更新汇总
嗨,朋友,我们的频道在这里: https://t.me/iyouport ;鉴于并非所有读者都使用 telegram(中国已经封锁了telegram),并且, IYP 已经有了新的专门服务于中国读者的免翻镜像( https://storage.googleapis.com/qurium/iyouport.org/index.html ),于是我们汇总了一些发布过的内容,希望它能帮助接触到更多华语地区的读者。
任何朋友都可以通过类似的汇总帮助知识在华语地区的传播,只需注明“IYP — iyouport”。谢谢!
不要错过 :
- 我们的 年终访谈 ,关于香港和中国《 ”成为你想要在这个世界上看到的改变”:与IYP下午茶 》
- 我们的 年度频道汇总 《 IYP’s Telegram频道本年度部分内容更新汇总 》
- 我们的年度 书籍汇总 《 IYP优秀书籍年度汇总2019 — 在线下载免费阅读 》
- 您可以如何利用 IYP 赚钱《 IYP 的新10年:我们的2020什么样? 》
18/09/2019
关于斯诺登的新书:
预计一段时间后可能有电子版在线(甚至免费/不确定)如果您不急,也许可以等等看;
因为,这本书很大程度上不是为了卖钱的,而是保命。
目前斯诺登的境况比 Julian 更危险;Julian 在监狱里,如果他死了,全世界都知道是谁干的。但 Ed 在外面,他随时可能被暗杀,并很可能难以追究凶手。
这本书就是Ed为自己打造的护身符 — — 抢先说出真相(就如他一直所做的那样),留在世间、尤其是更多人的心里,万一不测发生,这本证言可以更好地帮助支持者锁定凶手。
💡IYP承诺详细分析 与当权者过招的技巧 。斯诺登的案例将包含其中。请期待详细分析。
斯诺登在新书发布的访谈中谈到了 **分身**的技巧 — — 在互联网上保持匿名的简单方法,正如IYP曾经详细介绍过的知识,您可以在这里回顾:《 分身技巧 》。
请注意:中国当局正在抢占“网络安全”的概念本身,就如我昨天谈到的。
中国的“网络安全”建立在隔离中国和世界互联网的基础上,宣传美国的大规模监控(如 斯诺登的故事,它不会被审查)对中国当局的宣称有利 — — 这是他们最擅长的方法,就如你知道的,取其有利于自己的部分。
⚠️ 永远记得,大规模监控是任何一个当权者所痴迷的,因为没有任何政权不期待权力稳固。要做到权力稳固,全面控制社会就是当权者最期待的捷径 ;《 新的压制和新的反抗:社会运动的智慧如何跟上技术型暴政的进化? 》。
美国的大规模监控/拦截 仅仅得益于它的地理位置,并且,被揭露的结果正在被包括中国在内的很多国家政权所利用 — — 这绝非任何人所期待的结果:《 NSA 的阴云笼罩国际加密 —— 网络安全标准化会议在中国举行令人五味杂陈 》。
⚠️美国寡头帮助中国构建的大规模监控技术绝不可小视:《 美国科技巨头如何帮助中国建立大规模监视系统 》。
简单说:不要因当局的宣传误解“网络安全”的概念 — — ⚠️他们的安全和我们的安全绝非一码事,并且,任何时候,他们和我们,只能有一方获胜 。
总之,如果您希望了解斯诺登的危险和透明度革命的前景,这本书是有益的;如果您准备学习更多的安防知识,这本书恐怕帮不上太多。
但是,非常推荐更多人阅读这本书,以延续透明度革命的未来 — 它也许可以帮您找到反抗的3.0版思路。
如果您期待安全知识和行动技巧,请参见IYP的两个栏目:“How To Win”、和 “Survival Skills”,**确保实用**:iyouport.org
19/09/2019
说到全网监控,中国读者经常谈到的专门服务于政府的刽子手是中国厦门的美亚柏科:《 “互联网+”维稳:舆情监控公司去年收入大幅增长 》。
但是,⚠️还有一家可能被忽略的、具有同等甚至更深入监控能力的开源情报间谍服务公司: Knowlesys 。
KIS(Knowlesys Intelligence System)位于中国深圳,是一家标准的监控公司。
他们的自我介绍是:“基于全球领先的开源情报提取技术;从社交媒体(推特,Facebook,Youtube,Insatgram …)和传统网站(论坛,聊天室,新闻….)中挖掘大量信息,并通过自动分析和手动处理将其转化为可操作的情报。
作为专注于 社交媒体情报 的间谍技术开发公司,KIS成立于2003年(美亚柏科成立于1999年) — — 想想看,我们这帮人在1999年~2003年之间在干什么?
