2016年4月26日星期二

孟加拉国央行是怎么弄丢1.01亿美元的?黑客还是政府?

从孟加拉国央行,到美联储,再到菲律宾,各银行和技术提供商都拒绝承认自己在此事件中存在过失。
近期,孟加拉国央行纽约联储账户1.01亿美元资金被盗案引起轩然大波。被盗资金中,有2000万美元被转到斯里兰卡,目前已被追回。另外8100万美元被转到菲律宾,至今去向未知。




“文件缺失或更改”


据《金融时报》18日报道,当地时间2月5日(周五),孟加拉国央行安全交易办公室的打印机再次出现故障,无法获取前一日的交易记录。2月6日,该行工作人员发现,他们的SWIFT金融交易系统无法打开。根据达卡警察局后来披露的信息,当时大屏幕上显示:“文件缺失或更改。”
该国央行当日最终重新进入其系统、打印机也恢复正常,这时他们发现了纽约联储向该行发送的数条信息,内容是对孟加拉国央行2月4日通过SWIFT系统的一连串转账提出质疑。
当他们发现异常交易时立即向美联储、马尼拉菲律宾中华银行(Rizal Commercial Banking Corporation)、花旗银行、纽约梅隆银行、富国银行以及斯里兰卡泛亚银行(Pan Asia Banking Corporation)发出停止交易的指令,但为时已晚。
孟加拉国是穆斯林国家,周末为周五与周六两天,而周日则是工作日第一天。2月7日周日这天,当孟加拉国央行通过邮件、电报、电话等各种方式联系纽约联储时,纽约联储正值周末而未能及时回应。 2月8日周一这天则正值菲律宾假日,庆祝中国农历新年。
“我们当时很害怕,不清楚具体情况怎样,不知道到底丢失了多少钱。”孟加拉国央行官员称。


资金去哪了?


与其他央行一样,孟加拉国央行在纽约联储开设账户,用以进行国际支付。纽约联储总共收到了35个“虚假”的孟加拉国央行转账指令,并按照指令进行了5次转账,资金总额达1.01亿美元。但出于未知原因,纽约联储并没有继续按照黑客要求进行另外30次转账。如果这30次交易也成功的话,孟加拉国央行的损失可能高达近10亿美元。
在1.01亿美元中,2000万美元转到了斯里兰卡一个号称是非政府组织的账下,这部分资金已被追回。原因是,黑客在转账申请中将该组织名字中的“Foundation”错拼成了“Fandation”,交易中间行德意志银行对此产生质疑,并向孟加拉国央行寻求声明,因此阻止了这次交易。
另外8100万美元则转移到了菲律宾的4个账户中,据称是为支付孟加拉国的基建项目,包括桥梁、发电厂以及达卡的地铁项目。
菲律宾反洗钱委员会(AMLC)的Julia Bacay Abad 称,流入菲律宾的这部分资金2月5日进入了菲律宾中华银行(RCBC)马尼拉支行的4个账户。
接下来的一周,这部分资金被转到一个叫William So Go名下的一个账户,后又转给一个名为Philrem的汇款公司,然后进入了菲律宾博彩业。其中,2900万美元进入了菲律宾布鲁姆贝瑞度假村公司(Bloomberry Resorts)的账户,2100万美元进入东方夏威夷休闲公司(Eastern Hawaii Leisure Company)账户,这两家公司都涉足博彩业。另外3100万美元现金由Philrem转给了一个名叫Weikang Xu的人,此人据称是一个带团经纪(Junket Agent),负责组织赌客到赌场赌博。3100万美元现金据称重达3000斤。
资金流入菲律宾博彩业后便不知去向,至今未被追回。


蓄谋已久?


值得注意的是,收到纽约联储8100万美元资金的菲律宾中华银行(RCBC)马尼拉支行的4个账户早在2015年5月份便已开户,但这几个账户到上个月收到纽约联储转账前一直未被使用。调查者称,用来开户的驾驶证是伪造的。可以看出,罪犯可能早有预谋。
菲律宾国会上周关于该案件听证会的焦点落在了菲律宾中华银行马尼拉支行行长Maia Santos Deguito身上。据《金融时报》报道,后来被转入的William So Go名下的账户是由菲律宾中华银行马尼拉支行行长Deguito所开,该账户后来的转账也是由Deguito安排。
路透社21日报道援引AMLC的文件称,2月8日,孟加拉国央行通过SWIFT银行间通信系统向RCBC发送了数条消息,要求其停止交易,归还资金。但第二天早上73分钟内,这4个账户进行了5次提款交易。到该支行当天稍晚时候回复孟加拉国央行时,8100万美元只剩下6.8305万美元。而颇为巧合的是,该行的监控系统在2月4日到9日这几天发生故障。
Deguito在听证会上对此事表示沉默。中华银行首席执行官Lorenzo Tan称,该行完全否认“任何知悉、共谋、参与1亿美元洗钱的行为” Tan还告诉菲律宾国会,因为银行的存款保密法律,他不能透露任何信息。


薄弱环节


洗钱是菲律宾面临的一个最严重问题,原因是该国有大量国际毒品交易,官员贪腐严重,人口走私,以及海外菲律宾人往其国内的汇款。菲律宾此前一直在全球反洗钱组织的“灰名单”上。
为此,该国在2013年修改了其“反洗钱法案”,从此摆脱了全球洗钱“灰名单”。但由于政治原因,赌场业并没有被纳入“反洗钱法案”。而这恰恰成为菲律宾反洗钱系统的软肋,博彩业成为菲律宾洗钱的热门目标。
而菲律宾也大力发展博彩业。为成为与澳门、新加坡一样的亚洲赌场聚点,菲律宾机场附近建有两家世界级的大赌场,另外还有两个在建。布鲁姆贝瑞度假村公司的Silverio Benny Tan称,赌场方面并没有对收到数百万美元产生质疑。“我们不知道这是黑钱……当时是中国农历新年……赌场预期会有更多人来玩,因此不觉得这有什么异常。” Tan说。
“如此大规模的资金流入了菲律宾赌场,凸显了菲律宾反洗钱系统的弱点,可能使菲律宾再次进入金融行动特别工作组(Financial Action Task Force)‘灰名单’”,菲律宾国会议员Guingona称。


谁的过失?


