【编程随想】近期安全动态和点评(2020年2季度) |  |
| Posted: 07 Jul 2020 09:37 AM PDT 又到了每季度的"安全动态汇总"。 ★隐私保护◇微信《WeChat(微信)Surveils International Accounts To Decide What To Censor for Chinese Users, Study Says @ Slashdot》 《微信监视所有用户的内容 @ Solidot》 加拿大多伦多大学公民实验室发表报告称,微信监视所有用户的内容,无论是中国用户还是非中国用户,他们发送的内容都受到监视。微信是中国最流行的社交媒体平台,截至 2019 年底有 11.5 亿月活用户。 《微信是否监听了你的聊天记录? @ Solidot》 《中国科学报》报道了某社交 App(aka 微信)被曝监听用户聊天记录。腾讯微信回应称,"聊天内容属于用户的通信秘密和个人隐私,微信不会监测用户的聊天记录,腾讯更不会通过监测用户聊天记录来推送广告。"微信上的广告投放基于用户的合法授权和腾讯的数据技术支持诞生的,可以保护用户隐私的安全。 编程随想注: 在这篇博文中,俺写了如下这段: 用户群很大的那几个 App,都很流氓 ◇小米《Exclusive: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People's 'Private' Web And Phone Use @ Forbes/福布斯》 《小米被指记录用户的 Web 和手机使用数据 @ Solidot》 安全研究员 Gabi Cirlig 半开玩笑的说小米手机是带手机功能的后门。他发现小米公司在该公司生产的手机上收集了惊人的数据,这些数据被发送到小米在世界各地租用的服务器上。小米手机默认的小米浏览器会记录用户访问的所有网站,通过 Google 或 DuckDuckGo 的所有搜索查询词,在新闻源浏览的所有条目,即使使用隐身模式小米仍然会跟踪用户。手机还会记录用户打开的文件夹,切换的屏幕,包括状态栏和设置页。 ◇TikTok(字节跳动)《Apple 'Suddenly Catches TikTok Secretly Spying On Millions Of iPhone Users', Claims Forbes @ Slashdot》 《TikTok 等 iOS 应用被指监视剪贴板内容 @ Solidot》 今年3月,研究员 Talal Haj Bakry 和 Tommy Mysk 发现,数十个 iOS 应用存在获取用户隐私数据的严重问题,其中之一就是大受欢迎的短视频应用 TikTok。虽然遭到曝光,但至今这些应用都没有改变其做法。 ◇Edge 浏览器《Microsoft Edge 被指悄悄导入了 Firefox 数据 @ Solidot》 微软正通过 Windows Update 将它基于 Chromium 的新 Microsoft Edge 浏览器推送给 Windows 10 用户。部分 Firefox 用户报告 Microsoft Edge 未经允许就导入了 Firefox 数据。部分 Firefox 用户报告他们尝试杀死新 Microsoft Edge 的初始设置进程,结果虽然安装向导关闭,但 Firefox 数据仍然被拷贝了。部分用户在 reddit 上报告同样的行为也在他们的计算机上发生了。微软尚未就此发表评论。 ★新冷战与网络战编程随想注: 在前不久(2020年5月)的博文中《聊聊"核战略的博弈模型"与"中美新冷战"》,俺已经提到了: "新冷战"这个概念是有争议滴。有些人认为目前的中美对抗还没到这种地步,也有一些人认为目前的对抗已经达到"新冷战"的程度。俺的观点倾向于【后者】。从近期的一些动态来看,"新冷战"的迹象越来越明显(参见本章节后续的新闻)。 "冷战"区别于"热战"的关键之处——敌对各方【不】进行显式的军事冲突。