Security

FBI 警告愈來愈多使用假身份與 Deepfake 技術應徵遠端工作的事件

在 Hacker News 上看到「FBI: Stolen PII and deepfakes used to apply for remote tech jobs (bleepingcomputer.com)」這個很「有趣」的文章，原報導在「FBI: Stolen PII and deepfakes used to apply for remote tech jobs」，另外 FBI 的公告在「Deepfakes and Stolen PII Utilized to Apply for Remote Work Positions」這邊。

The FBI Internet Crime Complaint Center (IC3) warns of an increase in complaints reporting the use of deepfakes and stolen Personally Identifiable Information (PII) to apply for a variety of remote work and work-at-home positions.

當 deepfake 的技術愈來愈成熟後，這個問題應該會愈來愈嚴重？

另外讓我想到，先前有人發現錄取的人跟面試的人好像不一樣的情況，但一時間找不到那篇文章...

微軟的 Outlook 系統會自動點擊信件內的連結

前幾天在 Hacker News Daily 上翻到的，微軟的 Outlook 系統 (雲端上的系統) 會自動點擊信件內的連結，導致一堆問題：「“Magic links” can end up in Bing search results — rendering them useless.」，在 Hacker News 上的討論也有很多受害者出來抱怨：「“Magic links” can end up in Bing search results, rendering them useless (medium.com/ryanbadger)」。

原文的標題寫的更批評，指控 Outlook 會把這些 link 丟到 Bing 裡面 index，這點還沒有看到確切的證據。

先回到連結被點擊的問題，照文章內引用的資料來看，看起來是 2017 年開始就有的情況：「Do any common email clients pre-fetch links rather than images?」。

As of Feb 2017 Outlook (https://outlook.live.com/) scans emails arriving in your inbox and it sends all found URLs to Bing, to be indexed by Bing crawler.

在 Hacker News 上的討論也提到了像是 one-time login email 的機制也會因此受到影響，被迫要用比較費工夫的方法讓使用者登入 (像是給使用者 one-time code 輸入，而不是點 link 就可以登入)。

先記起來，以後在設計時應該會遇到，要重新思考 threat model...

AWS 宣佈了 API 的 TLS 1.0/1.1 日落期

AWS 宣佈了 API 的 TLS 1.0/1.1 日落期：「TLS 1.2 to become the minimum TLS protocol level for all AWS API endpoints」。

公告裡提到是 2023/06/28：

This update means you will no longer be able to use TLS versions 1.0 and 1.1 with all AWS APIs in all AWS Regions by June 28, 2023.

TLS 1.0 目前還堪用的應該是 AES + CBC 類的 cipher，在正確實做 mitigation 下加減可以用：

對於像是 Java 6 環境這類很老舊的系統，如果真的無法升級的話，可以想到 workaround 的方法是透過 self-signed CA + TLS proxy 來幫忙把 TLS 1.0 的連線請求解開，重包成 TLS 1.2 的連線。

Laravel 將不會有 LTS 版本

查資料的時候發現，在 Laravel 9 剛發佈的時候是有掛 LTS 版本的資訊 (從「Laravel 9 (LTS) 出了」這邊的截圖可以看到)，但在發佈後沒多就就被拿掉了，在 Taylor Otwell 的 Twitter 上有提到這件事情：

Some have noticed L9 is no longer listed as "LTS" in our release notes.

Waiting to see the resolution of this: https://t.co/F5YCkJNKjt

It could determine how we approach Laravel 9 long-term support.

Regardless, Laravel 9 will receive security updates for at least 2 years.

— Taylor Otwell 🪐 (@taylorotwell) February 10, 2022

從幾個 forum 討論的態度上看起來以後不會出新的 LTS 版本了，之後的版本都是提供一年的 bug fix + security fix，再加上另外一年的 security fix，基本上有兩年的 support，算是半強迫開發者時間到了就要升級版本...

另外一個有看到的問題是，現在的 Laravel 9 支援的 PHP 版本因為底層 Symfony 要 PHP 8.0+ 關係也一起被拉上來，連 PHP 7.4 都不支援了：

這個靠「***** The main PPA for supported PHP versions with many PECL extensions *****」這類 3rd-party repository 來補是還能解，但感覺 Symfony 對這些問題的態度...

ARC (Authenticated Received Chain)

標題的 ARC 是指 Authenticated Received Chain，是前陣子在 Hacker News 上看到「Gmail accepts forged YouTube emails (john-millikin.com)」這篇才發現的東西，原文在「Gmail accepts forged YouTube emails」這邊。

作者發現 Gmail 收了從不是直接從 YouTube 發出來的信件：

主要的原因是，Gmail 除了使用標準的 SPF 與 DKIM 判斷外，還吃上面提到的 ARC。

查了一下 ARC，標準是 RFC 8617，目前還是被標成 experimental，主打是解決 forwarding 的問題，看了一下作者群是 LinkedIn (Microsoft)、Google 與 Valimail。

ARC 這東西與之前 Google 在強推的 AMP (然後被罰) 以及現在在推的 Signed HTTP Exchanges 都有相同的味道，無視 security & privacy concern 的東西...