从孟加拉国央行,到美联储,再到菲律宾,各银行和技术提供商都拒绝承认自己在此事件中存在过失。
孟加拉国央行称,“错误的指示”使数百万美元落到了错误的人手中。
纽约联储称,没有证据显示有与这些转账相关的任何人试图入侵其系统,“支付完全经过SWIFT信息系统标准的身份验证”。
《华尔街日报》21日报道援引网络安全公司火眼公司(FireEye Inc.)的调查报告称,早在事发前几周,黑客便将恶意代码植入孟加拉国央行的服务器,模拟伪造该行从美联储账户中转账的信息,以处理并授权虚假转账。该行遭到入侵的计算机多达32台。火眼公司正在孟加拉国央行总部调查此事。
该公司调查人员已经确认,黑客的恶意软件“拥有高级的指挥和控制性能”,专门针对孟加拉国央行的SWIFT服务器——Swift AllianceAccess (SAA) ,这是孟加拉国央行进入SWIFT网络系统的界面。
还不清楚罪犯如何将恶意软件植入到孟加拉国央行的电脑中。有孟加拉国官员称,允许黑客通过SWIFT系统发送欺骗信息的恶意软件可能仍然还留在孟加拉国央行的网络系统中。
除了植入恶意软件外,网络罪犯还使用了黑客工具,包括键盘记录软件,监视击键记录,窃取了孟加拉国央行进入SWIFT系统的认证信息。SWIFT系统是环球银行间金融电信协会(简称SWIFT)提供的一个封闭系统,全球3000多家金融机构利客户利用该系统通过发送安全的信息来授权金融交易。
“我们重申,SWIFT网络系统本身没有被入侵,目前我们的首要任务是调查中期报告,让客户检查内部安全,加强当地操作系统。”一位SWIFT发言人称。
《金融时报》还称,孟加拉国政府机构以及其银行系统贪腐严重,该国及美联储都没有排除孟加拉国央行内部人员作案的可能。


相关阅读:

在中国,黑客真的能侵入银行吗?

从银行系统黑钱的方式,主要有以下几种:
1. 内部利用应用系统的权限或漏洞,或者越权操作,隐蔽操作等,比如说小额系统等监管合规不严的系统。和黑客技术无关。
2. 利用职权操作。和黑客技术无关。
3. 黑掉某帐户,非帐户系统,转账到某卡,提款,跑。(ATM 机装摄像头也属这种类型)
4. 利用职权,获取帐户信息(姓名、联系方式、存款、消费等),整体出卖,不少钱呢,优质资料一条好几块钱。
但是,直接黑掉银行核心系统拿钱的,我从来没有听说过。不管是拿到 web 系统服务器权限,还是拿到 ATM 机权限啥的,都没用,我就算开放行内生产网给一个黑客,他想搞破坏容易,拿钱出来很难。银行的核心系统 + ESB 或者前置之类的体系超级复杂,每个银行完全不一样,关系超级复杂,数据结构根本看不懂,某些人想象的直接去改核心数据库根本不可能。唯一的可能性就是提到的外包团队干的,但是确实没听说有发生过这种事。
银行安全里有个段子,当年的黑客界领军人物小榕,写流光溯雪的那位前辈,后来供职于某 IT 公司,去某个银行做交流时,在会议室随便插了一个以太端口,过了没多久,把银行的一套重要系统的权限拿到了,然后签了一张安全大单。我非常质疑这个传说,按照银行正常内部环境,会议室的网络根本无法访问生产服务器区域,破解难度非常高,而且不可能是那么一时半会能做到的。本着八卦精神,我一直四处打听,最后找到了小榕部门的销售,证实这事子虚乌有。从那时起,我现在对很多段子性的黑客故事,抱有充分的怀疑。
但是,我现在很担忧一件事。就是这两年的互联网金融这一块,很多小银行都在急匆匆的上马这块业务。这方面内容和网银不一样,网银的账务交互是连内网核心系统的,只是柜面系统的外延。但是互联网金融是全新的模式,通常做法以网上商城为主要内容,因为要适配多个银行的银行卡,所以是和核心系统无关的单独的一套电子账户系统,有帐户余额。整个互联网金融系统现在良莠不齐,有些就是小开发商拿个小电子商城的系统改一下就上的,安全保护机制也不行,也没有成熟的监管扎帐合规体系,漏洞非常大,技术上从外网直接黑掉电子帐户系统直接改钱是非常有可能的。

2016年4月25日星期一

解析网购订单信息泄露的秘密,不只是商家贩卖

相信很多人都曾面临过自己的订单信息泄露引起的诈骗或者骚扰电话、典型的机票改签骗局、订单退款骗局等等。每次大家都很愤怒的认为电商平台在出卖自己的信息,然而事实上是怎样,在看下面的文章之前你可能只是觉得个人信息被贩卖或者物流泄露,其实要了解订单究竟从哪里泄露的,要看整个产业的流转情况。我们下单买一个东西,大体上要经过商家、电商平台、物流、最后到达用户手中,所以这四个环节都有可能产生订单信息泄露的问题,今天就从多个角度来看看我们的网络信息到底是什么时候被泄露的呢?


