显示标签为“VPN app”的博文。显示所有博文
显示标签为“VPN app”的博文。显示所有博文

2016年5月23日星期一

VPN翻墙之后看什么,11个App,比别人更快找到「高质量国外资讯」

Quora—美国版「知乎」

这款APP其实就是美国版知乎,你可以在上面提问或者回答问题。我主要是用它来搜索答案,很多问题我在知乎上搜一遍之后,还会去 Quora 上搜一遍,兼听则明嘛。
使用这个 App 的好处是可以在「Sessions」活动(类似于知乎圆桌的问答活动)中对某个名人进行提问,Quora 会把他们请过来回答问题。这些人可能是在国内有所耳闻外国人,比如Facebook的COO,桑德伯格。我们在国内媒体上只能看到Ta们的只言片语,而去 Quora 上能看到他们对某个问题的完整表述。


Yahoo News Digest—「干货」聚集地

这是 Yahoo 发布的新闻摘要,全是干货。他们把新闻报道编辑成1000字以内概述,每篇 Digest(摘要)阅读时间不会多于3分钟,但足以让你了解一个热门话题。如果想要粗略了解美国媒体在报道什么,看看科技、经济、政治方面的动态,就看这个。读起来很简单,全是干货。特别深奥的专家解读全都被Digest去掉了。
   

Medium—美国版「豆瓣」

Medium 跟豆瓣很相似,很多作者在上面分享自己制作的文字内容,包括科技,创业,艺术,政治等等。「比特币首富」李笑来老师曾隆重推荐过这款 App。
这款App的阅读界面广受好评,字体、排版一看就是精心设计过的,读起来很舒服。最主要的是,上面的作者跟中国的网红差不多,用的语言都比较亲民,不像新闻报道那么官方,很容易理解;而且更新速度快,观点多样,能刺激读者产生更多想法。


 Timeline—美国版「大象公会」

Timeline 特别像国内的大象公会,主要谈论历史、社会、教育等。
它属于电子杂志类的 App,文字排版也非常漂亮。而且,Timeline编辑推荐的内容都会结合热点,并对国外文化进行深度挖掘,有知青年或者文艺青年会喜欢看。而且,Timeline 收录的文章语言都很轻快,国内的同学完全可以接受。如果你做的工作跟文化、媒体有关,这个App对你会有帮助。


Buzzfeed—「不正经人」专用

娱乐化的阅读就看 Buzzfeed,这有点像国内的好奇心日报。上面什么都有,电影、文化、星座、八卦、同性、明星都包含在内。如果你不是一个正经人,或者想读一些不正经的内容,这款 App 挺适合你的。
跟Buzzfeed内容相似的App还有「Tumblr」。内容很杂,图片搞怪,很多国内的博主会去Tumblr下载图片。但是下载Tumblr要到美国App Store才行,因为这款App在国内被下架了(安卓市场也下载不到)。所以,这里只做简单介绍,想下载的同学可以去搜「Tumlr下载方法」。
   

Huffpost—据说是「最客观的媒体」

Huffpost,中文名叫赫芬顿邮报,自称是一个自由的报纸,没有政治偏向,在国内也能阅读(不像纽约时报被关在大门外)。如果你是一个正经人,要看正经新闻,不想看前面那些内容,就看这个吧。我经常在这个App上看一些关于政治的报道,但它也有健康、科技、商业方面的内容。


Vimeo—美国版「秒拍」

前几个App都是看字的,这款App是用来看短视频的,跟国内的秒拍差不多。
如果你所在的行业很拼创意,那最好不要把素材的搜索范围局限在国内,偶尔也看看国外的内容会有帮助。Vimeo就是这样一个能给你提供素材的平台。这里的大多数视频都是英语的,能锻炼你的英文水平。有时候可能听不明白,但可以根据画面来猜。
   

TED—看讲座都找她

看讲座类视频,用 TED 就够了。很多奇人,会在TED讲座中发表自己的研究成果,或者观点。比如,不到8岁的小说家警告大人们不要看不起小孩子,读了2个博士的物理学家讲解生活中的认知偏差。
我在这里主要看心理学方面的视频,能找到很多,方便我引用到自己的文章中。TED还有一个优点,它的大部分视频都可以选择字幕,可以单独选择中文或英文。而且,视频讲座的形式也更容易让人理解。


