security

Linux Kernel 與明尼蘇達大學之間的攻防

Linux Kernel Community 與明尼蘇達大學 (UMN) 之間的事件差不多告一段落了，整理一下裡面比較重要的事件。隔壁棚 Basecamp 的事情還在燒，讓子彈多飛一點時間，等該跑出來的內部資訊都跑出來以後再來整理...

Linux Kernel 這件事情各家媒體都有整理出來，這邊拉 ZDNet 的文章來看：

Greg Kroah-Hartman bans University of Minnesota from Linux development for deliberately buggy patches
University of Minnesota security researchers apologize for deliberately buggy Linux patches
The Linux Foundation's demands to the University of Minnesota for its bad Linux patches security project

講一下我的感想，因為 UMN 可以從這次事件證明了 Linux Kernel Community 沒有足夠的能力抵禦這類惡意攻擊，而且 Linux Kernel Community 也沒有打算解決這件事情，如果要比喻的話，很像台灣常看到的「解決發現問題的人」。

只要流程沒有改善，幾乎可以預測出之後會有政府資助的方式塞 buggy patch 進去埋洞。

作為 Linux 作業系統使用者，看起來沒什麼可以改變的，只能從架構面上設計出來安全界線，讓被攻進來時有一些防線防止直接打穿到底...

Dan Kaminsky 過世

在 Hacker News 首頁上看到震驚的消息，Dan Kaminsky 過世：「Dan Kaminsky has died (twitter.com/marcwrogers)」，目前還沒看到過世的原因...

Dan Kaminsky 最有名的「成果」應該是在 2008 年發現當時大多數的 DNS resolver 軟體實做有問題，可以被 DNS cache poisoning 攻擊，當年我有寫下來提到，但寫的很短：「DNS 伺服器安全性更新」。

攻擊手法是先發一個 DNS query 到 DNS resolver，然後馬上再送出一個偽造的 DNS response packet 給 DNS resolver 收，運氣好的話這個偽造的結果就會被 cache 起來。

記得當年的 168.95.1.1 與 168.95.192.1 沒有太直接受到影響 (相較於其他的 DNS resolver)，是因為這兩個 DNS resolver 後面有 server cluster 會打散流量，所以未必能猜對去查詢時用的 DNS server 所使用的 IP address，有點類似下面提到的緩解方案 (只是沒那麼有效)。

而記得後來的緩解方式是透過亂數化 source port (讓 DNS resolver 查詢時不要從 port 53 出去問)，這個方式讓攻擊機率大幅下降 (大約降到 $1/2^{16}$ 的機率)。

後來 DNS 加上 nonce 機制再繼續壓低攻擊成功的機率 (再降一次 $1/2^{16}$ ，變成大約 $1/2^{32}$ )，最後則是 DNSSEC 的支援度逐漸普及，才解決掉這個問題。

資安領域的重大損失，尤其在 DNS 這塊...

用 Semgrep 掃一些安全性的問題

在 Hacker News Daily 上看到「Semgrep」這個軟體，看名字本來還以為是 semantic grep，結果是個靜態分析工具：

Static analysis at ludicrous speed
Find bugs and enforce code standards

專案是用 Python 寫的，可以直接用 pip install semgrep 裝起來，然後直接下指令掃，像是在自己的專案裡面執行，這邊用的 ruleset 是 r2c-ci：

semgrep --config=p/ci .

官方網站上的截圖看起來也整的不錯：

可以自己跑或是掛進 CI 裡面跑...

WordPress 對 FLoC 的對抗計畫

Google 打算在 Google Chrome 裡面強推的 FLoC 最近有很多消息，但因為沒看完 spec 就一直丟著了... 可以先參考 iThome 的「繼Brave瀏覽器之後，DuckDuckGo、Vivaldi也要封鎖Google FLoC廣告投放技術」，雖然裡面提的很淺。

目前檯面上除了廣告產業以外，所有看到的人與組織都反對 FLoC。

從 EFF 的「Google’s FLoC Is a Terrible Idea」，之後 DuckDuckGo 也發表了「Use the DuckDuckGo Extension to Block FLoC, Google’s New Tracking Method in Chrome」，再來是 Brave 的「Why Brave Disables FLoC」與 Vivaldi 的「No, Google! Vivaldi users will not get FLoC’ed.」。

最新的進展是 WordPress 決定把 FLoC 當作 security concern 來看，打算直接推出 security hotfix 更新，預設關閉 FLoC：「Proposal: Treat FLoC as a security concern」，在 Hacker News 上也有討論：「Proposal: Treat FLoC as a security concern (make.wordpress.org)」。

主要的原因是正常的 WordPress 版本會在今年七月才出，會跟不上 FLoC 的進度：

Currently, 5.8. is only scheduled for July 2021. FLoC will likely be rolling out this month.

