Mozilla 將封鎖中國認證機關發出的網站認證

幾天前 Mozilla 發表一份調查報告,指控中國認證機關 (Certificate Authority) WoSign 不誠實地發出網站認證 (certificate),嚴重破壞 TLS 賴以安全的加密和認證機制,建議屬下的 Firefox 瀏覽器開發團隊阻截所有由 WoSign 及其屬下公司,包括著名的認證機關 StartCom,所發出的認證。

該報告指出,WoSign 在過去九個月,故意把一些新發出的認證的日期推前,逃避了互聯網業界對 SHA-1 散列函式的禁制,這項禁制是由於 SHA-1 可受到衝突攻擊 (collision attack) 令黑客輕易製作一張虛假的網站認證,破壞了整個認證制度。部份 WoSign 的客戶基於種種原因,希望他們的認證仍然以 SHA-1 簽發,WoSign 於是在發出新認證的時候,把發出日期推到本年初之前,令瀏覽器以為這些是很久以前發出的認證,豁免了對他們施加 SHA-1 禁制。

該報告也指控 WoSign 不正當地隱瞞併購以色列認證機關 StartCom 的行動,而 StartCom 與 WoSign 一樣,曾經擅自改動新認證的發出日期,逃避瀏覽器對 SHA-1 的禁制。

所以,Mozilla 建議 Firefox 團隊阻截所有由 WoSign 及其屬下公司 (包括 StartCom) 發出的認證最少 12 個月。

從現在開始直到 Firefox 及其他瀏覽器發佈新版本(其實從九個月前已經開始),用戶將會暴露在虛假網站的威脅中,這些網站通過了 TLS 的認證機制,從任何角度看都是真卻無訛的網站,但其實是黑客利用 SHA-1 的安全漏洞來偽冒,他們之所以成功,都是拜 WoSign 和 StartCom 所賜。倘若不想等待 Firefox 的新版本,立即保障自己,可以在瀏覽器的設定畫面手動刪除所有 WoSign 和 StartCom 的根認證 (root certificate)。但是請注意,部分網站可能從此難以造訪 (造訪時會收到類似「網站認證失敗」的訊息,你必須告訴瀏覽器豁免認證檢查,才能繼續讀取網站的內容,例如 PHP 開發人員的熱門網站 phpclasses.org 便有這個問題。這的確很不便,但考慮到進入了偽冒網站而被騙去個人資料和財產的風險,我強烈建議大家這樣做。

你的 Android 電子書閱讀 Apps 是否權限過大?

資料來源:你的 Android 電子書閱讀 Apps 是否權限過大?

很多人使用 Android 裝置閱讀電子書,但有幾多人知道這些電子書 apps 擁有幾大權限 - 可以讀取多少你的個人資料?Matt Bernius 比較了 17 種最流行的電子書 apps,發現很多 apps 取得超越所需的權限,例如接近四分之一 apps 可以知道你的地理位置,一半 apps 可以讀取你的電話號碼和 IMEI 號碼,有兩個 apps 知道你的 Android 系統內還有哪些 apps,這些權限跟閱讀電子書可說毫無關係。

雖然 Android 的 apps 在安裝的時候會列出它們所需的權限,但很多權限都晦澀難明,Apps 也沒有解釋它們為什麼需要這些權限,絕大部分的用戶都只是機械式地授權。

Android 電子書 apps 權限列表
Android 電子書 apps 權限列表 (圖片來源:EFF)

很不幸地,Android 的權限架構是用家只能「要或不要」(take it or leave it),用家要麼賦予某個 apps 全部要求的權限,否則便不能安裝這個 apps,不能選擇性地賦予部分權限。一些高階的 Android 用家會把裝置中的 Android 操作系統移除,換上一些以 Android 原始碼另行開發的操作系統,例如比較出名的 CyanogenMod,才可以享受更有彈性的授權機制。

俄羅斯黑客盜取 5,400 萬土耳其人個人資料

資料來源:俄羅斯黑客盜取 5,400 萬土耳其人個人資料

土耳其 Hurriyet News 引述民意調查公司 Konda 總經理的說話, 俄羅斯黑客從土耳其政黨的選民數據庫盜取了 5,400 萬土耳其人的個人資料,包括姓名、身分證號碼、地址等。土耳其最高選舉委員會 (Supreme Election Board) 把選民的個人資料與所有政黨分享,部分政黨的資訊安全知識十分貧乏,他們的系統甚至連防毒軟件也沒有,黑客只需兩小時便可以把所有選民資料複製。

