Home » Computer » Archive by category "Security" (Page 121)

Sony Rootkit 感染人數

Rootkit 會去查詢 connected.sonymusic.com、updates.xcp-aurora.com、license.suncom2.com 這些 record,於是利用 non-recursive query 就可以知道某台 DNS server 是否有 client 受到感染。

這個意思是說,如果我的電腦被裝了 Sony Rootkit,而且 140.113.1.1 為我設定的 DNS server,那麼你可以在 140.113.1.1 找到這三個 record。用 non-recursive query 的意思是說,叫 DNS server 只在他所負責 (authorized) 以及目前 cache 的部分找,如果沒找到不需要連出去找 (也就是 recursively query)。

Still More on Sony's DRM Rootkit 這篇文章裡面提到了 Kaminsky 利用 DNS non-recursively query 來估算中獎電腦的下界,結果數字大的令人驚訝,超過五十萬台 DNS server 都有:

The results have surprised Kaminsky himself: 568,200 DNS servers knew about the Sony addresses. With no other reason for people to visit them, that points to one or more computers behind those DNS servers that are Sony-compromised. That's one in six DNS servers, across a statistical sampling of a third of the 9 million DNS servers Kaminsky estimates are on the net.

請注意一件事情:像 168.95.1.1 這種超多人用的 DNS server 也只算到一筆,於是整個 HiNet ADSL 的用戶很大的一部份只被算到一次。也就是說,這篇文章暗示的數字其實遠超過五十萬。

UpdateBoing Boing 這篇 Latest Sony news: 100% of CDs with rootkits, mainstream condemnation, retailers angry 指出了在事發之前,有人透過 網頁上的 feedback form 詢問有哪些 CD 是有保護機制,結果 回答:

By the end of fiscal 2005, 100% of Sony BMG titles released will contain this content protection technology. Please assume every one of our CDs are protected in this fashion.

這就可以解釋為什麼中獎的人這麼多了。

Sony Rootkits 事件

Update:CD’s Containing XCP Content Protection Technology 這頁提供了有 Rootkit 的列表。

在 CD 裡面放 Rootkits 的事情在國外鬧的沸沸揚揚,有好幾個團體已經決定打官司控告 ,而且也有 病毒 & 木馬利用 Sony Rootkits 隱藏自己的程式,但國內除了 一篇標題看不出嚴重性的「Sony隱藏防拷軟體遭防毒廠商鎖定」,好像沒什麼人報導。

如果你想知道事情的經過, 這篇 Sony anti-customer technology roundup and time-line 依照時間順序整理得相當完整。

整件事情是從 在測試 時發現他的系統內有異常而開始的:Sony, Rootkits and Digital Rights Management Gone Too Far

RSA-640 因數分解

看到的新聞:RSA-640 Factored

310 7418240490 0437213507 5003588856 7930037346 0228427275 4572016194 8823206440 5180815045 5634682967 1723286782 4379162728 3803341547 1073108501 9195485290 0733772482 2783525742 3864540146 9173660247 7652346609
=
1634733 6458092538 4844313388 3865090859 8417836700 3309231218 1110852389 3331001045 0815121211 8167511579
*
1900871 2816648221 1312685157 3935413975 4718967899 6851549366 6638539088 0271038021 0449895719 1261465571

RSA-640 的因數分解跟上次 RSA-576 一樣是用 (GNFS),這次的分解用了八十顆 Opteron 2.2GHz,共花了五個月的時間 (這不是指 CPU time,而是實際的時間)。

原始的文章在這:We have factored RSA640 by GNFS.

預設密碼的問題

上報導了加州某所學校因為預設老師的密碼所造成的資料洩漏問題:Generic Passwords Expose Student Data

其實國內也有很多類似的鳥蛋問題,但是他們都會推卸責任給使用者 (在上面的新聞裡面就是教師),認為這是使用者沒有修改密碼。

但這是錯的 - 就如同 對於研究生帳號的預設密碼設計 - 預設密碼就是帳號名稱。在今天 Open Proxy 夠多,不可能擋得完的情況下,有心人甚至可以寫程式幫你把整個系統的密碼改光光...