Goodreads—赫敏也在用

Goodreads 是读书社交类App,可以跟其他读书的朋友进行交流。艾玛·沃森(赫敏的扮演者)也在用这款App分享自己的读书进度哦。我就是因为她才使用这款App的。
你可以把自己的读书进度更新到Goodreads上,这样你的朋友就能了解你的阅读状态。当然,你也可以看到朋友的阅读状态,了解他们的书单。而且这个app还会推荐很多书,如果你想读英文书,它可以指导你的阅读。虽然这款 App 在国内比较冷门,但是中文图书上面也都有。


 即刻—订阅你感兴趣

「即刻」是个信息的集散地,你可以在上面订阅你感兴趣的信息。不光有国内信息,还有国外信息(而且,一般都是翻译好的)。
比如,如果Quora(我们的第1个推荐)又请了1个牛人来回答问题,「即刻」会推送消息提醒你。或者川普又发表了1个惊世骇俗的言论,「即刻」会翻译之后告诉你。但这个App跟本次推荐的其他App不同,是由国内开发者制作的,所以,在这里可以看到更多国内热点。


Twitter

大家一定很熟悉,但是李笑来老师创建的2个List可能你还没听说。这两个List(列表)里都是国外的科技投资人和创业者。如果你想了解国外科技创业的最新动向,应该订阅这2个List。订阅之后,你就能跟踪这些人发表的想法,了解他们的投资方向或者创业项目。
每个List中都包括300+投资人或创业者的推特账号,订阅一下可以免去你自己费力去搜罗。订阅方法如上图。李笑来说他每天都会看看这些人发的内容,来思考自己的投资方向。

最后:工欲善其事,必先利其器。希望这些App能给你提供更多信息来源。

相关阅读:
安卓翻墙工具,最好用的Android手机VPN
国外翻墙用QQ音乐,优酷等软件的方法
Android 用户福利:VPN APP免费使用14天!


2016年4月25日星期一

解析网购订单信息泄露的秘密,不只是商家贩卖

相信很多人都曾面临过自己的订单信息泄露引起的诈骗或者骚扰电话、典型的机票改签骗局、订单退款骗局等等。每次大家都很愤怒的认为电商平台在出卖自己的信息,然而事实上是怎样,在看下面的文章之前你可能只是觉得个人信息被贩卖或者物流泄露,其实要了解订单究竟从哪里泄露的,要看整个产业的流转情况。我们下单买一个东西,大体上要经过商家、电商平台、物流、最后到达用户手中,所以这四个环节都有可能产生订单信息泄露的问题,今天就从多个角度来看看我们的网络信息到底是什么时候被泄露的呢?


一、商家环节


商家和电商平台在有些时候是一个,但在中国是有很多第三方卖家的。例如你在某宝买充气女朋友,某宝是平台,而卖家可能是福建一个批发街上的小铺子。也就是自营和第三方商家的区别,一般来说我们认为自营的安全性比较高,而第三方商家则参差不齐,存在较大的风险。
在实际工作中,我们也统计过案例,实际上看到的数据,商家确实是订单泄露最主要的原因。但这只是基于我们自己的数据来看。商家信息泄露表现比较突出的有五种原因:

1、内部倒卖。内部员工倒卖订单数据分为两种情况,一种是内部员工行为,另一种则是黑产打入的行为。先说内部员工行为,一个小型商家对员工的录用,大家可想而之是个什么情况。不在乎学历,不在乎背景,只要有点经验即可,而且待遇也比较低,员工流动也大,因此面对一些诱惑,很容易去倒卖数据,卖了几批数据后就跑路换个其他公司接着做。还有一种是黑产打入,黑产直接派一些人去应聘,然后拿数据,也是干一阵就跑。
对付这种倒卖行为,要求商家去加强员工入职管理和权限管理,但对于这么小的商家,可能只有三五个人的商家,很难谈得上什么管理,更谈不上所谓的权限控制。一个大的平台,可能会有几百上千万大大小小的商家,这个管理难度不亚于治理一个国家了。一个稍微可行的办法是,要求所有商家的员工入职前统一上传身份证照片,然后建一个库,对发现这种行为的打上标记,禁止进入,只不过,这仍然取决与商家的管理水平,你可以想象得到,商家会随便应付一下。但至少比没有要好一些,能形成一些震慑力。

2、木马病毒。商家的员工有时候会接待一些声称有大订单的人物,订单包括多种需求,所以会需要员工接收订单文件,又或者发给员工一个链接,而木马病毒就在这里了。木马和病毒会潜伏下来监控员工电脑操作,获取订单软件系统信息的帐号密码。之前我们也反复教育过商户,不要使用QQ、邮箱之类的接收来历不明的文件,但是面对这个群体,你能想到这种教育的效果。我们也曾经考虑过,给商户的电脑统一安装我们自己开发的杀毒软件,但这是一个很大的工程,木马病毒又会不断变形产生对抗,等于要成立个防毒软件公司了,。