NSA 指摘中國散播 BIOS 惡意程式

資料來源:NSA 指摘中國散播 BIOS 惡意程式

美國 CBS 著名訪談節目「60 分鐘時事雜誌」(60 Minutes) 訪問美國國家安全局 (NSA) 總監 Keith Alexander 將軍和資訊保證總監 (Information Debora Plunkett,在其中一段對話 Plunkett 表示 NSA 成功阻截一個由中國開發的 BIOS 惡意程式,拯救了美國,甚至全世界的經濟,由此論證 NSA 無遠弗屆的網絡監控是保衛國家安全不可或缺的手段。問題是,BIOS 惡意程式根本不是新鮮事物,也不是什麼了不起的威脅,比它影響更深遠的東西例如橫掃歐美國家的勒索軟體 CryptoLocker、困擾全球電腦用戶多年以盜取銀行登入資料聞名的 Zeus 木馬程式等 NSA 卻束手無策,這次訪談顯然只是 NSA 的公關工程,但在科技界眼中只是另一個笑柄,「60 分鐘時事雜誌」也為此賠上聲譽。

 

英國政府索取解密密鑰 電郵服務商寧可結束業務

資料來源:英國政府索取解密密鑰 電郵服務商寧可結束業務

曾經獲得斯諾登信任的電郵服務商 Lavabit,和網絡安全通訊服務商 Silent Circle,因不肯把解密密鑰交給美國國家安全局 (NSA) 而先後被逼結束業務,同樣事件原來在今年初亦曾經在英國發生。英國國家通訊總局 (GCHQ) 在年初向 CertiVox 索取可解密用戶電郵的密鑰,CertiVox 寧可結束他們的電郵加密系統 PrivateKey,也不向 GCHQ 低頭。

國際財經時報報導,在斯諾登還未泄露 NSA 的機密文件,Lavabit 和 Silent Circle 還在提供安全可靠的電郵服務,2013 年初 GCHQ 便已經向 CertiVox 索取可以解密用戶電郵的密鑰,當時 CertiVox 正向用戶提供一個可進行端對端加密的安全電郵系統,稱為 PrivateKey,用戶可透過網頁界面或 Outlook 把電郵加密,加密後的內容連 CertiVox 的員工也無法解密。但是 GCHQ 要求 CertiVox 給 PrivateKey 建立後門,讓他們可以讀取用戶的電郵,CertiVox 的行政總裁 Brian Spector 說:

 我們有兩個選擇,一是建構世界上最安全的加密系統,安全得連 CertiVox 也無法讀取你的數據;一是花 500,000 英鎊在系統建立一個後門,讓 GCHQ 讀取數據,再把數據交給美國國家安全局,但是這與我們當初向用戶宣揚的價值觀和訊息背道而馳。

CertiVox 最後選擇取消 PrivateKey 服務,GCHQ 雖然目標未達,但也不是沒有收獲,至少他們成功結束一個他們無法破譯的電郵加密系統,原有的用戶惟有使用一些安全性較低的服務,一些可以被 GCHQ 截取內容,或者窺看電郵元數據 (送件者、收件者、標題、日期時間等等) 的服務。

FreeBSD 開發團隊不信任 Intel 和 VIA 的加密晶片

資料來源:FreeBSD 開發團隊不信任 Intel 和 VIA 的加密晶片

FreeBSD 一向不信任 Intel 和 VIA 加密晶片的隨機數產生功能,不會以它們作為產生加密密鑰的唯一隨機數來源,即將發佈的 FreeBSD 10.0 版本亦貫徹這一信念。Intel 和 VIA 分別提供 RDRANDPadlock 工具,以硬體晶片產生隨機數,FreeBSD 把這些晶片產生的數據混入其他數據中,這樣即使晶片的運算邏輯暗藏後門程式或弱點,最後得出的隨機數仍然安全可靠。

斯諾登的機密文件揭露美國國家安全局 (NSA) 和英國國家通訊總局 (GCHQ) 有能力破譯大部份互聯網上的加密通訊,其中一個方法是與晶片製做商合作,在晶片中加入後門程式或弱點,雖然文件沒有指明哪些公司與 NSA 和 GCHQ 合作,但 FreeBSD 的開發團隊在今年九月的會議卻具體說「在版本 10 我們不會把 RDRAND 和 Padlock 的數據直接送到 /dev/random,只會把它們送到 Yallow 算法。」Yallow 是一個免費公開的隨機數產生算法,由一組電腦安全專家設計。