KIS在 自我介绍 中描述它自己可以:
– ⚠️监控与相关城市或省相关的所有信息,尤其是负面信息;
– 后续处理⚠️联系目标网站管理,采取应对措施,毫不拖延;
– ⚠️实时监控Twitter / facebook. youtube,bbs,博客,论坛;
– ⚠️监控聚焦QQ /微信群组的聊天内容
– ⚠️跟踪某个主题或作者的所有信息
KIS在自我介绍中描述 它的目的 是:
■ 消除或尽量减少偶然的负面信息对相关省/市和政府官员形象的不利影响 — — 洗地;
■ 识别和理解目标省/市的舆论,解决刚出现时的冲突 — — 维稳;
■ 识别网络内容的威胁(例如泄露机密信息) — — 封口;
<下图 1 是该监视系统的 三个子系统构图 >
KIS介绍中表示:
– 政府用户可以在该监控系统中自行添加新闻网站、论坛网站等监视目标网站;
– 并且,⚠️谷歌、Twitter 和 Facebook 都是已经内置的监控目标;
– ⚠️自动提取子系统还可以监控基于应用程序的网络聊天室;
自动提取子系统的全方位监控功能如下图 2 所示:
KIS介绍中还强调该监控系统的 诸多“优势” :
– ⚠️在中国国内收集被GFW封锁的外国网站、收集受源IP和访问频率限制的网站、以及自动收集代理IP地址,无需进一步配置。
– ⚠️设置关键字后,一旦收集到的内容中出现一个或多个关键字,就可以将记录发送到相关的短信接收器,进行无人值守的实时监控 ……
再次强调 ⚠️作为服务于政府的开源情报公司,KIS成立于2003年(美亚柏科成立于1999年);如果任何人认为我们 — 作为被监控对象 — 直到2019年 依旧“不应该”广泛普及**开源情报**调查技术 以令这些情报侦查工具真正为公民服务 — — 从防御到进攻 从而实现原地反击的话,请重新思考这一问题。
开源情报技术并非当权者专属 ;
公民使用开源情报调查反驳政府的谎言:《 利用开源调查揭露腐败 》
揭露中国情报部门黑客真实身份:《 揭露中国情报部门黑客的真实姓名 》。
挖掘当权者对公民实施间谍行为的真相:《 国家级监视赞助商:这些政府如何协助其他政府对公民进行间谍活动? 》。
揭露政治旋转门:《 深层政治:Facebook金字塔的人形肌理 —— 仅仅依靠开源数据,扒开利维坦的内裤 》。
仅仅开源情报就可以揭露 算法专制 是如何操控每一个人 :
《 非物质劳动和数据收集: — — 关于数字极权是如何剥削你的(1) 》
《 人类数据库和算法劳工: — — 关于数字极权是如何折腾你的(2) 》
那是那句话,技术在谁手里就能是谁的力量;
技术是民主的,社会才能是民主的。
让公民掌握技术,是开源情报栏目的主旨 — — 防御和进攻双重功效兼备 : https://www.iyouport.org/category/osint/
这些技术介绍并不会“帮助政权” — — 政权从20年前就开始拿这些东西对付我们所有人了。
现在开始反击还不晚。
请帮忙传播上面这些内容:
开源情报市场近百亿美元,所有工作都是高薪的,相关培训每堂课售价高达五千英镑。
现在这里 — 中文版 — 是免费提供的,只因为真正需要用它来反击和保护自己的是没有钱的老百姓 。
请让更多人至少知道这20年发生了什么,就算人们根本不想加入反击,也至少能用这些知识保护自己。
23/09/2019
Artificial Intelligence used for mass surveillance in 75 countries. A new report from The Carnegie Endowment for International Peace finds that at least 75 countries are using facial recognition and other forms…
所谓的AI在75个国家用于*大规模监视* 。
请注意 👆这张地图的颜色:红 — 中国;蓝 — 美国;红蓝条:中国和美国 — — 这些颜色覆盖了多么广泛的面积。
这也是为什么IYP去年介绍的新书中分析认为:只有中美两国(高堡奇人)能压制反叛,
详细《 “只有两个国家足以压制反叛”:AI, 大数据和反叛的未来 》。
此外,除中美之外的第三大AI监控技术供应商是:日本的NEC Corporation(覆盖14个国家)。
推荐相对完整的调查报告:
⚠️《 国家级监视赞助商:这些政府如何协助其他政府对公民进行间谍活动? 》(含文件资料图)
24/09/2019
如果您想要读书 或者观看纪录片,可以参见IYP的 “图书和纪录片推荐” 栏目,该栏目是以新书节选 、知识的应用方法、及评论形式出现的,纪录片则可以在线观看: https://www.iyouport.org/category/book-documentary/
25/09/2019
我们最近得到一个不详的消息:GFW引入了类似于“威胁情报系统”的东西,就如上面这张图。
GFW通过这些系统,分析哪些IP段属于“高风险”,然后封锁它。
因此,同样的行为(代理),在不同的IP段有不同的结果。
以及,预计今年年底,受中国认证的VPN就要出现了,但是按照消息源的说法,这些VPN都有所谓的“公安监控系统”。
