Tag Archives: number

信用卡的先天缺陷造成盜刷問題

在「Guessing Credit Card Security Details」這邊看到的攻擊手法,基本上無解,除非信用卡的網路交易也全面改成使用晶片... 手法其實很簡單,就是先算出一個合法的卡號,然後分兩階段攻擊取得資訊: 先去找數家只需要「卡號 + 日期」的網站,用暴力法踹出日期 (假設五年就是 60 次)。 再去找數十家需要「卡號 + 日期 + CVV2」的網站,用暴力法踹出 CVV2 (1000 次)。 所以 1060 次就擺平了... 就算所有網站都需要 CVV2,也是 60000 次的嘗試而已 (找數千個網站來踹),算是完全可行的方案。而目前只能靠 workaround 來防止,像是需要多輸入姓名與地址之類的資訊來擋...

Posted in Computer, Financial, Murmuring, Network, Security | Tagged , , , , | 4 Comments

Libgcrypt 與 GnuPG 的安全性問題

在「Security fixes for Libgcrypt and GnuPG 1.4 [CVE-2016-6316]」這邊看到這個歷史悠久的 bug: Felix Dörre and Vladimir Klebanov from the Karlsruhe Institute of Technology found a bug in the mixing functions of Libgcrypt's random number generator: An attacker who obtains 4640 bits from the … Continue reading

Posted in Computer, Murmuring, Security, Software | Tagged , , , , , , , , , , , | Leave a comment

Google 對國際電話號碼格式常見誤解的說明

Google 對於國際電話號碼格式常見誤解的說明:「Falsehoods Programmers Believe About Phone Numbers」。 先看最後一個: 15. Phone numbers are always written in ASCII In Egypt, it is common for phone numbers to be written in native digits. 電話號碼不是 ASCII 可以搞定的喔!!!然後你就可以理解沒什麼是不可能的 XDDD 這個系統是靠各種 backward compatible workaround 堆出來的,你覺得的假設通通會被推範 XDDD

Posted in Computer, Murmuring, Network, Programming, Telephone | Tagged , , , , | 1 Comment

四位數密碼的分佈

分析信用卡四位數密碼的分佈:「PIN number analysis」。 透過已經外洩的資料分析: Obviously, I don’t have access to a credit card PIN number database. Instead I’m going to use a proxy. I’m going to use data condensed from released/exposed/discovered password tables and security breaches. 19xx 那邊特別高,拉出來看可以看到分佈:(很像是出生年 XDDD) 相同的 … Continue reading

Posted in Computer, Financial, Murmuring, Security | Tagged , , , , , , , , | Leave a comment

V8 Engine 的 Math.random() 在新版被重寫了...

先前在「V8 的 Math.random() 亂度不足的問題」提到 Math.random() 因為使用 MWC1616 (Fast random number generation using 128 bit multimedia extension registers on Pentium class machines) 而不夠亂的問題。 這個問題在新版 V8 Engine 提出改善了:「There's Math.random(), and then there's Math.random()」。 新實作的方法是 xorshift128+,擁有極長的 period length: This has been pointed out … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Programming, Security, Software | Tagged , , , , , , , , , , , | Leave a comment

V8 的 Math.random() 亂度不足的問題

在「TIFU by using Math.random()」這篇看到作者踩到地雷,於是在討論 V8 Engine 的 Math.random() 的亂度不足。 其實這個問提早在 2012 年就有人在 StackOverflow 上詢問:「Why is Google Chrome's Math.random number generator not *that* random?」,而且也回答得很清楚。 而 Mozilla 這邊在 2006 年也被提出了類似的問題:「Bug 322529 - Upgrade Math.random() to a better algorithm, such as Mersenne Twister」。 … Continue reading

Posted in Browser, Computer, Firefox, GoogleChrome, Murmuring, Network, Programming, Security, Software | Tagged , , , , , , , , , , , , , , , , , , , | 2 Comments

iOS 9 的未知來電顯示功能

iOS 9 的一個重要功能是未知來電的顯示:「iOS 9 tells you who that unknown caller is」。 等於是讓 Whoscall 在 iOS 上退場了。

Posted in Computer, Murmuring, Network, Telephone | Tagged , , , , | Leave a comment

利用 WPS 實做上的問題攻擊,而取得 WPA 密碼

在「Wi-Fi Router Attack Only Requires a Single PIN Guess」這邊看到利用 WPS 實做上的弱點攻擊而取得 WPA 的密碼。 投影片取自「Offline bruteforce attack on WiFi Protected Setup」這邊: 利用各種方法攻擊,像是不夠安全的 PRNG (Pseudo Random Number Generator)。 作者的建議是,關掉 WPS 會比較安全 XD

Posted in Computer, Hardware, Murmuring, Network, Security | Tagged , , , , , , , , | 1 Comment

利用 Facebook Notes 對圖片 cache 的特性發動 DDoS 攻擊

在「Using Facebook Notes to DDoS any website」這篇文章裡提到了利用 Facebook Notes 允許使用者嵌入 <img> 標籤時的特性,利用 Facebook 的 server 進行 DDoS... 在 Notes 一般的 <img> 會被 Facebook 的伺服器 cache 起來,但如果是帶有 query string 的 <img> 就不會 cache (因為不同的 query string 表示不同的 url 是合理的),於是就可以利用這個特性打出超高的流量: 這個問題被 Facebook … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , | 4 Comments

NSA 付錢給 RSA 放後門的事件...

Edward Snowden 再次丟出 NSA 內部文件,表示 NSA 付錢給 RSA 在演算法裡面放後門:「Exclusive: Secret contract tied NSA and security industry pioneer」。 RSA 的回應則是完全不想提到這筆錢是做什麼用的:「RSA Response to Media Claims Regarding NSA Relationship」。 現在一般在猜測,這個後門應該就是 RSA BSAFE 的預設偽隨機數產生器 Dual_EC_DRBG。 對於 Dual_EC_DRBG 的攻擊,2006 年的「Cryptanalysis of the Dual Elliptic Curve … Continue reading

Posted in Computer, Murmuring, Network, Security | Tagged , , , , , , , , , , , , , , , | 1 Comment