一、商家环节


商家和电商平台在有些时候是一个,但在中国是有很多第三方卖家的。例如你在某宝买充气女朋友,某宝是平台,而卖家可能是福建一个批发街上的小铺子。也就是自营和第三方商家的区别,一般来说我们认为自营的安全性比较高,而第三方商家则参差不齐,存在较大的风险。
在实际工作中,我们也统计过案例,实际上看到的数据,商家确实是订单泄露最主要的原因。但这只是基于我们自己的数据来看。商家信息泄露表现比较突出的有五种原因:

1、内部倒卖。内部员工倒卖订单数据分为两种情况,一种是内部员工行为,另一种则是黑产打入的行为。先说内部员工行为,一个小型商家对员工的录用,大家可想而之是个什么情况。不在乎学历,不在乎背景,只要有点经验即可,而且待遇也比较低,员工流动也大,因此面对一些诱惑,很容易去倒卖数据,卖了几批数据后就跑路换个其他公司接着做。还有一种是黑产打入,黑产直接派一些人去应聘,然后拿数据,也是干一阵就跑。
对付这种倒卖行为,要求商家去加强员工入职管理和权限管理,但对于这么小的商家,可能只有三五个人的商家,很难谈得上什么管理,更谈不上所谓的权限控制。一个大的平台,可能会有几百上千万大大小小的商家,这个管理难度不亚于治理一个国家了。一个稍微可行的办法是,要求所有商家的员工入职前统一上传身份证照片,然后建一个库,对发现这种行为的打上标记,禁止进入,只不过,这仍然取决与商家的管理水平,你可以想象得到,商家会随便应付一下。但至少比没有要好一些,能形成一些震慑力。

2、木马病毒。商家的员工有时候会接待一些声称有大订单的人物,订单包括多种需求,所以会需要员工接收订单文件,又或者发给员工一个链接,而木马病毒就在这里了。木马和病毒会潜伏下来监控员工电脑操作,获取订单软件系统信息的帐号密码。之前我们也反复教育过商户,不要使用QQ、邮箱之类的接收来历不明的文件,但是面对这个群体,你能想到这种教育的效果。我们也曾经考虑过,给商户的电脑统一安装我们自己开发的杀毒软件,但这是一个很大的工程,木马病毒又会不断变形产生对抗,等于要成立个防毒软件公司了,。

3、三方工具后门。在线销售会需要一些系统的支撑,比如仓库管理、订单管理、面单打印等,市面上也有各种公司提供这一类软件,这种软件水平也参差不齐。有的直接就是黑产这种人开发的,目的就是窃取订单信息。还有的属于安全能力薄弱,有一些漏洞可以被利用,但是单一的某个软件漏洞还不够可怕,现在很多公司为商家提供一揽子服务,订单系统的服务器都在云上,一旦突破就是一个大群体订单泄露。所以针对这个情况,我们做了两件事,一是要求所有的软件系统都必须经过我们的安全测试,否则不给接口,在这一关做一层控制,但这也还不够,因为有些比如快递打印系统,是不需要直接调用我们的接口的,另外即使做了代码的检查,也仅仅是软件级的,出现事件后无法追溯到底哪个环节出了问题。所以我们又建了个云服务器区,建议商家和软件提供商迁移到这里来,这样一旦出了状况,我们能通过日志分析查找根源。

例如曾经有段时间比较流行的某订单打印软件,按正常功能,应该是能够同步我们的平台和物流公司。但在出问题的那几周,物流公司反馈无法同步到订单打印信息,而欺诈分子就会利用这个时间进行电话欺诈。根据这个疑点,我们停用订单打印软件后,这家店铺的客户订单欺诈明显消失。

4、弱口令。我们会给商户提供一个在线的订单管理平台,再加上商户自己用的平台,都会存在弱口令问题。所谓弱口令并非是指123456这种,而是由于商户员工的流动性,离职后密码没有修改造成订单信息被窃取。我们也曾考虑过做短信校验,但短信校验码就需要绑定手机,给一个公司的人绑定手机存在着实际的操作困难。后来我们采用了证书机制。但这也只是解决了自有平台的问题,商户自用平台还是存在口令泄漏。在排除法上,一旦出现订单信息泄露反馈,立刻修改密码,由此来判断是否是由于口令问题引起。

5、无线与监听问题。很多公司都用的是小型家用无线路由器,这种路由器一是默认密码不修改,二是自身有漏洞。这样黑客就可以采用DNS中间人、网络监听流量等手段获取网络流量信息。这种情况下,改系统密码、上云服务其实都没有用处,但最重要的问题是难以发现。商户完全不具备这种被攻击的发现能力,除非我们做一款硬件安全路由分发给商户。

商户这端的风险,主要是由于商户IT水平、管理水平较低造成,另外分散在全国甚至海外。所以如果要完全解决商户端的风险,就几乎意味着我们要替商户包办一切,从软件系统到杀毒软件,从无线路由再到人员管理,事实上对于一家电商公司来说,是几乎不可能完成的任务。

二、用户环节


用户自身的问题属于第二个比较突出的问题。能在这里看这篇文章的,对自身的安全都有防范意识,但对于小白用户,这就是一个比较突出的问题。而且订单信息泄露最终的受害者也是用户,如果安抚不好处理不当,就会吃官司。
用户这里比较突出的是问题:账号被盗、木马病毒、钓鱼、无线网络。