虽然这套系统不会破解HTTPS连接,但是他们会通过重放攻击(HTTPS会话过期是24小时后),来获得用户访问的具体 URL(传输内容依旧安全,但是具体网址暴露了) 。
最后:曝光一个东西 — — VyprVPN,其实是一家中国河南郑州的公司,他们的真实名字叫做玲珑加速器(曾经他们申请过一个东西,叫做“VyprVPN中国版”,但是没能得到中国政府同意)。
这是之前调查 VyprVPN 发现的,他们的变色龙协议,其实是中国郑州的一家公司开发的(而这家公司其实就是他们背后的母公司)
另外, GFW现在不只是封锁国内到国外的通信,如果IP被GFW拉黑,那么这个IP也无法连接到大陆网络 。
案例:大量中国的翻墙服务商使用HKBN(香港宽频)提供的家庭宽带(使用家庭宽带IP来作为代理服务器),结果是,导致大量使用HKBN的香港人无法连接到中国大陆的网站(和其它服务)。
因为GFW认为HKBN的IP段属于“高风险”。
25/09/2019
你对目标的了解越多,找到他或她的弱点就越容易,然后就可以利用这些弱点以发起最有效的攻击。
⚠️然而你对自己的弱点很可能不那么了解,而你的敌人很了解。如果你想要防御敌人,那么就最好能首先”变成”自己的敌人 — — 通过他们的眼睛来看自己。
请注意,任何人都可能成为你的敌人 — — 而不仅仅是政府,还包括收钱“办事”的家伙 。
最近我们惊讶的得知,早年只在欧美国家流行的私人侦探业务,目前也在中国出现。
你往往不会知道自己在什么时候会得罪什么人。唯一的方法是: 提前预防 。
这就是“自我人肉” 系列的目的 — — ⚠️ 帮助您在被对手找到之前,尽可能砍断一切追踪线索 。
正因为当下数字时代,人们在互联网上暴露了自己太多私密隐情,于是,社交媒体和互联网是追踪者首先会深入探索的。
这是一场竞技。你和你的对手谁先入手,谁就能取得胜利。
“自我人肉”系列将提供绝大多数追踪者都会使用的技术和工具,是的他们整天都在研究这些东西。现在,我们必须让大众了解这些东西,以便采取针对性的防御。
💡**关于安全防御,IYP即将推出一整套详细的措施 — — 从线上到线下,尽可能从每一个细节帮助您的人身安全。敬请期待。**
本文是关于在线防御的:
25/09/2019
⚠️如果您公开共享 Dropbox Paper 文档,则任何查看者都可以看到曾经打开该文档的 _any_ Dropbox 用户的全名和电子邮件地址,这显然是有问题的。
这个“功能”只是在等待被滥用。
只要爬一下这些公共 Dropbox Paper 文档URL,收集打开这些文档的成千上万个 Dropbox 用户的个人详细信息,可以非常简单。
⚠️这是作为 Dropbox 用户应该注意的事,因为Dropbox认为这是一项“功能”,而不是隐私bug。此外,也无法隐藏您的个人详细信息。
26/09/2019
糟糕!这是非常糟糕的事。见上图👆。
中国当局已经盗取对于当下民主政治最为重要的概念:whistleblower(举报人),
这是 透明度革命 的根本: https://www.iyouport.org/category/%e5%85%b3%e4%ba%8e%e9%80%8f%e6%98%8e%e5%ba%a6%e9%9d%a9%e5%91%bd/
⚠️透明度革命和群众斗群众天壤之别;透明度革命的矛头对准权势、它是挑战权势的唯一有力工具 — 所有权势都会撒谎,没有谎言就没有专制和霸权。
而群众斗群众则是权势分化社会的手段。
现在,中国当局正在盗用并篡改这一概念,强行将其限制在企业内部 — 远离政权,不排除寻租的可能性。
警惕!
请记住上述👆, 这是概念暴力污染,而不是”民主化” 。
尤其请记得,⚠️这一污染是发生在美国频繁起诉、监禁和惩罚全球最著名的**真正的**whistleblower 的同时 — 从 Edward Snowden 到 Julian Assange,从Reality Winner 到 Daniel Hale……还有太多,写不开了。
IYP将详细分析 “当局如何抓捕说真话的人”,其目的是用现实教训提醒安全意识;但同时您也可以看到,华盛顿当局对说真话的人的严厉打压。
这应该是令所有人沮丧的悲剧。
⚠️ 中国在利用美国严打举报人这一最糟糕的民主滑坡趋势 — 就如他们曾经一直以来不断强调”和平”主张,采取金钱外交而非战争的 **帝国扩张** :< 镶金带银的太极黑沙掌 — — 下一场来自帝国的威胁或许只是没有血腥 >。
这不代表任何事,这只说明他们在试图表现得 “与美国不同”来强调其民族主义。
透明度革命是最重要的民主反抗。
IYP曾经强调过,开源情报(类似新疆火车站押送视频的调查)只是”退一步的想法”,而非进一步 — ⚠️透明度革命始终是民主反抗最基本的形式:《 “情报不是简单的信息” 》。
中国当局对透明度革命概念的污染令我们倍感愤怒。
中国社会 并非 不关心或不熟悉透明度革命 — 当斯诺登的 thread 发布后,一夜之间就有大量的中国用户开始注册 wire,这是我们这些隐私权倡导者奋斗多年都不一定能够实现的显赫成就。为什么?