我自己也因為 FLoC 而又再次跳到 Brave，還遇到 imgur Uploader 套件不見 (可以參考「What Happen to the imgur uploader extension?」)，以及有些套件無法運作的問題...

試用 Cloudflare 的 Argo Tunnel

Cloudflare 宣佈讓大家免費使用 Argo Tunnel 了，也順便改名為 Cloudflare Tunnel 了：「A Boring Announcement: Free Tunnels for Everyone」。

Starting today, we’re excited to announce that any organization can use the secure, outbound-only connection feature of the product at no cost. You can still add the paid Argo Smart Routing feature to accelerate traffic.

As part of that change (and to reduce confusion), we’re also renaming the product to Cloudflare Tunnel. To get started, sign up today.

Cloudflare Tunnel 的功能就像 ngrok，在用戶端的機器上跑一隻 agent 連到 Cloudflare 或是 ngrok 的伺服器，這樣外部連到 Cloudflare 或是 ngrok 的伺服器後就可以透過這組預先建好的連線連上本機的服務了，常見的應用當然就是 HTTP(S) server。

本來是付費功能，一般使用者應該也不會需要這個功能，這次把這個功能免費丟出來的用意不知道是什麼...

不過既然都免費了，還是花了點時間測了一下，可以發現 ngrok 的設定比較簡單，Cloudflare 的 cloudflared 設定起來複雜不少，不過文件還算清楚，照著設就好。

Anyway，有些事情有了 Cloudflare Tunnel 就更方便了，像是有些超小型的 VPS 是共用 IPv4 address 而且沒有 IPv6 address 的，可以透過 cloudflared 反向打進去提供服務，同樣的，在 NAT 後面的機器也可以透過這個方法很簡單的打通。

順便說一下，現在的 blog.gslin.org 就是跑在 cloudflared 上面了，官方提供的 ARM64 binary 跑在 EC2 的 t4g 上面目前看起來沒有什麼問題，而且比起本來 nginx 都是抓到 Cloudflare 本身的 IP，現在加上這兩行後反而就可以抓到真的使用者 IP address 了：

    set_real_ip_from 127.0.0.1;
    real_ip_header X-Forwarded-For;

跑一陣子看看效果如何...

GitHub 的 API Token 換格式

GitHub 前幾天宣佈更換 API token 的格式：「Authentication token format updates are generally available」，在今年三月初的時候有先公告要換：「Authentication token format updates」。

另外昨天也解釋了換成這樣的優點：「Behind GitHub’s new authentication token formats」。

首先是 token 的字元集合變大了：

The character set changed from [a-f0-9] to [A-Za-z0-9_]

另外是增加了 prefix 直接指出是什麼種類的 token：

The format now includes a prefix for each token type:

ghp_ for Personal Access Tokens

gho_ for OAuth Access tokens

ghu_ for GitHub App user-to-server tokens

ghs_ for GitHub App server-to-server tokens

ghr_ for GitHub App refresh tokens

另外官方目前先不會改變 token 長度 (透過字元變多增加 entropy)，但未來有打算要增加：

The length of our tokens is remaining the same for now. However, GitHub tokens will likely increase in length in future updates, so integrators should plan to support tokens up to 255 characters after June 1, 2021.

看起來當初當作 hex string 而轉成 binary 會有問題，不過就算這樣做應該也是轉的回來的。

回到好處的部份，這個作法跟 Slack 與 Stripe 類似，讓開發者或是管理者更容易辨識 token 的類型：

As we see across the industry from companies like Slack and Stripe, token prefixes are a clear way to make tokens identifiable. We are including specific 3 letter prefixes to represent each token, starting with a company signifier, gh, and the first letter of the token type.

另外這也讓 secret scanning 的準確度更高，本來是 40 bytes 的 hex string，有機會撞到程式碼內的 SHA-1 string：

Many of our old authentication token formats are hex-encoded 40 character strings that are indistinguishable from other encoded data like SHA hashes. These have several limitations, such as inefficient or even inaccurate detection of compromised tokens for our secret scanning feature.

另外官方也建議現有的 token 換成新的格式，這樣如果真的發生洩漏，可以透過 secret scanning 偵測並通知：

We strongly encourage you to reset any personal access tokens and OAuth tokens you have. These improvements help secret scanning detection and will help you mitigate any risk to compromised tokens.