FreeBSD 的安全主管 Dag-Erling Smørgrav 說,在該次會議前不久,七月的時候有一個由第三方用戶提供的 FreeBSD 內核補丁,容許用戶使用 RDRAND 或 Padlock 作為隨機數的單一來源。該補丁沒有經過適當的審查,也違反了既定的程序,在跟著的幾個星期這補丁反覆被移除和加入,最後在十月被完全清除,而這個補丁也沒有出現在任何一個 FreeBSD 的正式版本。

Smørgrav 說一直以來都有企業用戶要求 FreeBSD 容許他們直接從 RDRADN 提取數據,原因是所有美國國防承包商和其他政府工作人員均需依從 FIPS 140 標準,而 RDRAND 的底層算法正好符合這個標準中的確定性隨機數產生器 (deterministic random number generator) 要求。FreeBSD 的立場是他們不會阻礙用戶使用這些硬體的隨機數產生器,但卻不認同他們的做法,倘若 FreeBSD 為這些硬體提供內核界面,無異於認同這些硬體。

隨機數產生器是任何安全密碼系統重要的組成部份,它類似棋類遊戲中使用的骰子,必須確保每次投擲的結果都是完全隨機。若果有人能減低隨機數產生器產生的熵 (entropy),或者想出一些方法預測它的部分輸出,便有方法推算出用來解密的密鑰。例如,在 Google Android 操作系統內隨機數產生器的一個弱點,最近便被盜賊利用來竊取用戶數碼錢包內的 Bitcoin。前面提及的 RDRAND 便是 Ivy Bridge 和更高版本的 Intel 處理器的隨機數來源,而 Padlock 則為 VIA 生產的晶片設定隨機數種子 (seed)。

即使沒有斯諾登泄漏的文件,FreeBSD 採用多元化的數據來源來提高隨機數產生器的熵也是正確之舉,這樣做可能有助防止台灣的身分證系統最近發現的安全漏洞

轉貼:對抗點擊劫持新武器:X-Frame-Options

原文網址:對抗點擊劫持新武器:X-Frame-Options

點擊劫持 (Clickjacking) 是一種誘使用戶點擊一個看似無害的超連結或按鈕,實際上卻是點擊在另一個網頁上的一個超連結或按鈕。後果可能是泄露了機密的資料,或無緣無故「讚好」一個網站,甚至開啓電腦內置的鏡頭和麥克風。網站開發人員當然有希望保護用戶不受攻擊,可用的手段主要有 Framekiller 和 X-Frame-Options,前者並不可靠,尤其在 IE 上可以輕易被攻擊者破解 (IE 的安全問題真是罄竹難書),後者只是瀏覽器自設的措施,並非業界標準。IETF 終於在兩個月前正式接受 X-Frame-Options 為 HTTP 的標頭 (header),從此開發人員的安全工具箱又多一件武器。

點擊劫持是什麼?

設想有一個用戶在網上討論區或 Facebook 見到一個「每天賺一萬塊錢的方法」超連結,懷著好奇點擊一下,來到一個惡意網站,頁面有一個「快速賺錢祕訣」的超連結,他心想入寶山怎能空手回?毫不考慮 便點擊下去,結果糊裡糊塗在自己的 Facebook 上「讚好」了一個商品的專頁,而他自己卻毫不知情。

原來那個惡意網站在「快速賺錢祕訣」超連結的前方,放置了一個透明的 iFrame,網址是「讚好」一個商品的 Facebook 專頁,iFrame 的位置經過小心安排,使裡面的 Facebook 按鈕剛好與「快速賺錢祕訣」超連結重疊,當用戶意圖點擊「快速賺錢祕訣」的時候,實際上點擊了 iFrame 中的 Facebook 按鈕,如果用戶的瀏覽器已經登入了 Facebook (十之八九用戶的瀏覽器都長期登入了 Facebook),這個「讚好」便會立即被執行。

X-Frame-Options 是什麼?