这正是因为中国用户对斯诺登 — 举报人 whistleblower — 的信任和关注;
试想,当 whistleblowerd 的概念被当权者污染,被盗用来为权势的寻租和民族主义牟利时,其结果是什么?
当我们看到中国读者转发IYP多年前的关于透明度革命的分析文章时,我们是非常兴奋的:
但是现在我陷入了焦虑 。 今天是中国当局正式暴力污染概念的第一天,这是一个可怕的开端;我不知道也不敢设想多久之后我们的动员将面对基本概念层面的沟通悬崖 。
没有比透明度革命更具威力的反抗形式,这绝非夸张;
但是,请中国读者 — 尤其是中国读者 — 始终记得:举报人whistleblower 并不是透明度革命的完整版,它是开端;真正的透明度革命需要全社会每个人的共同努力!
我们现在必须《 超越透明度革命 》,⚠️这已经是紧迫的,尤其是对于中国社会来说,请记得:揭露暴君是一回事 — — 废除它们是另一回事。
只有这一认知才能抵御中国当局的暴力污染 。
好运。
27/09/2019
⚠️ 中国网络阻塞的新形式 — —
关于上次提到的类似“威胁情报”系统(见 25/09/2019),可以从一个很有意思的细节判断出来 — — 使用一台曾经被其他威胁情报系统(例如 IPIP、IBM 等公司)标记为“Tor”或者“代理服务器”的IP地址,就会发现,这些IP完全无法访问中国大陆网路。
GFW现在封锁翻墙服务,并不只是通过所谓的”流量特征分析“或者”探查整个数据包来寻找关键字“。
他们现在通过这种类似于威胁情报系统的东西,把特定的IP段标记为高风险。被标记的IP段,甚至无法通过SSH远程管理服务器(现象:SSH连接不超过三秒就会断开,此后服务器的IP就会被封锁)。
以及,他们封锁 IP/域名还有一个套路:如果一个IP在短时间内传送了大量”加密数据“,虽然这个IP/域名并不是什么热门站点(也就是说,一个以前从未见过的域名/IP突然传送大量加密数据),那么也会被直接当成翻墙软件所封锁。
对于Shadowsocks而言,中国已经有了封锁它的技术,但误报率非常大。
GFW对UDP数据包不感兴趣(透过UDP协议传送的数据,GFW并不会探查其内容,但是在2019年上半年,曾出现过”KCP数据流被中间人插入乱码“的事件)。
<**GFW不仅给KCP数据流插入乱码,还给TLS数据流插入乱码。目的是检测/阻断KCP协议和TLS伪装 — — 正常的 QUIC/TLS 协议在被插入乱码后会中断连接,但 KCP/TLS 伪装不会>**
目前在中国,”稳定“的出墙方式是使用 HTTP ⅔ 隧道,而且不是基于 WebSocket 的那种,是要真的 HTTP ⅔ 隧道。
01/10/2019
我们从内部得到的消息是这样的: 中国的人脸识别技术的运算一般分为两种方案 ,
一种是集中化的,监视摄像头只负责采集图像,后端传输到数据中心,进行大规模运算。
另外一种是为了减少中央服务器的负担,将一部分识别任务交给摄像头本身。
这就要求摄像头内嵌一个操作系统。
而处理识别部分的硬件设备,已经脱离了嵌入式设备的范畴,可以理解为每一个摄像头内置一个运算力并不弱的微型 PC。摄像头仅仅抓取人脸,但不去验证人脸身份,抓取后通过网络传输到后端服务器。
这两种技术无法通过外观辨别。
关于部署情况:目前即便是北上广这样的大城市,带有运算功能的摄像头也是凤毛麟角,大概主要原因是造价太高;而且,要想将所有传统摄像头更换,是一个大工程。
目前仅仅在一些关键位置部署,比如是敏感地区的地铁、路口。你能猜到的那些地方。
另外,关于传统摄像头的 **后端运算问题**。答案是,现在当局对传统摄像头的后端运算非常不满意,主要是运算压力太大,基本上实用价值大打折扣。
目前它们做的是“两手抓”,在逐步替换旧摄像头(这是个漫长的过程)的同时,抓紧增加后端的算力和算法。
通过消息人士的语气推测,**目前可能存在1~2年的“窗口期”,过了这个时间,人脸识别检测的应用价值就有一个突发的增长。**
请注意,距离中国的社会信用评分系统全国范围内正式实践,还剩最后2个月。遍布全国各地每一个角落的监视器,将极大程度上辅助社会信用评分的奖惩 。
我们介绍过一些防御人脸识别的思考方式、以及目前已经成功实验的防御技术;今后还会继续介绍。根据 Comparitech 的最新调查数据,中国和美国是全球两大 最热衷于监控其公民 的国家,不同的也许是,美国社会正在努力抵抗,希望中国社会也能跟上来。
《 让面部识别失效的思考方式 》
03/10/2019
如果你在半年内接到10个陌生人电话,其中9个都是骗子,那么你会如何对待第10个来电?很可能是怒气冲冲对吗?其实最后一个来电是你女朋友,刚换了新卡。
在社交网络上你经常能看到那些怒气冲冲的人,就像50C一样试图咬住你不放。也许他们并非都是50C,其中有一些人是由于被其他50C围攻过太多次,于是他们保持了一种“随时战斗”的姿态 — 这种姿态被用来瞄准任何人,包括你。
** 这就是 50C/trolls 在互联网上泛滥的恶性结果之一。它感染人们,让人们失去对民主交流的基本兴趣 **。
这些恶意行为者他们自己并不需要多大的影响力 — 他们不需要你信任他们的话,他们旨在以无处不在的出没模式污染互联网社区的生态;他们想让你焦虑、烦躁,直到因厌恶而放弃。
效果已经出现。这种被污染的生态正在驱使越来越多的人离开民主辩论的场域。
一些人专注于自说自话,不再关心周围人的想法,不再期待联合;另一些人变得怀疑一切,任何未认证的账户看起来都像“别有用心” ……
这非常糟糕。这正是恐惧民主的权势最想要的状态,他们期待它,正因此他们操纵了这场污染。他们说:“嗨,你看,这就是舆论,这就是民意!”