1、 账号被盗。这个很容易理解,不解释了,值得一提的是目前主要是撞库。撞库这个事情,稍微有点技术实力的电商都会用各种手段来防御,比如设备指纹、IP判定等防扫号。

2、 木马病毒。主要是手机端的比较突出,去年下半年一段时间,我们发现接近70%的订单信息泄露是手机用户。我们密集调研了受害用户,发现在手机上确实存在安卓远控类软件,但种类十分繁多。所以我们在APP上增加了一些安全的功能,比如手机VPN,现在有专门的VPN软件,比如iPhone VPNAndroid VPN软件。对其中一些数据做了特殊加密,对启动环境进行了判断。

3、 钓鱼,伪基站钓鱼是一种。另外是社工类的钓鱼,冒充客服打电话、兼职招聘收集用户信息等,其目的也主要是为了得到账号。

4、 无线,主要是伪热点收集信息。

用户这的问题都比较容易理解,但对用户端问题的解决则是一个很大的工程。这些问题的解决分为我们可以掌控的和不能掌控的。对于账号被盗、木马病毒,基本上我们还可以提供对应的解决方案。但是,通常用户不会理解这里的问题,总是将责任归于电商平台。会产生投诉,甚者会产生司法纠纷。所以对用户的投诉处理要慎重对待,某些特殊用户可能要先行赔偿,出现危机要有公关处理。

三、物流环节


物流端其实也和商户一样,但是结构上会简单一些。主要风险两个:
1、 内部倒卖。有倒卖系统数据的,但更多的是倒卖物流面单,倒卖物流订单的特点是地域化比较集中,通常是某个门店,所以很容易归类发现。而且主要集中在一些代理加盟的物流点,管理比较松散。

2、 系统漏洞。关于系统漏洞大家见得就多了,我印象中几个大的物流公司都有出过问题,攻击者可以直接从系统上捞取物流信息。
对物流公司的泄露,一是宣传教育,二是专项打击,配合公安几轮打下来,他们就会引以为鉴。这里有一个判断因子,有些情况下,订单还没有到物流侧,用户就接到了诈骗电话,所以在调查的时候要问清楚。

四、电商平台


从电商自己来说,泄露订单完全没有意义—我是指正规电商,不是那种骗了钱就跑的。买卖这些订单其实赚不了什么钱,还会对形象造成重大打击,带来无穷的麻烦和官司,完全得不偿失。所以从根本上就不会想通过这种方法赚钱。
平台端我碰到的问题主要分为两类,内鬼和系统漏洞。但内鬼里面最突出的问题是外包,所以我单拿出来说这种问题。

1、 内部员工作案。一个电商的业务系统,能够接触到用户订单的人实在太多,从客服到技术,到数据平台,前端等都有机会接触。内部员工的管控相对比较容易,一个是匿名化处理,所谓匿名化处理,就是对关键用户信息进行匿名或模糊处理,即使员工接触到也无法联系对方,或必须通过系统联系对方。再一个是操作监控,如果要偷拿订单信息,必然是批量化,而不是个别单一订单,从统计上就可以做一些规则预警。还有一个是加强警示教育,一旦发现,从重处理绝不姑息。内部员工作案的几率比较低,但一旦出事就是大事,所以这部分能够在自己掌控的地方要处理好。

2、 外包员工。外包员工的作案大家在媒体上也屡见不鲜,外包的应用系统开发、基础架构的维护、客服是这里需要重点看的问题。安全部门要介入外包管理,从最开始的立项就要保证外包无法接触到敏感数据。我们对外包除了在立项阶段,还进行现场调研,确定外包公司的环境能够满足我们对安全的要求,并且不定期抽查,抽查一定会让你有惊喜。

3、 自身的系统漏洞。这里我要提的几个点,一是主要漏洞:防扫号、SQL注入、越权/遍历问题、搜索引擎爬取,对这一类漏洞的防范,就看企业的基本功了,生产新上线的系统有没有经过代码审计、渗透和扫描。另一个要说的是,其实主站问题大家都比较重视,但有很多后台支撑系统,各种问题五花八门,当企业做大以后,后台支撑系统出的问题不比主站少,这就要清理回收支撑系统,该放在内网的收到内网,该关的关,该改的改。 

总结
1、 订单信息泄露的渠道多样,有很多渠道不在电商安全人员的掌控之内,原则上是自己能够把控的环境,一定要控制好。
2、 控制不到的地方,要想办法延伸服务,国内三方商家的发展也刚刚开始,不可能做到十分规范化的操作。这时候安全人员要从技术上做一些辅助工具来协助三方商家,而不是一味地指责。在这种延伸过程中,可以壮大安全部门,提高安全人员的能力,做得好,还有可能赚一些服务费。
3、 重视日志、环境数据的收集。在应急的时候,日志是泄露量判断的主要来源,也是攻击手法判断的主要来源,没有这个,丢人都不知道丢多大。再一个环境数据是指用户侧、三方商家侧,用了哪些软件、地域信息、商品类目、与谁合作都需要纳入,因为很多事件不是在短期内能够判断清楚的,把一定量的用户或商家订单泄露归并起来,就能从环境数据上找到共同点,从而重点突破。
4、 排除法。短期内要判断问题,可以从排除法下手,一个软件一个软件的停,然后看效果。
5、 综合解决方案。所有的订单信息泄露引起的诈骗,有一个点至关重要,就是用户的联系方式,没有联系方式诈骗就无法进行。但在商家、物流与客户的交易中,联系方式又至关重要。去年看到某电商对联系方式做了匿名化处理,我个人觉得是一个比较好的切入方式,当然工程量也很庞大,需要打通上下游一堆环节。但如果能够彻底实现,黑市的订单信息价格就会一落千丈。

