幹壞事是進步最大的原動力
在 Google Chrome 上之前是透過 WebRTC Block 之類的軟體阻擋網站透過 WebRTC 取得 Local IP address 的功能,現在則內建在 uBlock₀ 內了。
在「You can block WebRTC from leaking your IP now in uBlock Origin」這邊看起來是這個月月初 (2015 年 7 月) 開發出來的功能。
用 WebRTC Leaktest 交叉測試可以發現 Public IP address 的部份,目前測過的套件都擋不下來,但 Private IP address 的部份都有順利擋下來。
又可以少裝一個套件了...
這幾天資安領域最熱鬧的消息莫過於 Hacking Team 被黑之後洩漏出來的 400GB+ 的資料:「Hacking Team hacked, attackers claim 400GB in dumped data」、「Hacking Team hacked, attackers claim 400GB in dumped data」。
洩漏的資料可以在 GitHub 上的「hackedteam」取得,或是透過 BitTorrent 取得 (i.e. 51603bff88e0a1b3bad3962614978929c9d26955)。
烏雲上的「人手一份核武器 - Hacking Team 泄露(开源)资料导览手册」這篇寫得很完整了,現在的系統已經整合到這樣,於是要對這個人做任何事情都很容易:
也因為這次的 leak 而使得不少軟體在修正 0day exploit...
This is the correct way to patch Flash pic.twitter.com/ZKgbu1Qkf0
— Jonathan Zdziarski (@JZdziarski) July 8, 2015
好精緻的核武...
本來只有 Windows 10 的 IE11 有支援 HSTS,而前幾天的更新則是讓 Windows 7 與 Windows 8.1 的 IE11 也支援了:「HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7」。
With today’s monthly security updates (KB 3058515), we’re bringing the protections offered by HSTS to Internet Explorer 11 on Windows 8.1 and Windows 7. HSTS is also available in both Internet Explorer 11 and Microsoft Edge on Windows 10.
這次的更新讓所有主流瀏覽器都支援 HSTS 了,再加上前一篇「Wikimedia (包括維基百科) 推出 HSTS (強制使用 HTTPS)」提到的,愈來愈多人用啦...
然後據 zonble 說,iOS 9 有些東西會 HTTPS only (預設值),該回頭去催自己人支援了 :o
Wikimeda 宣佈所有旗下的網站都會啟用 HTTPS 與 HSTS:「Securing access to Wikimedia sites with HTTPS」。
在這之前,使用者可以用 EFF 的 HTTPS Everywhere 強制使用 HTTPS (在 Firefox 與 Google Chrome 都有上架),而這次則是全面強制使用了。
愈來愈多人使用 HTTPS 來保護隱私後 (而不僅僅是保護機密資料),接下來的問題就是要想辦法在 DNS 上保護了。也就是可以利用 DNS query pattern 知道你在看哪種 (或是哪一個) 頁面。
原先的 µBlock 改名成 uBlock₀,並且把 uBlock 的名字交出去給了 Colorado Springs 的 uBlock。
原因可以在「Please clarify uBlock₀ vs. uBlock」這邊看到,由於這不是 full time job (他也不想要成為 full time job),所以他決定 freeze 目前的功能,僅維持 bugfix (因為對他來說夠用了,他自己平常也在用)。
依照這個原因,我的感覺是 uBlock 會成圍下一個肥大的 ABP,就乖乖留守 uBlock Origin (uBlock₀) 吧。
《第四公民》(Citizenfour) 這部電影描述了 Edward Snowden 在 2013 年披露稜鏡計畫的過程以及後續的效應,雖然是紀錄片,但整件事情還在進行發展中。
以最佳紀錄片的身份橫掃 2014 與 2015 的獎項,包括了奧斯卡金像獎與英國電影學院獎:
去年在美國上映時就查過資料,但當時沒找到在台灣上映的計畫。
前幾天發現沒跟上四月 11 日的 2015 金馬奇幻影展 (應該是台灣區的首映),昨天就跑去華山看:「《第四公民》首週上映時刻表」。
紀錄片裡描述了雙方第一次會面的珍貴影像畫面,以及當時雙方溝通的細節。
整部片子裡穿插了 GnuPG、Tails 這些工具,用來保護通訊的隱私與安全。以及當你可能被 APT 時要保護自己的一些手段。
在這個行業的人都應該去看一看這個歷史事件的紀錄片。
TorrentFreak 上看到的:「Huge Security Flaw Leaks VPN Users' Real IP-Addresses」。
可以在「https://diafygi.github.io/webrtc-ips/」這邊測試,就算你在 NAT 以及 VPN 後面也可以取得真實的 Public IP 資訊。
Google Chrome 的使用者可以裝「WebRTC Block」阻擋 WebRTC,而 Firefox 則可以透過 about:config 的設定關閉 media.peerconnection.enabled 這個值:
目前還不太會用到 WebRTC,先擋起來之後再說...
Mozilla 宣佈了他們提供硬體與網路,提昇 Tor 的隱私性:「Deploying tor relays」。可以在「Results for mozilla」這邊看到這一波有十二台上線了。
架構上完全獨立於目前的 production 環境 (所有的硬體與網路設備),這是 Mozilla 提供的網路架構說明:
另外關於安全以及隱私性的部份,他們也提供了不少意見與說明。
像是單一組織不應該提供太多 bandwidth,這可以當做是避嫌:
A single organization shouldn’t be running more than 10Gbps of traffic for a middle relay (and 5Gbps for an exit node).
一個 Tor 節點需要兩個月的時候逐漸讓整個網路使用:
A new Tor instance (identified by its private/public key pair) will take time (up to 2 months) to use all its available bandwidth.
目前 Tor 的程式效能限制:
A Tor process (instance) can only push about 400Mbps.
這是 Tor 的安全限制:
A single public IP can only be shared by 2 Tor instances
這是避開防火牆的限制:
Listen on well known ports like 80 or 443
在「How to block Canvas Fingerprinting in Firefox」這篇終於看到擋 Canvas Fingerprint 的延伸套件了:「CanvasBlocker」。
關於 Canvas Fingerprint,可以參考之前「用 Canvas Fingerprint 取代部份 Cookie」這篇文章。
截圖看起來有點陽春 (設定的方式很 geek),不過算是個開始,之後應該會愈改愈好:
在 Zite 上看到「Tiny Anonabox to offer online anonymity through Tor」這篇文章。
在 Kickstarter 上可以看到更完整的資料:「anonabox : a Tor hardware router」。
可以想像出來大概是什麼技術組合起來。分別處理 DNS query 以及實際連線的部份應該就可以搞定很多應用了。
不知道隱私的部份可以做到什麼程度,畢竟在 Tor 上面仍然有監聽的風險,如果讓 HTTP traffic 在上面跑的話等於是裸奔...