3、三方工具后门。在线销售会需要一些系统的支撑,比如仓库管理、订单管理、面单打印等,市面上也有各种公司提供这一类软件,这种软件水平也参差不齐。有的直接就是黑产这种人开发的,目的就是窃取订单信息。还有的属于安全能力薄弱,有一些漏洞可以被利用,但是单一的某个软件漏洞还不够可怕,现在很多公司为商家提供一揽子服务,订单系统的服务器都在云上,一旦突破就是一个大群体订单泄露。所以针对这个情况,我们做了两件事,一是要求所有的软件系统都必须经过我们的安全测试,否则不给接口,在这一关做一层控制,但这也还不够,因为有些比如快递打印系统,是不需要直接调用我们的接口的,另外即使做了代码的检查,也仅仅是软件级的,出现事件后无法追溯到底哪个环节出了问题。所以我们又建了个云服务器区,建议商家和软件提供商迁移到这里来,这样一旦出了状况,我们能通过日志分析查找根源。

例如曾经有段时间比较流行的某订单打印软件,按正常功能,应该是能够同步我们的平台和物流公司。但在出问题的那几周,物流公司反馈无法同步到订单打印信息,而欺诈分子就会利用这个时间进行电话欺诈。根据这个疑点,我们停用订单打印软件后,这家店铺的客户订单欺诈明显消失。

4、弱口令。我们会给商户提供一个在线的订单管理平台,再加上商户自己用的平台,都会存在弱口令问题。所谓弱口令并非是指123456这种,而是由于商户员工的流动性,离职后密码没有修改造成订单信息被窃取。我们也曾考虑过做短信校验,但短信校验码就需要绑定手机,给一个公司的人绑定手机存在着实际的操作困难。后来我们采用了证书机制。但这也只是解决了自有平台的问题,商户自用平台还是存在口令泄漏。在排除法上,一旦出现订单信息泄露反馈,立刻修改密码,由此来判断是否是由于口令问题引起。

5、无线与监听问题。很多公司都用的是小型家用无线路由器,这种路由器一是默认密码不修改,二是自身有漏洞。这样黑客就可以采用DNS中间人、网络监听流量等手段获取网络流量信息。这种情况下,改系统密码、上云服务其实都没有用处,但最重要的问题是难以发现。商户完全不具备这种被攻击的发现能力,除非我们做一款硬件安全路由分发给商户。

商户这端的风险,主要是由于商户IT水平、管理水平较低造成,另外分散在全国甚至海外。所以如果要完全解决商户端的风险,就几乎意味着我们要替商户包办一切,从软件系统到杀毒软件,从无线路由再到人员管理,事实上对于一家电商公司来说,是几乎不可能完成的任务。

二、用户环节


用户自身的问题属于第二个比较突出的问题。能在这里看这篇文章的,对自身的安全都有防范意识,但对于小白用户,这就是一个比较突出的问题。而且订单信息泄露最终的受害者也是用户,如果安抚不好处理不当,就会吃官司。
用户这里比较突出的是问题:账号被盗、木马病毒、钓鱼、无线网络。

1、 账号被盗。这个很容易理解,不解释了,值得一提的是目前主要是撞库。撞库这个事情,稍微有点技术实力的电商都会用各种手段来防御,比如设备指纹、IP判定等防扫号。

2、 木马病毒。主要是手机端的比较突出,去年下半年一段时间,我们发现接近70%的订单信息泄露是手机用户。我们密集调研了受害用户,发现在手机上确实存在安卓远控类软件,但种类十分繁多。所以我们在APP上增加了一些安全的功能,比如手机VPN,现在有专门的VPN软件,比如iPhone VPNAndroid VPN软件。对其中一些数据做了特殊加密,对启动环境进行了判断。

3、 钓鱼,伪基站钓鱼是一种。另外是社工类的钓鱼,冒充客服打电话、兼职招聘收集用户信息等,其目的也主要是为了得到账号。

4、 无线,主要是伪热点收集信息。

用户这的问题都比较容易理解,但对用户端问题的解决则是一个很大的工程。这些问题的解决分为我们可以掌控的和不能掌控的。对于账号被盗、木马病毒,基本上我们还可以提供对应的解决方案。但是,通常用户不会理解这里的问题,总是将责任归于电商平台。会产生投诉,甚者会产生司法纠纷。所以对用户的投诉处理要慎重对待,某些特殊用户可能要先行赔偿,出现危机要有公关处理。