2016年4月21日星期四

海外用户如何通过中国VPN 看国内在线视频

不论是留学还是工作旅行,相信以下场景你都曾在国外遇到。
抵达之后忙着收拾整理行李,打扫房间,好好睡一觉恢复半夜坐飞机的疲惫。忙到晚上好不容易有时间坐下歇会儿,掏出手机打开QQ音乐准备听首歌,一个“温馨提示”就像一盆冷水从头上浇了下去,透心凉:您所在的地区因为版权限制,不提供服务,We're sorry. Our Service is currently only available in Mainland China估计这也是很多出国党心中的痛,在国内翻墙用谷歌、推特,但墙外网站毕竟是少数,生活中大多数网站都还是国内的。出国之后,网络环境变了,使用习惯却没有变。长距离造成的国内网站普遍延迟高打开速度慢都是轻的,上至视频网站、下到网络电话都告诉我版权限制这真是让人无比伤神。




出国党受到的限制远比在国内时更多,除非能改掉国内的上网习惯,所有网站都用国外的同类网站替代。不过,虽然出国之后人在国外,国内还有家人有朋友,社交之类的日常活动肯定还是在国内网站上。况且还有那么多无法替代的网站:能让我看带字幕卷福的视频网站、免费打国内电话的网络电话,怎么解决海外看国内视频的问题,翻墙回国内,借助中国视频的VPN代理可以解决这个问题,拥有丰富的中国大陆IP地址,不止能通过国内线路在海外使用国内站点不被地区版权挡住距离,还能让你顺畅浏览Facebook、YouTube、Google等海外站点。借助中国VPN观看视频也是最简洁的方法。至于如何设置VPN从海外看中国大陆视频,大家可以参照详细的VPN设置教程。如果你有Android设备,你可以下载FlyVPN Android应用程序,注册获取14天免费VPN使用。然后这个账户还可以在PC,iPhone,iPad的,Mac上的设备上进行使用。

2016年4月20日星期三

用VPN观看Netflix被打压的真正原因:服务费上调

如果你使用过 Netflix 的影片服务,你可能会遇到这样的问题,自己喜欢的剧集没有在帐号所属的地区上线,这时候使用 VPN 改变 IP 位址就可以绕过服务区域的限制。事实上有许多 Netflix 的使用者都会使用 VPN 来获取最丰富的线上内容资源,所以一度在热搜榜上看到看Netflix用什么vpn哪些vpn能看Netflix ?这样类似的提问,个人也常常借助Netflix VPN跨区域看视频,之前香港Netflix和新加坡Netflix开通服务的时候,首月都是免费的,用VPN跨境看视频特别的划算。最近Netflix 的 CEO 第一次对使用者的这一行为表态,他认为订户使用 VPN 访问 Netflix 不是什么大问题,尽管该公司一直在对这一行为进行打击。




用户借助VPN跨境看视频是否为普遍现象

  Netflix 的 CEO Reed Hastings 表示,使用 VPN 连上 Netflix 的使用者数量非常少,在订户总数的占比很低,但公司意识到了这个问题,许多海外市场的订户通过使用代理服务器,将掩盖真实的 IP 位址,以便连上非所属区域上线的 Netflix 剧集,Netflix 并不认为这对公司的业务带来了多大的麻烦,这是一个无关紧要的问题。
  订户使用 VPN 连上 Netflix,很难把这一问题归责于使用者,真正的问题是 Netflix 是网络服务平台,理论上任何有网络的地区都可以连线该网站,但 Netflix 的内容则不是所有区域的使用者都可以看到,海外的订户看到的内容数量和品质都不及美国使用者,但很可能这些使用者支付的费用是一样的。


Netflix打压VPN的真正原因或者是涨价

  现在 Netflix 需要担心的问题是,即将进行新一轮的涨价,如何避免上一次涨价订户流失的状况重演才是大问题。2011 年拆分租赁和串流服务,导致服务费用大幅上涨,美国订户数量下降了 3%,之后不久再次涨价,流失了60 万订户。
  Netflix 在 2015 年 10 月宣布将把 HD 级别的服务费用上调到每月 10 美元,这一费率原计划是在 2016 年 5 月启用,但 Netflix 担忧突然提高价格会导致订户流失,该公司宣布将采用逐步提价的策略,按照订户帐号的使用年限分批涨价,降低对使用者的影响。也许这就是VPN被Netflix打压的真正原因吧。


相关阅读:
Netflix公司在印尼将很快被禁止服务
Netflix官方发文称将杜绝VPN跨境观看视频
以全球最低价观看Netflix影音视频


2016年4月17日星期日

远离手机APP安全隐患,保护数据安全

即使是乔布斯可能也想不到移动应用程序(app)会有如此巨大的潜力:一个小小的软件程序就能让智能手机获得新生。现在,在苹果、谷歌、微软、亚马逊和黑莓的app商店里已经有超过300万个app产品上线,有些热门应用更是被全球用户数十亿次下载。从调节室温、看护婴儿到运动健身,甚至操纵无人机,都有app的“身影”。但是,当人们在享受app带来的乐趣时,却很少有人注意到app的缺陷。




app暗藏诸多缺陷

众所周知,手机app正史无前例地大肆搜集用户信息,远远超出应用自身的基本需求或者用户授权的范畴。以facebook为例,除了跟踪个人信息外,它还记录用户输入的搜索关键词以及连网时的地理位置。许多app将这些数据信息“慷慨地”分享给搜索引擎、第三方广告公司。又比如不少app都是由非专业的业余程序员开发,这些人并未掌握全面的信息安全知识。结果就会经常发生用户敏感信息被外泄到其他平台,甚至被故意窃取。还有一些app,包括三分之一被测试的大银行app,设计也很糟糕,它们采用不加密格式向外部服务器传输用户信息,为黑客窃取信息大开方便之门。
另外,大量app在设计时为了适应蜂窝数据上限,优化智能手机有限的屏幕尺寸,设计者只把注意力放在他们认为有必要呈现的信息上,而向用户屏蔽那些具有安全价值的信息。同样,为使浏览更方便,移动浏览器经常隐蔽网页完整的url地址。此外,许多app也不给出安全提示,类似ssl的“挂锁”符号,而它们表明当前的交易是加密和安全的。