X-Frame-Options 是一個 HTTP 標頭 (header),用來告訴瀏覽器這個網頁是否可以放在 iFrame 內。例如:

X−Frame−Options: DENY
X−Frame−Options: SAMEORIGIN
X−Frame−Options: ALLOW−FROM http://www.facebook.com/

第一個例子告訴瀏覽器不要 (DENY) 把這個網頁放在 iFrame 內,通常的目的就是要幫助用戶對抗點擊劫持。第二個例子告訴瀏覽器只有當架設 iFrame 的網站與發出 X-Frame-Options 的網站相同,才能顯示發出 X-Frame-Options 網頁的內容。第三個例子告訴瀏覽器這個網頁只能放在 http://www.facebook.com/ 網頁架設的 iFrame 內。

不指定 X-Frame-Options 的網頁等同表示它可以放在任何 iFrame 內。

X-Frame-Options 可以保障你的網頁不會被放在惡意網站設定的 iFrame 內,令用戶成為點擊劫持的受害人,它剛在今年 10 月成為業界標準,IE8、Firefox、Safari、和 Chrome 都支援 X-Frame-Options。

用戶怎樣對抗點擊劫持?

除了依靠網站,用戶也可以防禦點擊劫持,包括:

  • 工作後立即登出網站。
  • 使用 Firefox 瀏覽器,並安裝 NoScript 附加元件,它的 ClearClick 功能防止 iFrame 內看不見 (包括透明或者被 CSS 隱藏起來) 的超連結、按鈕等被點擊。
  • 停用包括 Flash 在內的插件,Adobe 的 Flash 插件曾被發現能導致點擊劫持的安全漏洞

完美遠期保密

資料來源:完美遠期保密

完美遠期保密 (Perfect Forward Secrecy) 是在 HTTPS 基礎上進一步保護用戶與伺服器之間的通訊,在 HTTPS 通訊協定下,所有數據都被加密才送進網絡,但是萬一伺服器的 SSL 密鑰 (private key) 因某些原因泄漏,HTTPS 的加密的鑰匙便會被破解,過去和將來的通訊統統暴露在陽光之下。完美遠期保密使用的卻是一次性的加密鑰匙,不能從伺服器的 SSL 密鑰推算出來。

HTTPS 的問題

HTTPS 使用的 SSL/TLS 安全技術,要求用戶與伺服器使用一條共同的加密鑰匙 (對稱密鑰) 為兩者之間的通訊加密,儘管每次會話 (session) 的加密鑰匙都不同,不過只要收集在建立 HTTPS 通訊時雙方交換的資料,加上伺服器的 SSL 密鑰 (private key),這條加密鑰匙是可以被推算出來的。若果伺服器不幸被入侵,SSL 密鑰被盜取,或者被政府機關勒令交出,伺服器與用戶之間的通訊便再無秘密可言。

斯諾等的泄密文件揭露美國國家安全局 (NSA) 曾經竊聽 HTTPS 通訊,並把內容儲存下來,這些加密了的通訊當時可能無法解讀,但日後取得伺服器的 SSL 密鑰便可以把以前儲存下來的加密通訊解密,往後的通訊同樣全無秘密可言。電子郵件服務商 Lavabit 就是因為受到政府壓力交出伺服器的 SSL 密鑰而決定關閉業務,創辦人 Ladar Levison 此舉實屬難能可貴,但肯定有更多公司為了延續生命,甘願把 SSL 密鑰雙手奉上。所以使用 HTTPS 只能防範一般的黑客,對國家級的專業黑客是毫無防守之力的。

完美遠期保密

採用完美遠期保密的 HTTPS 通訊,加密鑰匙只是短暫性的,而且不能從伺服器的 SSL 密鑰推算出來,這樣即使 SSL 密鑰日後被盜取,過去和將來的 HTTPS 通訊仍然安全,竊聽者始終無法解讀通訊的內容。

哪些網站支援完美遠期保密?

不太多,但數量正在增加,已經支援完美遠期保密的著名網站包括 Google、Facebook、Dropbox 等等,Amazon 和 Apple 根本沒有這方面的計劃,Yahoo 更可憐,他們仍然努力為伺服器添加 HTTPS 功能而努力,完美遠期保密當然連樓梯的響聲也未聽到。

如何得知連線是否完美遠期保密?