三、物流环节


物流端其实也和商户一样,但是结构上会简单一些。主要风险两个:
1、 内部倒卖。有倒卖系统数据的,但更多的是倒卖物流面单,倒卖物流订单的特点是地域化比较集中,通常是某个门店,所以很容易归类发现。而且主要集中在一些代理加盟的物流点,管理比较松散。

2、 系统漏洞。关于系统漏洞大家见得就多了,我印象中几个大的物流公司都有出过问题,攻击者可以直接从系统上捞取物流信息。
对物流公司的泄露,一是宣传教育,二是专项打击,配合公安几轮打下来,他们就会引以为鉴。这里有一个判断因子,有些情况下,订单还没有到物流侧,用户就接到了诈骗电话,所以在调查的时候要问清楚。

四、电商平台


从电商自己来说,泄露订单完全没有意义—我是指正规电商,不是那种骗了钱就跑的。买卖这些订单其实赚不了什么钱,还会对形象造成重大打击,带来无穷的麻烦和官司,完全得不偿失。所以从根本上就不会想通过这种方法赚钱。
平台端我碰到的问题主要分为两类,内鬼和系统漏洞。但内鬼里面最突出的问题是外包,所以我单拿出来说这种问题。

1、 内部员工作案。一个电商的业务系统,能够接触到用户订单的人实在太多,从客服到技术,到数据平台,前端等都有机会接触。内部员工的管控相对比较容易,一个是匿名化处理,所谓匿名化处理,就是对关键用户信息进行匿名或模糊处理,即使员工接触到也无法联系对方,或必须通过系统联系对方。再一个是操作监控,如果要偷拿订单信息,必然是批量化,而不是个别单一订单,从统计上就可以做一些规则预警。还有一个是加强警示教育,一旦发现,从重处理绝不姑息。内部员工作案的几率比较低,但一旦出事就是大事,所以这部分能够在自己掌控的地方要处理好。

2、 外包员工。外包员工的作案大家在媒体上也屡见不鲜,外包的应用系统开发、基础架构的维护、客服是这里需要重点看的问题。安全部门要介入外包管理,从最开始的立项就要保证外包无法接触到敏感数据。我们对外包除了在立项阶段,还进行现场调研,确定外包公司的环境能够满足我们对安全的要求,并且不定期抽查,抽查一定会让你有惊喜。

3、 自身的系统漏洞。这里我要提的几个点,一是主要漏洞:防扫号、SQL注入、越权/遍历问题、搜索引擎爬取,对这一类漏洞的防范,就看企业的基本功了,生产新上线的系统有没有经过代码审计、渗透和扫描。另一个要说的是,其实主站问题大家都比较重视,但有很多后台支撑系统,各种问题五花八门,当企业做大以后,后台支撑系统出的问题不比主站少,这就要清理回收支撑系统,该放在内网的收到内网,该关的关,该改的改。 

总结
1、 订单信息泄露的渠道多样,有很多渠道不在电商安全人员的掌控之内,原则上是自己能够把控的环境,一定要控制好。
2、 控制不到的地方,要想办法延伸服务,国内三方商家的发展也刚刚开始,不可能做到十分规范化的操作。这时候安全人员要从技术上做一些辅助工具来协助三方商家,而不是一味地指责。在这种延伸过程中,可以壮大安全部门,提高安全人员的能力,做得好,还有可能赚一些服务费。
3、 重视日志、环境数据的收集。在应急的时候,日志是泄露量判断的主要来源,也是攻击手法判断的主要来源,没有这个,丢人都不知道丢多大。再一个环境数据是指用户侧、三方商家侧,用了哪些软件、地域信息、商品类目、与谁合作都需要纳入,因为很多事件不是在短期内能够判断清楚的,把一定量的用户或商家订单泄露归并起来,就能从环境数据上找到共同点,从而重点突破。
4、 排除法。短期内要判断问题,可以从排除法下手,一个软件一个软件的停,然后看效果。
5、 综合解决方案。所有的订单信息泄露引起的诈骗,有一个点至关重要,就是用户的联系方式,没有联系方式诈骗就无法进行。但在商家、物流与客户的交易中,联系方式又至关重要。去年看到某电商对联系方式做了匿名化处理,我个人觉得是一个比较好的切入方式,当然工程量也很庞大,需要打通上下游一堆环节。但如果能够彻底实现,黑市的订单信息价格就会一落千丈。