平台商责无旁贷

遗憾的是,大多数用户没有意识到这些问题,即使意识到也无可奈何,除了不下载app也没有其他办法。那么,如何解决这些问题呢?移动应用平台商――苹果、谷歌、亚马逊、微软责无旁贷。它们向用户卖手机、卖广告、卖产品,已经赚得盘满钵满,应该主动去引导那些app开发者设计出更安全的应用来回馈消费者。
第一,app设计者必须提高安全意识。通过制定设计标准、隐私披露需授权等方法,app商店可以逐步培养设计者的安全意识。可要求所有app精确显示搜集了用户哪些信息、和谁分享了这些信息。对于那些未经授权却转移用户敏感数据的app要打上标记以示提醒。
第二,为app建立一个安全测试评级系统,类似对新车安全性能测试设立的5星评级系统。由一个独立的网络安全组织专门负责测评app及其小插件的安全性能,并在app商店里标识出来。
其实,在app安全问题上,用户并非只能被动接受无能为力。人们可以通过下载安全浏览器、使用反恶意软件、可加密传输数据的虚拟专用网(vpn)以及一些隐私应用程序来实现自我信息保护,目前最好用的手机VPN品牌应该是FlyVPN,感兴趣的可以尝试使用免费手机VPN线路进行测试使用。当初app商店的诞生就是被用户开发的越狱软件“逼”出来的,现在,用户和消费者同样能对app开发设计施加影响,以便那些it公司、app开发者重视对用户权益的保护,而不是只想着如何拿用户信息去赚钱。

相关阅读:
黑客利用短信入侵Android手机,用VPN加密数据
为什么需要隐藏你的真实IP地址
2016年最佳保护网络隐私的工具-VPN代理


2016年4月16日星期六

如何玩海外皇家战争Clash Royale官方安卓版

Supercell新作部落冲突:皇家战争已于3月2日App Store全球同步上线,中国大陆的苹果用户已抢鲜体验。可是安卓国服版本更新太慢了,很多游戏玩家迫不及待的选择到海外Google Play里下载皇家战争Clash Royale官方安卓版抢先进行游戏体验了,外皇家战争Clash Royale独特的人物造型,丰富的剧情设计,游戏中不仅可以发现《部落冲突》里的兵种,而且画面风格跟COC基本一致。主要玩法是对线推塔,玩家可以通过卡牌召唤怪物和法术,攻击对方城堡;你将与皇室成员并肩作战,极具策略的对战玩法,为你带来一场前所未有的卡牌之旅!



想要玩外服的安卓手游,掌握Google Play的翻墙技能是非常有必要的。关于翻墙玩外服游戏最重要的环节就是找到稳定好用的VPN游戏代理,不然如果高延迟或者游戏频繁掉线会极大的游戏体验,根据使用经验,向大家分享目前最好用的游戏VPN软件:FlyVPN翻墙代理,是综合评比之后最适合国内安卓手游玩家,玩外服手游的VPN软件。可以用于翻墙下载Google play, 安装谷歌服务框架、安装Google Game,以及后续游戏同步、升级。


如何下载使用FlyVPN玩外服手游

你可以在FlyVPN官网下载Android VPN apk 或者在google play里下载VPN安卓软件,然后运行安装
首次下载使用的用户可以获取14天免费VPN软件的使用,此外你还可以使用测试VPN的免费账号和密码登陆客户端
选择游戏服务器所在地IP,比如美服游戏就选择美国IP地址,比如台服游戏,就在连接的时候选择台湾当地的IP线路




如何安装Google play的谷歌框架

国内大部分Android设备都没有配备完成的谷歌服务框架,想畅快完转Google play必须有完成的谷歌框架。
操作步骤:
1.安装安卓端VPN完毕,开启翻墙模式。网页在线下载Google play APK并安装。启动Google play (提前注册号Google 账号哦),下载Google play服务框架。



2.下载并安装Google Game,用户同步进度,多设备切换。



3.下载并安装部落冲突:皇家战争,启动后在设置中绑定Google play以保存账号进度。一切OK后就可以无忧畅玩了。



2016年4月14日星期四

日服LOL翻墙注册工具&VPN代理推荐

LOL日服很多小伙伴都想去玩一玩,很多玩家提同一个问题,截同一张图片,都是IP限制地域问题。下面给大家带来LOL日服翻墙注册工具日服LOL VPN代理推荐。一起来参考一下吧,希望大家看完之后能有所帮助。






什么是翻墙注册?

翻墙就是通过某个软件或者网页代理,让自己的地域位置变成日本,跨国进行注册。中国地区是被限制的,所以你直接访问注册是不可能注册上的!
推荐翻墙软件:FlyVPN-日服游戏专用VPN

什么是VPN?

VPN就是改变自己地区跨国进行游戏的软件,VPN代理能够让你的地区变成日本。这样你就可以登入日本游戏,日服是封了除日本地区之外的IP地址登入的!