不,它不是; 我们不应该上当,不值得因此放弃所有,因为“所有”中就包含我们的同道。要成功,我们必须首先找到彼此 。
**50C/trolls 必然是有组织的、有计划的、协调性的运作,他们有明确的政治目的。这是关键证据,并且,这一证据绝非能通过某段140字以获得证实**。
要获得这一证据的确有一些 技术工具 可以帮助你,我们会在不久后的内容中做出详细介绍 — 它可以帮助民间组织和异议群体更清楚地判断“敌我”。
即便您对调查没有兴趣,只是希望保护自己,也有一些简单的方法(原则)可以缓解 trolls 的危害,比如这篇文章中所讲述的:《 抵制在线攻击:不要被 trolling 和 Doxing 压垮 (2) 》。
** 语言暴力只是trolls的所有危害中的一小部分,有些时候这些攻击者会从在线追踪到线下造成严重的人身威胁**。目前这种情况正在大多数国家泛滥 。
活动家需要做好足够的防护。并且,了解这些攻击者的目的,从而不上他们的当。
03/10/2019
本网站(iyouport. org)目前有一个 Bifrost 镜像版本,帮助在中国的读者 ** 免翻墙阅读 **。在这里: https://storage.googleapis.com/qurium/iyouport.org/index.html
您可以试试看,也许速度有点慢,但目前测试在中国可以打开。
05/10/2019
美国陆军高级培训师 Ben Benavides 负责制定陆军使用的开源情报(OSINT)调查手册。就是您在上面看到的那2个文档。这些文档有一整套。
很高兴地告诉大家,这些手册中介绍的知识和技术工具在IYP的 ”OSINT”栏目 中基本都有发布过中文版的详细介绍。
**甚至, 我们提供的知识比您在线能找到的该领域其他渠道的介绍都更为全面,而且更加时效和有实用价值 **。
除了陆军的开源情报培训手册之外,您还能在网上找到北约和特种部队使用的同类情报分析手册;但是,后两者都不够实用,而且其中大量知识已经过时(技术的更新非常快,就如你所知道的那样),虽然它们在结构和思考方式上仍然是最好的 — 思考方式是不会过时的东西。
⚠️不夸张的说, 目前您在网上能找到的切实有用的知识,不会超过1%;书籍市场也一样,只有那些过时的不再有效的 *侦查反侦查技术* 才会被印制成书籍出售。这就是为什么说您**不应该**将上网的直接获取视为技能提升方面的实质性收益 。
但是,IYP一直正在致力于成为那1% — 真正提供给您最新的、最具实用性的技术和技巧。
技术的变化(而不完全是发展)的速度是非常快的。就在几个月前,FB图谱搜索还是开源情报采集方面的瑞士军刀级利器,但现在,它已经被关闭;谷歌在近期也限制了图像情报采集的部分功能。
我们不知道接下来会发生什么,但是,💡我们可以保证,强大的开源技术社区从来不会因寡头企业的阻挠而失去斗志 — 新的解决方案始终会及时到来弥补缺陷。
IYP希望做到的就是, 及时地以中文形式为您呈现最新的调查、侦查、以及反侦查防御能力 。
幸运的是,依旧有很多技能至今没有被损伤,就如我们汇总过的 超级情报工具库 中所介绍的内容,您也能在美国陆军手册系列中看到其中部分内容:《💎 超级情报收集工具库:开源验证和调查工具及使用方法 》。
这样的技术工具汇总还将继续进行,不只有更新,还有专注于不同领域的最新挖掘(比如社交媒体、物联网设备、GoogleDorking等等,很多)。都将出现在”开源情报”栏目中。
我们会不断强调:技术工具不是一切,它只是一个步骤;自动化工具可以提高您的调查速度,一些公认的开源情报挖掘”神器”的确很有效;⚠️但 真正能帮助您得到知识的是情报分析的思考方式
— 这就是为什么IYP经常演示调查过程,不论是《新疆火车站押送》调查、挖掘网络水军的信息战、揭露算法暴政、还是曝光政治旋转门, 这些调查过程都可以帮助您获得 **情报分析思考方式方面的见解**。思考方式是比技术工具更值钱的东西。
⚠️ 尤其需要强调的是:开源情报并非仅仅用于侦查,它也用于反侦查,即 防御。只有当您深刻了解追踪者最常用的方式时,才能更好地避免被追踪 。
就如Evans在分析中国深圳的 Knowlesys 公司时所强调的那样( https://twitter.com/DonEvansWm/status/1174606337730154496 ):当权者已经使用这种方式维稳互联网20年。
**在言论罪层出不穷的情况下,向大众普及开源情报作为防御的能力,不仅是必要的,而且是紧迫的**。
IYP不是国际开源情报社区唯一擅长中文的家伙,但是我们的心态是独树一帜的,那就是:始终为华语地区互联网用户的人身安全和民主推动服务 。
希望您在 iyouport.org 有所收获。周末愉快!
