安全

关于Bitlocker

什么是Bitlocker就不赘述了,各类百科够用。 简单说就是一种傻瓜式(相比较其他各类加密软件)的数据加密方案,一次加密,受用终生。 不幸的是,从原理上来讲,这种加密(这里指对系统盘的加密)是必须依赖一个三方模块(一般是独立硬件)来存放密钥的(钥匙放门上,门再结实也不安全)。 一般使用的模块叫TPM,这个模块国内的笔记本(台式机更稀缺了)是没有的(这个就要看TPM和TCM的差异了,这种涉及加密的标准,国家限制是很严格的)。 当然,要可以用其他硬件来代替TPM,如U盘,对,就是一个普通的U盘,里面塞满片儿都无所谓的那种。 如果有TPM,那么加密解密都很方便,设置后用密码登录系统就够了,和平时使用没什么差别(

安全

说说前段时间闹得很凶的“手机超级病毒”

如手机超级病毒 之前的之前有public过一份源码,在开放信息间谍的全部源码并停止服务 那代码里面已经涵盖了对短信/通话记录/联系人的获取和上传等功能(甚至基站定位的代码都有。。。),换言之,直接拿这源码改几行代码就可以完成那个所谓的“手机超级病毒”鸟。(如果乐意,即使是生手,花一点点时间也可以发布“病毒”了!) 这么一个low level用来忽悠忽悠抓小三的怨妇们的玩意儿,加了一个短信群发,居然被炒的如此火热。。。也许是那段时间没新闻了所以硬要拉点头条出来吧。。。 对于那些在这件事情上说“you can you up, no can no BB”的人,我要说一声,“我有代码,

安全

没有完美

如果你最近有稍微关注一下支付宝的新闻,你会看到如下连续的三篇: [惊悚实验]支付宝关联了银行卡 如果手机丢了会发生什么 [多图]支付宝找回密码验身份证被指依然可以绕过 [多图]捡到手机 除了支付宝你还可以干点什么? 我们不去讨论为什么这三篇文章如此集中(这还用说嘛,TX要推自己的“XX宝”了,当然要打压对手一下~) 但是这里可以看到,都集中在获取手机后如何如何去做坏事,彰显手机的强大,鄙视了支付宝等各大站点在安全上对手机的过分依赖。 说白了,就是拿到了手机,就仿佛获得了原机主的最高权限~~ (我想说句废话,手机里面那么多秘密,给你看到了还不疯掉!支付宝在这种case下算个P啊!) 不过我们换个角度想想看,为什么支付宝会有这种“漏洞”。 支付宝最关注的是什么? 一定是安全。 一个绝对靠谱的安全是什么样子?

团购

无节操的电信团购站

如果你如我好友一样,是悲催的电信用户,终日挑机而不得,那你可能听过一个福音站点:貌似已失效了 这是电信旗下的官方手机团购站,你初登上去可能觉得不以为然,没啥便宜货在团购,尤其是目前处于打广告状态的P6,就便宜了100块,还没电商便宜。。。 但是如果你看过下面这几个团购信息(已经过期了)。。。 这个折扣力度只能说“给力”是吧~ 这个可以算“BUG”了吧~ 这个。。。我觉得绝对是逆天了! 现在你就知道了,这个站绝对是深藏不露杀人砍价发放福利于无形! 好吧,为了为好友谋求同等福利,终于左等右等等到了1400的HTC C620D 图就不上了,因为风头都被上面的IP4S抢掉了。。。 但是这个抢购比较恶心啊,要跳转若干个页面,一般情况下分秒钟的事情怎么能等那么久那! 所以看了看这个站的一些跳转逻辑,

安全

密码和指纹 哪个身份识别方式更安全?

当初入TP的时候,就有过这个思考,是不是要带指纹识别; 不过后来仔细想了一下,这会是一个很有意思的事情; 依稀记得之前有电影片段,是某个机密的场所,进门需要指纹+掌纹,结果若干反派人物就直接把那位有指纹同学的手给砍了下来,淡定的进门了。。。 这个片段一次一次的让我对于指纹识别抱有一定的戒心,因为那就好像在告诉别人,嘿,我这里有一些小秘密,但是只有我的手可以打开哦~ 。。。 言归正传,这就需要先回到***身份识别方式***的选择上。 最原始的识别方式就是传统的文本型密码(再往前咱们就不追究了吧) 后来有了动态识别码,或者硬件辅助(U盾)的手段; 再后来有了人脸识别,指纹识别,等等。 但哪个更安全?恐怕没办法立刻下结论,这就要扯到密码学里面的一个概念 --

安全

神州租车的数据安全问题[续](secure problem of ZuChe.com [End])

前文:神州租车的数据安全问题(secure problem of ZuChe.com) 说实话我还有傻乎乎的担心了一下我这么写出来会不会被社会报复的问题,后来想了想,本为无名小卒,何足大家挂齿,更何况我也不在国内,难不成还引渡么?(扯远了。。。)。遂继续写写,说说我对神州这个泄漏的一点看法。 这个leak的根源是:万能钥匙的问题(当然我才疏学浅,不知道这么说对不对),就是一把钥匙可以开N把锁;换言之,就是越权的问题。 在这里,仅仅***通过用户ID(钥匙),就可以得到这个用户的全部订单信息***(锁A),本身就是很危险的(但其实很多很多service,都有一样的问题,不一一列举)

安全

神州租车的数据安全问题(secure problem of ZuChe.com)

说实话我不知道从何开始写,我发现了神州租车的一些,问题;而且非常严重。 我曾经试图联系他们,但是没有得到任何反馈,所以我决定写出来,作为一个记录。 当然,通过我的分析及实践,可以进一步得到它的用户数据,甚至进行修改或破坏,但这不是我的初衷,所以这里会做一些模糊处理(相信官方补丁会跑在那些有心者前面)。 直接拆开它的apk【其实如果用sniffer之类的,会比我这么做来的更直接;我这么做的原因就是顺手而已。】 可以得到对应的源文件,通过一些简单的代码和逻辑分析(几乎没有混淆),可以得到两个很霸道的接口,一个接口是通过user id来获取对应该用户所有订单信息的,获取到的内容可能如下: <soap:Envelope xmlns:soap="http:

安全

开放信息间谍的全部源码并停止服务

出于很多考虑来做这件事情,最大的原因也许是:到现在为止没有因为这个项目收到一分钱。 唉。 好吧,开放源码了。 邮件服务器也close了。 之前的缓存服务器也直接drop table了。 这个项目到此为止吧。 下面源码不能直接编译通过,因为删除了一个加密用的文件。 但是影响不大。 可以从源码中学习到: 短信/电话记录的拦截 GPS/基站定位 开机/拨号启动 后台服务常驻 与服务器的通信 ... 下载链接:apk codes