很多有征战日服LOL的游戏玩家也可能会有各种稳定好用的日服VPN软件推荐,欢迎大家多多交流,无论如何检验大家下载的时候要找正规的大网站哦!而且在购买之前要看vpn服务器列表里是否有日本IP线路,另外请做好防毒的准备,有一些是带有木马病毒的请多多注意。

2016年4月10日星期日

最保密的即时通讯软件:Whatsapp,大陆用户翻墙可用

Whatsapp在3月31日起,全面采用称号讯号的信息协定,根据新的点对点通讯技术,Whatsapp所有通讯会开始采用AES 256位元加密匙,这个加密程度等同美国国家机密的加密程度。而加密了的信息,Whatsapp主机不会存有任何副本,亦无法解密,换言之,除了Telegram外,Whatsapp将是世界其中一个最保密的加密协定。而这次Whatsapp进行加密升级,不单涵盖文字信息,亦包括语音通讯,换言之,如果你需要打电话与你的朋友谈论一些敏感维权议题,透过Whatsapp的语音通讯功能,将会得到最高级别的加密保护,而暂时中国当局yeshi 难以解破通讯内容,此消息宣布以后,Whatsapp的下载量提升了很多。




Whatsapp的加密的安全程度

Whatsapp点对点加密是不用特别设定,因为只要你的Whatsapp已经升级到指定版本,而你的朋友的Whatsapp都已经升级到指定版本,所有通讯内容数据会自动加密,不用作出任何设定,你亦不可以选择不加密,Whatsapp会强制所有人可以加密的通讯都会加密。但如果你需要验证你和你朋友之间的加密通讯是否成功,可以进行验证。而这次翻墙问答有视频示范如何作出验证,欢迎听众浏览本台网站收看有关视频。


Whatsapp点对点加密如何设置

由于Whatsapp加密必须对Whatsapp版本作出升级,而有部分太旧的Android手机,并不支援新版Whatsapp,例如Android版本低于2.1手机,那你就必须更换安卓手机。由于Whatsapp主机不会让太旧的Whatsapp程式连到主机,所以为了确保未来能够继续使用Whatsapp,建议大家应尽早升级到新版。此外,如果你有群组,而要确保群组上所有通讯都作出点对点加密的话,你必须劝告群组上所有成员都对Whatsapp作出升级,因为Whatsapp只要发现有其中一位成员未升级,基于兼容的理由,都会暂时对整个群组的通讯不作加密,那就几乎肯定会做成保安漏洞。


Whatsapp是否可在中国大陆地区使用

有很多网友提出疑问:Whatsapp的加密功能如此强劲,会否中国当局日后要求苹果App Store禁止Whatsapp供中国用户下载?或对Whatsapp作出封锁?由于中国当局现时理论上难以对Whatsapp通讯作出解密,因此,中国当局对Whatsapp作出封锁的机会相当大。如果你是iOS的用户,最好尽快转换你的App Store商店的国家为香港,并作出下载。而你应考虑用香港电话号码作出短讯认证,因为中国当局有可能会对Whatsapp认证短讯作出拦截,一旦你换机时就可能因收不到认证短讯而出现麻烦。
而由于Whatsapp的加密相当强,中国当局很可能不让民众连上Whatsapp主机,因此,无论Android还是iOS手机,使用VPN翻墙是相当有必要。简单而言,现时使用Telegram可能遇到的问题,亦同样会在Whatsapp身上出现。


使用VPN翻墙才可使用Whatsapp加密通讯

那么网友关注的Whatsapp网页版,那会否受惠于这次Whatsapp重大的技术革新呢?专家回答Whatsapp网页版的通讯有着同样强度的加密技术所加密。但由于Whatsapp网页版比较特别,手机版必须持续连到Whatsapp主机,才可以用得到网页版,就像现在的微信网页版那样 ,必须有授权才可以。因此,如果你要使用Whatsapp网页版,除了你的手机要翻墙,你的电脑都要同时翻墙。Whatsapp网页版使用正规的HTTP技术,翻墙软件已经足够令网页版Whatsapp有效运作。
下面附上详细的VPN翻墙教程
Android系统设备如何翻墙

iOS系统设备(iPhone&iPad)如何翻墙
Windows系统设备如何翻墙
Mac如何设置VPN翻墙功能

2016年4月9日星期六

手机年代,男人应该学会的20条新礼仪

手机和网络除了带给我们大V、10万+、朋友圈、表情包外,还带来了一套不成文的社交新礼仪。而这项准则在海内外都是可以同样适用的,今天就把详细的礼仪规范分享给大家,看看你有没有什么疏漏的地方还是已经做的足够完美了呢?




1.摘下耳机跟人打招呼是21世纪的脱帽礼。——Twitter用户
如果你在中国大陆不知如何登陆Twitter或者Facebook,请看:
在中国使用免费VPN访问Facebook、Twitter
2.当一位优雅的女士,娇羞地对你说:“请问你有那个……”
请正直地拿出你的充电宝,借给她。
3.如果你要发布她的照片或合照,请使用美图秀秀、LINE Camera、VSCO、Snapseed、Aviary、Pixlr Express、Photoshop Express、Repix、Filterstorm等修图APP美化,并征得对方同意后再上传朋友圈。
相关阅读:
iPhone&iPad免费VPN获取LINE免费贴图
4.当别人把手机给你,让你看一张照片时,请不要左右滑动。
5.使用别人的手机时,请先把油手擦干净,别让屏幕上全是你的指纹。
6.在她身体不舒服的时候,如果无法在她身边照顾她,也请不要隔着手机屏幕说,多喝热水!
7.如果你要送礼物给她,请参考她的购物车&收藏夹&转发。
8.永远不要问对方:在吗?
方案一:开门见山。
方案二:请发一个红包先。
9.不要在群里一句话不说,只有在抢红包的时候才点点点。如果运气好,抢到了大红包,最好再包个小红包。
10.不要硬拉别人进微信群,还在群里不停呼唤他。大家都很忙。
11.不要在群里和某个人版聊——小窗私聊。
12.当你回复对方:“抱歉,先前没看到你的微信”时,请确定你之前没有在朋友圈点赞。
13.别一有什么矛盾就在微博、朋友圈指桑骂槐,骂是可以的,但先屏蔽好吗?
14.在和别人交谈时,不要心不在焉地玩手机。
15.和人聊天,如果不想聊了,扯个洗澡的理由就好。不要和别人聊着聊着,就不回信息了。
16.别人用电脑/手机的时候,不要站在背后偷瞄。
17.不要按手机分人,觉得用苹果就高人一等。很多人不止一款手机,想用锤子用锤子,想用苹果用苹果,想用小米用小米。
18.如果是重要的事情,请不要发语音。
19.用耳机听歌的时候,先检查一下有没有漏音。
20.据说,当今手机礼仪的第一大忌就是“打电话给别人”。(除了快递)
还有什么不成文的新礼仪? 请留言补充。