AWS 推出 Amazon Route 53 Resolver DNS Firewall

長久以來的洞總算有比較好的方法補上了，AWS 推出了 Amazon Route 53 Resolver DNS Firewall：「Introducing Amazon Route 53 Resolver DNS Firewall」。

Route 53 Resolver 是 AWS 官方提供的 DNS Resolver，沒有特殊的設定的話通常會在 x.x.x.2 (/24 或是更大的網段)，先前一直沒有辦法解決 data leak 的問題，也就是透過 DNS 把敏感資料從 private network 裡丟出去。

以前的作法是透過 security group 擋掉對 Route 53 Resolver 的流量 (或是透過 VPC 的 Firewall 擋)，然後自己架設兩台 DNS resolver 過濾，現在 Route 53 Resolver 支援 DNS Firewall，提供 allowlist 與 blocklist 這兩個功能使用，總算是把這件事情解的比較乾淨了：

Route 53 Resolver DNS Firewall lets you create “blocklists” for domains you don’t want your VPC resources to communicate with via DNS. You can also take a stricter, “walled-garden” approach by creating “allowlists” that permit outbound DNS queries only to domains you specify. You can also create alerts for when outbound DNS queries match certain firewall rules, allowing you to test your rules before deploying for production traffic.

另外這次的 DNS Firwall 提供了兩組由 AWS 維護的清單讓人使用，包括了 malware 與 botnet：

Route 53 Resolver DNS Firewall offers two managed domain lists—malware domains and botnet command and control domains—enabling you to get started quickly with managed protections against common threats.

這樣省事多了...

Facebook 5.33 億筆個資外洩，以及 Mark Zuckerberg 的電話...

這兩天應該已經有很多其他媒體報導了 Facebook 5.33 億筆資料外洩的事情：「533 million Facebook users' phone numbers and personal data have been leaked online」。

據稱是用 2019 年的洞撈出來的，不過這份資料看起來也不是完整資料，舉個例子來說，台灣只有 73 萬筆左右，而且也少了很多地區，像是泰國就不在列表內...

另外一個比較特別的是，Mark Zuckerberg 的電話也在這次外洩資料裡面：「Mark Zuckerberg's phone number appeared among the leaked data of Facebook users, according to a researcher」，應該會換號碼了。

這包資料看起來會這陣子會很熱門...

利用 Cloudflare Workers 繞過 Cloudflare 自家的阻擋機制

在 Hacker News 首頁上看到「How to bypass Cloudflare bot protection (jychp.medium.com)」這則，裡面的文章是「How to bypass CloudFlare bot protection ?」這篇，利用 Cloudflare Workers 繞過 Cloudflare 自家的 CAPTCHA 機制。

這個漏洞有先被送給 Cloudflare，但被認為不是問題，所以作者就決定公開：

Several months ago I submitted what appeared to be a security flaw to CloudFalre’s bugbounty program. According to them, this is not a problem, it’s up to you to make up your own mind.

技術上就是透過 Cloudflare Workers 當作 proxy server，只是看起來 Cloudflare 對自家 IP 有特別處理，在設定妥當後，用 Cloudflare Workers 的 IP address 去連 Cloudflare 的站台，幾乎不會觸發 Cloudflare 的阻擋機制。

不過 free tier 還是有限制，主要就是數量：

The first 100,000 requests each day are free and paid plans start at just $5/10 million requests, making Workers as much as ten-times less expensive than other serverless platforms.

作者也有提到這點：

So let’s enjoy the 100 000 request/day for your free Cloudflare account and go scrape the world !

但這是個有趣的方法，加上信用卡盜刷之類的方式，這整包看起來就很有威力...

Twitter 的 MFA 可以加入多支 YubiKey 了

我手上有好幾隻 YubiKey，目前幾個有在用的服務都有支援同時綁定多組 U2F/WebAuthn 的能力 (像是 Facebook 與 GitHub)。

Twitter 一開始推出的時候也可以支援多組，但在去年 2020 年八月的時候發現這個功能被拔掉，只能放一把進去。

我自己開了一張 ticket 定時回頭看一下有沒有修正，剛剛定期回顧發現這個功能被加回來了，而且官方的文件上也加上去了：「How to use two-factor authentication」。

翻了一下 Internet Archive 上的資料，看起來是 3/11 到 3/16 中間更新文件的...

手上有多把 security key 的人也可以處理一下。