Home » Computer » Archive by category "Security" (Page 116)

在外使用網路時的網路安全...

有人發現在 Hotel 使用網路時看網頁怪怪的,分析下去發現是 這家公司惡搞的原因:Hotel Connectivity Provider SuperClick Tracks You,剛好看到另外一篇對 的安全性有所顧慮:FON 的安全性?

先講 的安全性好了。我手上沒有 的機器,也沒用過 提供的網路,所以我只能針對不同的情況假設。第一種,如果他的認證頁面是透過 的 HTTPS 頁面做的話,那麼在認證的部份只要使用者有注意到,應該沒什麼問題。如果是在 FON AP 上認證的話,那麼 必須使用 Key-based 認證,不然就有被釣魚的危險...

再回來講連線的事情,當在外使用網路一定要注意的... WEP/WPA 只能保護無線網路這段連線 (也就是電腦到 AP 這段),並不能保護其他的部份。像 那篇所遇到的例子是上游惡搞你。

比較好的方法是全程都使用 HTTPS,像是 ,但並不是所有的站台都有提供 HTTPS。

另外一種方法是自己架設 SSL VPN (像是 ) 連到信任的網路上再連出去,或是透過 連到其他信任的機器 (以及網路),利用 所提供的 Socks5,將瀏覽器的 Proxy 指過去。

如果以上的辦法都不可行的話 (沒有自己可信任的機器?),也許可以購買 VPN 的服務...

Acer Laptop 的 ActiveX 後門

上報導了 的 Notebook 裡就有個 ActiveX Control 可以讓第三者任意執行任何指令 (檔案最後修改日期是 1998 年,所以作者也猜測這個後門應該很久了?):Acer May Be Bugging Computers

原報導在 About Acer Notebook LunchApp.APlunch ActiveX Control.... 這篇,看起來這篇也蠻久了,最下面的 Public Release 是 2006/11/19。最近 送給很多 Blogger 裝有 Windows Vista 的 Acer Laptop ( 說這是作為「善意的表示」),果然被 上面的人拿出來一起笑... XD

phpMyID

上看到一個蠻簡單的 implementation (其實也不怎麼簡單,七百多行的 code...),所以我就丟進 ports 了:

也許可以改看看,能不能給多人用...

安全性問題

Cracking the BlackBerry with a $100 Key 這篇是說任何一個人都可以花 $100 (美金) 買 Developer Key 用來簽自己寫的程式,然後在 裡面幹任何事情,像是幫別人送送 SMS,發發廣告信,把私人信件傳給別人之類的...。原報導是在 上發表的 Hacking the Blackberry

這個案例告訴我們:你不能認為付費的開發者就是好人。

那為什麼這篇會放到 "Blog" 這個 Category?因為 也做了同樣的蠢事,他們認為付費的 VIP 使用者所放的 Javascript 是沒有問題的:JavaScript 調整說明

EveryDNS 被攻擊

是一個免費的 DNS Hosting (當你需要 Hosting 比較多 Domain 時也有付費的選擇可以讓你用),功能不多 (不能設定 TXT,這樣就沒有辦法設定 以及 ),但對於一般使用來說已經相當夠用。

有不少的 DNS 都是放到 上,像是我的 gslin.org (完全讓 管) 以及蔡依林的 ijliao.info ( 只是扮演 slave 的角色)。

昨天 發生問題,因為四台 DNS 主機都被 DDoS 打爛了:EveryDNS Under Botnet DDoS Attack,在 這頁也可以看到說明。

核爆

看完某些白癡文章討論後,實在很想罵...

設計 Album/Blog 系統,沒人會考慮同時用核彈炸掉你三個機房的情況 !@#$%^

Two-factor authentication

工具要正確的被使用才有效果。

傳統只輸入密碼的方式有時被稱做 One-factor authentication,因為 是指兩種以上的認證,通常是透過 USB 外接 讀卡機用卡片另外做認證。

美國網路銀行將身份檢查的部分改用 進行認證,希望可以對抗 Phishing (網路釣魚)。問題這樣還是會受到 Man-in-the-middle-attack 與 Trojan (木馬) 的攻擊。

作為 的架構來說,Man-in-the-middle-attack 攻擊是在使用者瀏覽釣魚頁面時去原來的網路銀行上抓 所需要的 Message,傳給使用者後讓使用者認證。使用者認證完 (密碼以及 對 Message 的數位簽名) 送回釣魚頁面,釣魚頁面再送回原來銀行網頁,完成認證的動作,接下來開始把錢轉帳到其他戶頭去。這也就是 這篇 Fighting Fraudulent Transactions 提到美國銀行以及政府所使用的 無法保護使用者。

但這並不是 有問題,而是因為把 用在錯的地方上。台灣的網路銀行在這點上面做的 就是正確的方式。

以「轉帳」為例,你必須有一台 讀卡機,由銀行產生 Message (在裡面會包括要轉出的戶頭,以及轉入的戶頭,金額,以及一個流水號),讓晶片卡去這個 Message,然後傳回網路銀行驗證。

重點在於 必須用在每個交易動作上,而不是只用在一開始的認證:

The solution is not to better authenticate the person, but to authenticate the transaction. (Think credit cards. No one checks your signature. They really don't care if you're you. They maintain security by authenticating the transactions.)
(解決的方法並不是尋找更好的方法「驗證使用者」,而是「驗證交易本身」。想想信用卡怎麼做的,沒有人會檢查你的簽名,他們根本不在乎是你本人,因為他們是透過信用卡對每一項交易動作進行認證,以維護安全。)

用 OpenSSL 加密/解密

除了是個 library 外,還提供了 CLI (command line interface) 操作,你可以透過 openssl 這隻程式對檔案加密解密。

先輸入:

$ openssl help

由於沒有 help 這個指令,所以會出現可用指令列表。在 Cipher commands 會列出很多可用的 cipher,我個人偏好用 Blowfish CBC (bf-cbc),主要原因是速度非常快。

加密的指令是:

$ openssl bf-cbc -in input.txt -out output.txt

輸入進去後就會問你要設定的密碼。而解開只要加上 -d,把 -in 改成加密後的檔案,-out 改成要輸出的檔案即可:

$ openssl bf-cbc -d -in output.txt -out input.txt.orig

然後輸入密碼解開,如果密碼錯誤會出現 bad decrypt 的錯誤訊息,接下來你可以用 cmp 或是 diff 比較檔案是不是一樣。

接下來講比較實用的部分。最近 提供的硬碟空間愈來愈大了,於是你可以拿 來備份 (不要放到 www 目錄下),但你又不想直接把 .tar.gz 直接丟上去,這時候你就可以在壓縮的時候順便加密:

$ tar -zc -f - /backup/this/directory | openssl bf-cbc -k password -out mybackup-20061114.gz-bf-cbc

其中 -k 後面接的就是 key,而不指定 -in 代表從 stdin 讀入。

如果你想要把檔案拆小一點,可以把 -out 拿掉 (表示從 stdout 輸出),再 pipe 給 split 切開。(也許切成 600MB 再燒成光碟?)

Archives