07/10/2019
以下是一些 ** 假身份生成器 **(无需下载在线可用):
1、点按空格键,可不断生成虚假身份。左上角可以设置您的需求: https://uinames.com
2、免费开源API,用于生成随机用户数据。页面中有详细介绍: https://randomuser.me
3、这是个起名字高手,帮您按照角色起名字(很直观无需过多介绍): https://name-generator.org.uk
4、这个工具的用法我们介绍过,见《 伪装+擦除 — — 在线隐身的重要步骤 》。
Link 在这里: http://fakenamegenerator.com
5、这是个极简的生成器,可以根据您的角色需要生成名字: https://randomwordgenerator.com/name.php
6、这个生成器可以生成 ** 全套身份 **,包括护照、驾照、社交媒体账户、车牌、样貌、个性特征、密码、电话 …… 所有一切,不亚于我们推荐过的 fakenamegenerator。在这里: https://elfqrin.com/fakeid.php
7、这个也是简单的生成器,您只需要选择一次性生成几个、性别倾向、以及是否生成生活全景介绍,等等。这里: https://behindthename.com/random
8、最后这个我们也介绍过,还有视频,见《 完美替身 》
Link 在这里: https://thispersondoesnotexist.com
💡如果您希望通过构建掩饰性身份从而保护真实身份信息的安全,这些工具足够可以帮助您完成。
关于为什么需要、以及如何使用虚假身份保护您的隐私 ,见:《 角色扮演:行动者刚需》 ;还有,斯诺登推荐过的 分身法 ,以及如何完美操作它,见《 如何分身 》。
玩得开心!
07/10/2019
信息安全仅仅是技术问题吗?肯定不是。
信息安全通常被视为一门技术学科 —— 防火墙、防毒软件、访问控制、和加密的世界;看起来像是一个不透明的且难以捉摸的学科。
但是,请随时记住那句话:⚠️**最终的安全取决于人**,而不是技术;而且我们每个人都以我们自己视为理性的符合个人利益的方式行事,我们存在固有的心理弱点、容易被操纵、会判断失误,甚至彻头彻尾的不当行为。
这就是为什么说, *安全* 是一种心理学问题,而非仅仅是技术问题 —— 如果不能科学地避免心理弱点,再牛B的安全防护软件恐怕也帮不上您。
这就是为什么我们要推荐👆这本书,它很好地讲述了这个问题,尤其是技巧方面,值得推荐。下面将发送的 本书的电子版,您可以直接下载阅读。
此外,如果您更喜欢阅读中文的相关知识,可以参见IYP的 “社交工程” 栏目,其中提供的内容都比较实用 I promise(不断更新中): https://www.iyouport.org/category/%e5%bf%83%e7%90%86%e5%ad%a6%e5%92%8c%e7%a4%be%e4%ba%a4%e5%b7%a5%e7%a8%8b/
08/10/2019
最近我们上传了三本书的电子版,在 IYP 的telegram频道,它们依次是下面图中呈现的样子,您可以下载阅读 — 免费: t.me/iyouport
- P1: <我们已被和谐:生活在中国的监视国家>
- P2: 我们认为很重要的一本书,重要的原因见下图中所解释的 <信息安全心理学>
- P3: 这是最近一些朋友称正在寻找的书
在这里下载 :https://t.me/iyouport/6209 ;https://t.me/iyouport/6202 ;https://t.me/iyouport/6198
09/10/2019
在过去一周中,超过100个推特账户被封锁 – 他们都属于批评埃及政府的人,包括著名的埃及作家 @asoueif,都遭到了推特的封锁。
众所周知埃及是典型专制政权之一。
并且,这并不是第一次发生这类事。
这类事必须彻底调查,⚠️推特在协助专制政权压制异议的行动中究竟扮演什么角色。详见《 Why Twitter’s suspension of Egyptian activists warrants a serious investigation 》。
中文推特账户被大批封锁的情况所有人都知道 —— 包括IYP也遭遇了封锁。这里是我们在那之后的评论
《 在无可言说之中言说中国 》。
同类的事在其他国家也多次发生过:
在巴基斯坦,异议人士和记者们遇到了更危险的来自推特的威胁,见:《 Twitter和政治威胁 》;