比較好的方法當然是透過實體認證 (學生證、身份證、...) 領取帳號與預設的亂數密碼。另外,在已經有某套可以信賴的認證基礎時,可以利用現有的認證架構提供服務...。

OpenSSH 與 SSH Communications 的 SSH

的報導, (當初發展 SSH Protocol 的公司) 認為 的品質不足以成為企業級的產品:(SSH Claims Draw Open Source Ire)

OpenSSH is not an enterprise-class product that is needed for the demands of a large-scale deployment. We do not compare OpenSSH to our SSH Tectia solution, since it's far from the same,

可是 的佔有率遠遠超越其他人 XD

However, OpenSSH is very popular and is commonly deployed in almost all BSD, Unix and Linux systems. More than 87 percent of Internet-facing servers were using OpenSSH, according to an OpenSSH Internet scan in September 2004.

這段 Comment 直接說明了 的氣量:

They claimed OpenSSH was not "enterprise ready". Pointing out that many, many enterprises not only use it, but build it into their products is a fairly compelling rebuttal.

They are either using their own private definition of "enterprise" that doesn't include organisations like Cisco, or they are lying. Either way, they are discredited.

IEEE 802.1X

下面是我在 tw.bbs.campus.nctu (== nctu.talk) 發表的文章,電話是快六點的時候接到的...

作者: DarkKiller (悸動) 看板: nctu.talk
標題: Re: 802.1X 與 RFC
時間: Sat Sep 24 21:28:37 2005

老師好,

※ 引述《ltc@xx.nctu.edu.tw》之銘言:
> 其它管制衝 IP 的技術必須定時從 router 取得 IP、MAC table,從 switch 取得
> MAC、switch port table,做交叉比對,代價太高,因為上網連線時間平均值,絕
> 對遠大於抓取table 的時間,跟連線、離線紀錄負擔差太多。

今天有個女生打電話到我家裡的 ADSL 附掛電話,接起來聽聲音不知道是誰,
我也不清楚他怎麼拿到這隻附掛電話的號碼。

對話的過程大概是這樣:

女:你是 DK 嗎?

我:啊? (楞了一下)

女:你是 DarkKiller 嗎?

我:呃... (問題不是我是不是 DK,問題是你怎麼知道這隻號碼?)

女:你負責 802.1X 的部分嗎?

我:呃... (我的精神狀態持續 ... 中)

女:我以前也管過網路,現在住在女二舍,為什麼要啟動 802.1X 才能防止衝
    IP 啊?

我:呃... (還在恍惚,正想要回答的時候女生又繼續講)

女:我記得學校用的是 Cisco 2950,不是每個 Port 設一組 ACL 擋 source
    IP 就好了嗎?幹嘛又要啟動 802.1X 又要鎖 MAC address?

我:呃... 你說的好像也對... (好強... *震驚*)

女:那就不要再用 802.1X 了啊,blah blah... (後面幾句沒在聽了,然後她
    就掛電話了)

我:... (這是哪位大神啊)

然後我覺得我的生命安全受到威脅,趕緊跑出去跟學長去清大夜市吃晚餐,還
順便跟學長猜了老半天「這個人是誰」,剛剛才回到家。

但是我覺得這位女二舍的同學 (學姐?) 說的有些道理:

* 如果要管制衝 IP,只要對每個 Port 設 ACL 正向表列每個 Port 可使用的
  source IP address,總共 48 組。

  以 ARP 的行為來說,現有的設備沒有辦法阻止衝 IP 的現象發生,但可以利
  用 ACL 設定到「如果不使用正確的 IP 就不會通」,而降低衝 IP 的意願。

另外給女二舍的大神:

我沒有負責處理 802.1X 啊,您弄得到我的電話代表您神通廣大,您應該也弄
得到負責人的電話,不要打給我抱怨啊 =_=

--
                                                Resistance is futile.
                           http://blog.gslin.org/ & <gslin@gslin.org>

Archives