如果把 OpenSSL 包裝成 GUI 版本

在 Hacker News Daily 上看到這則，蠻有趣的嘗試，如果幫 OpenSSL 包裝成 GUI 版本的話，可能會長的樣子：「If OpenSSL were a GUI」，而 Hacker News 上對應的討論在「If OpenSSL were a GUI (smallstep.com)」這邊可以看到。

要注意的是這是 mock 出來的圖，而不是真的有人這樣幹了一個版本出來。主要是在帶出 OpenSSL 這個工具極度複雜的問題，另外也因此帶出 GUI application 的取捨問題，在 Hacker News 上的討論都有人提出來。

不過讓我吸引的點反而是 mock UI 的選擇上，看起來作者選了 Platinum 風格 (Mac OS 8 & Mac OS 9)，在維基百科的「Appearance Manager」這個頁面有提到：

The default look and feel of the Appearance Manager in Mac OS 8 and 9 is Platinum design language, which was intended to be the primary GUI for Copland.

是個讓人懷念的風格，而且意外的看起來反而讓 GUI 柔和不少，而且其實就功能性來說還蠻不錯的？

Amazon EC2 支援 NitroTPM 與 UEFI Secure Boot

也是在清 RSS reader 的時候翻到的公告，在兩個禮拜前 AWS 宣佈 Amazon EC2 支援 NitroTPM 與 UEFI Secure Boot：「Amazon EC2 Now Supports NitroTPM and UEFI Secure Boot」。

NitroTPM 相容於 TPM 2.0 的界面，所以有支援 TPM 2.0 的軟體都可以利用 (像是 Windows 11)：

Nitro Trusted Platform Module (NitroTPM) is a virtual device that is provided by the AWS Nitro System and conforms to the TPM 2.0 specification.

之前在研究 LUKS 的時候也有看到 TPM 相關的資料：

Linux Unified Key Setup (LUKS) or dm-verity on Linux are examples of OS-level applications that can leverage NitroTPM too.

然後支援的平台有些限制，只有 Intel 與 AMD 的平台有支援，而且還要扣掉 Xen、Mac 以及 bare metal 的機種：

At the moment, we support all Intel and AMD instance types that supports UEFI boot mode. Graviton1, Graviton2, Xen-based, Mac, and bare-metal instances are not supported.

ARM 那邊有自己的一套，不太玩 TPM 大概可以理解，Xen 大概是不想支援 (停止開發新功能之類的原因)，Mac 可能是 Apple 的硬體限制，最後的 bare metal 是因為沒辦法虛擬化？

然後這個功能不另外收費，看起來幾乎是全球性一次更新：

There is no additional cost for using NitroTPM. It is available today in all AWS Regions, including the AWS GovCloud (US) Regions, except in China.

HTTPS Everywhere 將在明年一月 (2023/01) 停止運作

在「Set Up HTTPS by Default in Your Browser」這頁看到的東西：

Note: HTTPS Everywhere will sunset in January 2023.

我把他 submit 到 Hacker News 上：「HTTPS Everywhere will sunset in January 2023 (eff.org)」，裡面有一些有趣的討論，像是這跟 Google 硬幹 Manifest v2 也有關：

It doesn't seem to be mentioned by the EFF, but coincidentally, January 2023 is when Manifest v2 extensions stop working in Google Chrome: https://developer.chrome.com/blog/mv2-transition/

但查了一下，目前好像沒有好的技術標準可以確保第一次的 HTTPS request。馬上想的到的是透過 DNS 的方式指定，這樣就可以透過 DNSSEC 保護不被竄改，但看起來沒有這個標準...

Tor 0.4.7.7 支援 congestion control

Tor 首度在協定內支援了 congestion control：「Congestion Control Arrives in Tor 0.4.7-stable!」。

這個新功能會帶來效能的提昇：

Tor has released 0.4.7.7, the first stable Tor release with support for congestion control. Congestion control will eliminate the speed limit of current Tor, as well as reduce latency by minimizing queue lengths at relays. It will result in significant performance improvements in Tor, as well as increased utilization of our network capacity.

之所以沒有辦法直接利用 packet loss 的方式讓 TCP network stack 直接判斷 congestion control，是因為這樣會產生 side channel：

Crucially, we rejected mechanisms to provide congestion control by allowing packet drops, due to the ability to introduce end-to-end side channels in the packet drop pattern.

所以 Tor 得自己實做 congestion control 演算法，選擇的演算法是結合了 Vegas 的 Tor-Vegas，可以看到在實驗中，德國與香港的 exit node 效率大幅提昇：

另外也因為 0.4.7.7 也出來一個禮拜了，也可以看到 Advertised Bandwidth (算是 Tor network 觀察到的 bandwidth) 開始成長：

另外一個重要的點是 UDP 的支援計畫，看起來在這次改善後也比較有可行性了：

The astute reader will note that we rejected datagram transports. However, this does not mean that Tor will never carry UDP traffic. On the contrary, congestion control deployment means that queue delay and latency will be much more stable and predictable. This will enable us to carry UDP without packet drops in the network, and only drop UDP at the edges, when the congestion window becomes full. We are hopeful that this new behavior will match what existing UDP protocols expect, allowing their use over Tor.

GitHub 將在 2023 年底強制所有使用者都啟用 2FA

GitHub 公佈了強制使用 2FA 的計畫：「Software security starts with the developer: Securing developer accounts with 2FA」。

文章副標題把該講的都講完了：

GitHub will require all users who contribute code on GitHub.com to enable one or more forms of two-factor authentication (2FA) by the end of 2023.

自己開是一件事情，整個服務強制啟用是另外一個等級，還有一年多的時間...