Tag Archives: pgp

Bitcoin.org 對於接下來的 release 發出警告

Bitcoin.org 發出了有點摸不著頭緒的警告:「0.13.0 Binary Safety Warning」。 Bitcoin.org has reason to suspect that the binaries for the upcoming Bitcoin Core release will likely be targeted by state sponsored attackers. As a website, Bitcoin.org does not have the necessary technical resources to guarantee … Continue reading

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

PGP 短 ID 的安全問題

PGP 短 ID 的安全問題出來了,不見棺材不掉淚啊:「Fake Linus Torvalds' Key Found in the Wild, No More Short-IDs.」。 重點在這段,已經有人發出攻擊了: Search Result of 0x00411886: https://pgp.mit.edu/pks/lookup?search=0x00411886&op=index Fake Linus Torvalds: 0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886] Real Linus Torvalds: ABAF 11C6 5A29 70B1 … Continue reading

Posted in Computer, Linux, Murmuring, Network, OS, Programming, Security, Social, Software | Tagged , , , , , , , , , , , , , , , , | Leave a comment

Cisco 釋出偵測是否有被植入後門的程式

前幾天在「在 Cisco Router 上被植入的後門」這邊提到了 Cisco 的 router 被植入後門,剛剛在 Zite 上看到 Cisco 放出檢查程式:「Cisco released a tool to scan for SYNful_Knock implants」。 程式是用 Python 寫的,可以在「Talos Intel - Synful Knock Scanner」這邊取得,但這個網站沒有用 HTTPS 保護,網站上提供的 Hash 簽名也沒有 PGP 簽名的資訊,從無信任起... 找了一下 Cisco 官方的資訊,在「SYNful Knock Scanner」這邊也有提供 Hash,請用這邊的值確認吧,這是目前能做到最好的確認了。

Posted in Computer, Hardware, Murmuring, Network, Security, Software | Tagged , , , , , , , , | Leave a comment

Hacking Team 購買 Flash Exploit 的信件

前情提要:「Hacking Team 被黑而洩漏出來的資料」。 在「How a Russian hacker made $45,000 selling a 0-day Flash exploit to Hacking Team」這邊提到了 Hacking Team 被黑而洩漏出來的信件,透漏了俄羅斯的人賣 Flash Exploit 給 Hacking Team 的過程。 從內容就可以看出不同的賣法,包括「首次」與「獨家」都是可以談的條件: 1) The price is US$45,000.00 for the non-exclusive sale of any special discount … Continue reading

Posted in Computer, Murmuring, Network, Security | Tagged , , , , , , , , | Leave a comment

Facebook 支援 PGP 機制

Facebook 宣佈支援 PGP 機制:「Securing Email Communications from Facebook」。 有兩個功能,首先是可以讓別人查詢。 另外一個是可以要求 Facebook 寄給你的信件都用這把 Key 加密。 如果有 API 可以拉出資料的話就更好了...

Posted in Computer, Murmuring, Network, Security, Social, WWW | Tagged , , | Leave a comment

Google 在 Chrome 內的 PGP:End-to-End

Google 前天發表了 Chrome 裡面的 PGP 實做套件:「Making end-to-end encryption easier to use」。 目前只放出了 source code,並沒有在 Chrome Web Store 上架,這點在網站上就直接說明了,他們目前認為目前沒有被足夠的人檢查過,所以請不要傳到 Chrome Web Store 上: Since this is source, I could just build this and submit it to the Chrome Web Store Please … Continue reading

Posted in Browser, Computer, GoogleChrome, Mail, Murmuring, Network, Security, Software, WWW | Tagged , , , , | 1 Comment

如何安全下載軟體...

由於從網路上下載軟體回自己電腦跑是種「引狼入室」的行為,如何用合理的方式驗證下載回來的軟體,會是對資安敏感的人的重要課題。 然後就看到一篇純粹抱怨文,以 PuTTY 為例,要肯定確定抓到的軟體是沒被「加料」過的卻是困難重重:「Downloading Software Safely Is Nearly Impossible」。 PuTTY 算是資訊安全類的軟體,但卻發現難以找到合理的方式確認 XDDD 首先是要先判斷「哪個站台是正確的官方站台」時,卻發現 putty.org 這個網域不是原作者 Simon Tatham 擁有,而即使是公認的官方網站 www.chiark.greenend.org.uk 的 greenend.org.uk 這個網域,也不是原作者擁有。 然後 www.chiark.greenend.org.uk 沒有提供 HTTPS,所以下載下來後還要想辦法確認沒被動手繳過。而作者的 RSA public key 放在 earth.li 網域上,同樣的這也不是作者擁有的網域,而且也遇到同樣問題:public key 的下載也不支援 HTTPS。 然後去 MIT 上的 PGP key … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , | 5 Comments