甚至在美国本土,海军陆战队退伍军人和亚利桑那州的前国会候选人也遭到了封锁,见《‘ Twitter 禁止我,没有理由,但最终他们会失败 ’》。
还有,《 美国科技公司主动自我审查以迎合印度的新审查法 》。
推特要求使用且 仅仅使用 手机号作为两步验证工具,也就是说,你必须输入自己的手机号码以接受验证短信。现在,你的手机号码正在被用于定位广告的目的,详见《 Twitter Took Phone Numbers for Security and Used Them for Advertising 》
电话号码是大问题。⚠️对于中国用户来说不仅仅是广告追踪这么简单,因为当局可能拦截手机短信验证码以揭露你的真实身份。
当然,这种事 Facebook 也做过,见《 Facebook 以”安全性”为幌子骗取你的手机号码 》。
虚拟手机号有很多用途,IYP将详细介绍多款好用的虚拟号码 ;但是,社交媒体平台有他们自己的验证机制,该机制可以识别很多虚拟号码的使用 – 一旦被识别到您有可能被视为机器人而被永久封锁。
鉴于包括中国在内的很多国家政府都可以使用恶意密码重置功能+拦截手机短信以获得入侵及识别真实身份的优势,我们强烈建议社交媒体平台至少允许谷歌身份验证器的使用。
IYP将详细解释恶意密码重置攻击,⚠️ 根本不需要没收你的设备 —— 不需要物理接触你的设备 —— 也能实现同样目的的攻击 。
真的,这非常可怕。
13/10/2019
今天和几位朋友讨论了关于深度造假的问题。讨论结果有可能在未来写成文章。
下面将介绍几个 极为简单的深度造假工具 ,以及资源,也就是说,所有人都可以使用的工具,最后一个是验证造假的平台。
⚠️⚠️请注意,这些工具的使用有非常高的道德标准!如果任何人想用它们做坏事、操纵事实和诋毁无辜的人,肯定有人会找到你,后果自负。⚠️⚠️
1、Faceswap — 这是最热门的造假工具,因为非常容易操作,被誉为 “适用于所有人的 Deepfakes 软件”。https://github.com/deepfakes/faceswap
2、Faceswap2 — 这是增强版,https://github.com/joshua-wu/deepfakes_faceswap
3、DeepFaceLab — faceswap 的另一个版本。https://github.com/iperov/DeepFaceLab
4、DeepfakeCapsuleGAN — 使用 Capsule GAN 生成深度假货,https://github.com/snknitin/DeepfakeCapsuleGAN
5、Large resolution facemasked — 如题 可以制作较高分辨率的假脸,https://github.com/dfaker/df
6、Deepfakes China — 中文版的。说实话深度造假技术在中国的知名度更高…… https://www.deepfakescn.com/
7、Easy_Deepfakes_GUI — 非常简单易于操作的换脸工具,https://github.com/boehm-e/Easy_Deepfakes_GUI
8、Deepfakes Web — 付费访问,工具和教程的网站,https://deepfakesweb.com/
9、DeepNude — 一个深度造假应用程序,可渲染穿着衣服的女性的裸照。如你所知,争议非常大,但开发者还是把它卖出去了。
Open-Deepnude 是一个 Github 项目,用于重新创建 DeepNude。
***注:仅出于希望研究人员可以使用该软件的意愿而列出该项目,并且将/且正在努力对该技术进行反击(有趣的是,参与该项目的很大一部分帐户似乎都属于中国用户)。
https://github.com/StoneLyu/open-deepnude?source=post_page—–294c3909602———————-
10、arxiv.org — 是一种机器学习模型,经过训练可以从16×16像素的微小输入图像中重建面部图像,将其放大到128×128,具有逼真的照片效果。
这里是总览:https://iforcedabot.com/photo-realistic-emojis-and-emotes-with-progressive-face-super-resolution/
11、TruePic — 验证图片视频真实性的在线平台,https://truepic.com/
⚠️再次重申: 请不要做任何伤害无辜者的事!