使用 HTTPS 連線的話,在網址欄上 URL 旁邊通常都有一個掛鎖標誌,點擊一下這個掛鎖可以看到這個連線和網站證書的詳細資料,在有關安全性的資料中,查看現在使用什麼加密機制。下圖是香港渣打銀行網站的連線資料:

渣打銀行 HTTPS 連線資料
渣打銀行 HTTPS 連線資料

紅色框的部分就是加密機制的資料,只有支援 ephemeral Diffie-Hellman 的加密法才算是完美遠期保密,其中兩個最常見的是 ECDHE_RSA_RC4_SHA 和 DHE_RSA。上圖可見渣打銀行的網站儘管支援 HTTPS,但並不支援完美遠期保密。

我們看看推動網絡人權和隱私的 EFF 網站的連線資料:

EFF HTTPS 連線資料
EFF HTTPS 連線資料

注意紅色框內的加密機制包含 ECDHE,那是 Elliptical Curve, Diffie-Hellman, Ephemeral signed 的縮寫,表示它支援完美遠期保密。

不是完美遠期保密的 HTTPS 仍然可用嗎?

可以的,只要你不要使用這種連線傳送報和個人資料和隱私。上面我們看到香港渣打銀行網站的 HTTPS 不是完美遠期保密,所以使用該銀行的網上服務,資料泄漏的風險便與該銀行的 SSL 密鑰的安全性掛鉤,銀行的伺服器或許保安嚴密,SSL 密鑰被盜取得可能性甚低,但政府機關要求它交出 SSL 密鑰又如何呢?渣打銀行會像 Lavabit 那樣寧可關閉業務也不妥協嗎?我不敢斷言,你自己判斷好了。

使用了完美遠期保密,我的資料從此高枕無憂嗎?

當然不是,HTTPS 和完美遠期保密只保護網絡中的數據,當數據進入伺服器後,這兩項技術再無用武之地。伺服器如何儲存你的資料?有否加密以至即使資料被黑客盜取仍然無法解讀?加密的機制如何?怎樣管理密鑰?伺服器管理員會否出賣你的資料圖利?這些都是影響資料安全性的因素。

二百萬 Google, Yahoo, Facebook 密碼網上任意觀看

資料來源:二百萬 Google, Yahoo, Facebook 密碼網上任意觀看

一間安全顧問公司發現一個俄文網站張貼了超過二百萬個 Google, Yahoo, Facebook, LinkedIn, Twitter 等賬號和密碼,他們相信這些資料是透過受害人電腦內的惡意程式蒐集,另一方面 Google, Facebook, Yahoo 等公司均表示他們的網站並沒有受到攻擊,但已經聯絡受害人重設密碼。

Linux 蠕蟲攻擊網絡裝置、路由器、機頂盒、監察鏡頭

資料來源:Linux 蠕蟲攻擊網絡裝置、路由器、機頂盒、監察鏡頭

有研究員發現一種新的 Linux 蠕蟲,專門攻擊網絡裝置,包括路由器、機頂盒、監察鏡頭、工業上的操作系統等等,這些裝置的用戶大都不知道裝置內部的操作系統是 Linux,也不會經常保持內部的軟體和韌體在最新狀態,所以很多裝備或已受到攻擊而不知曉。

這條蠕蟲是由 Symantec 的研究員發現,它首先隨機產生一個目標 IP 地址,然後嘗試連接到目標機器的一個特定路徑,使用一些常見的賬號名稱和密碼登入,然後發送一個 HTTP POST 請求,這個請求利用一個 PHP-CGI 安全漏洞,促使目標機器從一個惡意伺服器下載蠕蟲的程式,目標機器執行這個程式便會把蠕蟲繼續散播開去。

有關的 PHP-CGI 安全漏洞其實已經在 2012 年 5 月修正,但是用較早期版本的 PHP-CGI 的裝置在網絡上肯定有很多,他們都可能成為攻擊的目標。

Symantec 表示從惡意伺服器下載回來的蠕蟲似乎除了不斷繁殖外,不會進行任何破壞。此外,他們暫時也沒有收到被褥蟲入侵的報告,但考慮到很多網絡裝置的用戶都不知道裝置內的操作系統是 Linux,蠕蟲本身也沒有明顯的破壞行為 (除了系統負荷加大了),所以有可能很多裝置已受到感染,但用戶並不知曉。

預防的方法是把裝置的軟體保持最新狀態,使用強密碼,和阻擋外部 HTTP POST 請求連接到 -/php-cig/php* 路徑。