你可能感兴趣:
趣味阅读:当中国大陆网络封锁时,其它各国在封锁什么?
最新最热视频LINE TV看得到


2016年4月6日星期三

防火墙之父“翻墙”登陆fb失败遭讽

中国防火墙之父”方滨兴4月3日回到母校哈尔滨工业大学演讲,在进行专题报告时,方试图以韩国也建设网络防火墙来论证中国网络防火墙的必要。但是,当他点开用以论证自己观点的韩国网站时,却被自己参与设计的中国网络防火墙阻拦,唯有通过中国VPN翻墙绕过网络防火墙的封锁来佐证自己的演讲。




防火墙之父也要用VPN翻墙代理上外网

据网民爆料,方滨兴在母校举行主题为《定义网络安全》的讲座,席间方滨兴称韩国亦有建立网络封锁,他打算浏览北韩国防部网站展示资料时,却一直被中国的防火墙“困死”,逼不得已下只好用VPN上网。在场网民指,尽管方滨兴不断尝试,浏览器还是一直显示“页面找不到了”,令到现场气氛相当尴尬。
其后,方滨兴又打算登陆facebook、Google、twitter等网站作示范例子,但VPN不到一分钟就断了两次线,使他一直连结不到这些网站。看来防火墙之父并不是很善于找翻墙VPN代理呢,还是自己在家的时候有上外网的专线呢,甚至不如网友自用的VPN翻墙App好用,至少像我用的FlyVPN,绝对是稳定不掉线的VPN服务代理,无论是在国内访问国外网络或者是海外时候翻墙回国内都是非常稳定的,极少有VPN掉线的状况发生。在现场互联网防火墙之父最终只能退而求其次,在百度搜寻Google页面的截图。在场网民又指,校方在演讲最后,直接取消了提问交流环节,“估计是怕有人会扔东西”。其后,校方还代方滨兴向学生发出“温馨提示”,请学生不要尝试连结方滨兴席间提过的境外网站。


中国防火墙之父-方滨兴

方滨兴被称为“中国防火墙之父”,因为他是“中国长城防火墙”的主要设计者,亦因此成为中国网民的“头号公敌”。早前他前往武汉大学参加学术活动时,就曾被学生扔鞋扔鸡蛋。此外,他任职北京邮电大学校长时,曾因病而未能出席2012年的开学礼,结果却被学生在微博留言嘲讽“祝病魔早日战胜方校长”,表现了大家对网络防火墙禁锢网民言论自由的厌恶。

相关阅读:
防火墙之父当众翻墙失败, 方滨兴被批嘲"太讽刺
趣味阅读:当中国大陆网络封锁时,其它各国在封锁什么?
时隔六年,中国大陆不用VPN即可访问谷歌

2016年4月1日星期五

用免费日本VPN翻墙顺畅观看niconico视频

niconico是在线弹幕视频分享网站的鼻祖,日前虽然开放了台湾版本的niconico ,但是由于翻译水平方面的局限,很多台湾人是仍然抛弃niconico台湾版使用日版的niconico。由于GFW的封锁,在中国大陆地区niconico只能上首页,不能点播,虽然大家对niconico解禁盼望已久,但是似乎并没有传来niconico解禁的好消息。目前想要顺畅观看niconico视频的方法,应该是借助免费日本VPN翻墙,顺畅的观看niconico上的分享视频。



中国大陆疑似解禁niconico

日前有网友发布niconico网站被百度认证的消息,也有部分网友分享niconico在大陆可以正常观看的消息,不用翻墙也能登陆niconico似乎只是暂时的现象,绝大部分网友还是反映niconico可以在首页查询视频,但是点击进去会出现niconico黑屏的状态。要想稳定不卡顿的观看niconico动漫,建议还是借助日本VPN翻墙是最为便宜的方式。




如何获取免费日本VPN翻墙解锁niconico

根据个人的VPN使用经验,观看视频的VPN一定要是稳定性较强的。个人使用最好的免费日本VPN应该是FlyVPN,提供免费的日本IP线路,每天都可以免费测试使用三次,对于解锁niconico可以说是相当的够用了。而且这款免费日本VPN还支持Android、iOS、Mac OS X和Windows等主流系统设备。
首先你可以在免费日本VPN官网下载VPN客户端软件
在VPN免费试用页面获取免费日本VPN账号和密码
在客户端登陆选择日本IP线路连接即可,成功翻墙切换为日本IP地址。就可以顺畅的观看日本niconico线上视频了。


如何注册niconico账号

最近部分新加入的网友不知如何注册niconico账号,下面把简易的注册教程分享给大家:
首先打开某个视频,点击如图


点击如图所示的一般会员(免费会员)

在此输入你的登陆邮箱(QQ邮箱不可用),然后点 次の画面
依次输入下面内容,国家和时区可根据自己的需要填写,密码请输入6位或者以上且含有数字和字母的密码!回答问题随便。


输入完毕,点次の画面


输入验证码。点利用规约。


然后,大功告成,刷新首页即可。