关于造假视频的验证技术,我们曾经介绍过一些,比如这里:https://www.iyouport.org/%e5%85%ac%e6%b0%91%e8%ae%b0%e8%80%85%e5%a6%82%e4%bd%95%e9%aa%8c%e8%af%81%e6%b0%91%e9%97%b4%e7%88%86%e6%96%99%e8%a7%86%e9%a2%91%e7%9a%84%e7%9c%9f%e5%ae%9e%e6%80%a7%ef%bc%9f/
并且将来还会不断介绍相关知识 —— 验证技术将致力于让大众易于掌握、易于使用。
14/10/2019
新书推荐 —— 视觉信息验证技术
数字图像和视频已成为全世界执法取证的重要电子证据,也是大众了解事实的关键媒介,因为它们是从事发现场收集数字证据的最有效手段。
但是,随着造假技术的深化和大众化,“有图有真相”这一逻辑已经不再成立 – 即便有视频也可能不是真相。在这里看到 《 当恶意者掌握技术:信息战的未来究竟有多可怕? 》
因此,维持视觉证据的可信赖性和可靠性是当今数字世界的主要挑战。
对数字图像和视频的保真度和可靠性进行调查和维护的需求,已引起“数字多媒体取证”领域的兴起。
数字图像取证
主要涉及两个广泛的问题:
(a)摄像机源识别
(b)图像伪造检测
摄像机源识别是一项研究,用于分析被使用的是哪种摄像设备和类型以捕获特定图像。
另一方面,图像伪造检测被用于识别给定图像是否被人为篡改。如果判断为伪造,它还会尝试对伪造进行还原。
图像伪造检测本质上是一种“盲”技术,也就是说,在检测过程中不存在原始(未修改的)图像。这是主要挑战之一,当然还有其他挑战。
下面将上传一本书的电子版,重点介绍数字图像取证技术的最新研究 。
这本书的每一章都通过插图和必要的背景清楚地讨论了该新兴领域在某些方面的最新进展,技术介绍比较详细。对公民识别造假的能力提升来说,也会有所帮助。
在这里下载 :https://t.me/iyouport/6236
21/102019
看到中国 —
一家中国官方媒体内部最近再次被分发了 “意见表”,让员工 “揭露” 领导有什么问题 — 选项只有两个:有问题,并写出具体问题;没问题或不清楚,打勾就行了。
这是个不记名的”意见”;结果是,大部分人都打勾了 “没问题或不清楚”。其他人弃权了。
因为害怕被追究?生活经验告诉人们对权力说真话非常危险?认识到即便写出问题也无从解决?…… 或者,上述全部?
消息人士给了我们一篇新闻稿的截图(下图)并耸耸肩,”没有公开的反对和抵抗,几乎在任何领域都是如此”。
阿根廷在购买中国监视技术时骄傲地宣布:“现在我们也能像中国一样安全!” 你觉得他们为什么会这样说?
有时我们也会被问到:”中国社会真的反对人脸识别吗?为什么看不到抵抗?” …… 这是废话,当然很多人在反对,但是大多数人只能使用私密群组交流对这件事的担心,因为任何公开的表达都可能被认为危险;更不用说组织反监视的社会运动了。
就如学者马丁·塞利格曼曾经说过的, 不反抗的代价是病态的、是”被训练出来的无助” 。
消息人士说,办公室的人们表示,安装在大家工作地方的摄像头侵犯了工作人员的权利,于是领导要求 “盖住那个摄像头”。
摄像头是办公楼物业安装的,现在它被一个大的防护罩遮住了,并用胶带在周边贴牢。
我说,”这很好,这是第一步”。
消息人士摇摇头, ”是那些长期在精神上监控大家的人要求盖住那个物理监视器的” 。
我觉得这句话值得思考。
22/10/2019
如你所知,中国的资本主义程度越来越高,这是一个线索,无所谓当局是否承认。
但如今的资本和其传统形式有所不同了。
信息赋予了新的统治阶级以强大的权力。通过信息的所有权和控制,这种新兴的阶级不仅支配着劳动力,而且支配着传统上人们所理解的资本。
⚠️新的统治阶级利用信息的权力可以绕开任何劳工运动和社会运动为当权者制造的阻碍。
那么,我们可以怎么办?
接下来将上传一本书,思想很激进,而且富有远见;它不仅提供了分析这个新世界的理论工具,而且提供改变它的方法。
书《资本已死》, 在这里下载 :https://t.me/iyouport/6277
24/10/2019
上传一个打包文件, 关于 安全 的知识体系 :https://t.me/iyouport/6289
26/10/2019
快讯:中国通过了《密码法》
自从去年开始中国第一次举办了标准化会议之后,这就是注定的。
⚠️您可以在这里重温对此危机的分析《 NSA 的阴云笼罩国际加密 —— 网络安全标准化会议在中国举行令人五味杂陈 》。
我们需要提醒注意:这很有可能是 全球反加密之战 中一个新的节奏,虽然目前还无法清楚地解释为什么(需要具体案例)
28/10/2019
开源情报技术、方法和工具,其能力之强大,想必您已经有很多了解;IYP 有开源情报栏目:https://www.iyouport.org/category/osint/
其中提供的所有知识、工具和技巧,都是最新的。
接下来即将上传的是一本书,它不仅包含了IYP曾经介绍过的诸多思考方式和情报分析技巧,还将通过两个子层(深网和暗网)提高您获取情报的技术能力。
这本书包括了许多开源情报资源,不论是公民社会、反抗者、情报机构、还是企业,都可以使用这些资源来了解趋势、识别风险并收集竞争对手的情报,从而可以做出更有效的决策。
您将发现黑客和渗透测试人员同样使用这些技术、方法和工具,在线收集有关特定目标的情报;以及如何将开源情报资源用于进行社会工程攻击的目的 —— 也就是我们强调过的,通过敌人的眼睛看自己,即 对抗性思考方式 ,是最好的防御。
熟悉开源情报的操作,您应该 至少 得到以下方法:
- 确定情报需求并利用各种工具和资源来改善组织中的数据收集、分析和决策;
文章版权归原作者所有。