在这种状态下,【网络战】成为一种很有效的手段。因为"网络战"的特点恰恰是【隐式】滴。 ◇中国 VS 美国《中国电信等四家中国国企(运营商)可能会被赶出美国市场 @ VOA/美国之音》 美国联邦通讯委员会周五表示,它可能会吊销中国四家国有电信运营商在美国的运营许可证。该机构提供的原因是国家安全风险。 《路透社:美国将华为海康等20家顶尖中企列入受军方支持名单 @ RFI/法广》 据路透社周三(6月24号)根据看到的一份文件独家报道,特朗普政府已经决定将包括电信设备巨头华为和视频监控公司海康威视在内的20家中国顶尖企业列为中国军方拥有或控制的名单。白宫未说明是否会制裁名单上的企业,但评论认为这为美国实施新的金融制裁奠定了基础。 《美国 FCC 正式将华为、中兴列为"国家安全威胁" @ 网易财经》 当地时间6月30日,美国联邦通信委员会(FCC)发布官方声明,正式将我国电信设备制造商华为和中兴通讯认定为"国家安全威胁"。 《谷歌前总裁作客 BBC 节目,纵论华为"威胁"和中美科技脱钩的是非 @ BBC/英国广播公司》 美国高科技巨头谷歌前总裁、现任五角大楼国防创新委员会主任的埃里克·施密特(Eric Schmidt)在接受BBC广播四台专题节目《新科技冷战》访问时指称,华为从事了"令人无法接受的行为",对西方国家构成"国家安全挑战"。 ◇中国 VS 欧盟《英国政策急转,今年或将逐步淘汰华为 5G 设备 @ 德国之声》 据英国媒体报道,英国首相约翰逊计划在今年内将华为设备从英国的5G建设计划中淘汰。英国《每日电讯报》7月4日报道称,目前英国正在拟定计划,在六个月内停止在英国5G系统中安装华为技术,并且加速移除已经安装的华为设备。据报道,英国政府通信总部(GCHQ)对使用华为技术的安全性表达了疑虑。 《限制华为 5G,法国称:这是主权问题 @ RFI/法广》 法国国家资讯系统安全局7月5日宣布将限制电信业者使用华为的授权许可。中国外交部7月6日呼吁法国提供各国企业公平且非歧视的环境,对此法国回覆,"这是风险管理,问题在于主权"。 ◇中国 VS 印度《印度宣布禁用59款中国应用,包括 TikTok 和微信等 @ 网易新闻》  (编程随想注:被印度查禁的天朝 app 清单) 《印度命令 ISP 屏蔽被禁止的中国应用 @ Solidot》 印度周一(6月29日)以"威胁主权和完整为由"宣布封杀59个中国应用,周二公布了具体的封锁措施,命令 ISP 屏蔽这些应用的访问。其方法应该与中国对外国社交服务和应用的封锁类似。 《印度限制中国电力设备进口,称可能存在特洛伊木马 @ 网易新闻》 从突然终止商业合作到设置通关壁垒,再到抵制中国商品、封禁中国公司研发的手机应用程序,印度针对中国的"全方位报复"行动还在继续。据路透社3日消息,印度电力部今天出台新规,要求印度企业从中国进口电力设备和部件将需要得到政府许可。编程随想注: "电力设备"已经成为"网络战"关注的重点。对于攻击者而言,可以通过"破坏电力基础设施"(比如变电站的软件系统)来瘫痪某个城市。这可不是俺的臆想,已经有先例。参见《近期安全动态和点评(2019年3季度)》一文的如下章节: ◇对2016年一次未遂网络战的事后分析 ◇Zoom 视频软件编程随想注: 上半年的全球疫情,导致很多企业和政府机构只能采用【远程视频】的方式开会。有一款名叫 Zoom 的远程视频软件很受欢迎。 虽然该公司的总部在美国,但其技术团队在天朝,公司老板也是华人,因此引发了很多国家的担忧。 《US Senate Tells Members To Stop Using Zoom @ Slashdot @ Slashdot》 《美国参议院建议参议员不要用 Zoom @ cnBeta》 《台湾政府禁止使用 Zoom 视频软件 @ VOA/美国之音》 《印度称 Zoom 不是视频会议的安全平台 @ Solidot》 《肺炎疫情——Zoom 远程会议软件到底有多安全 @ BBC/英国广播公司》 ...... ◇国内银行要求外企安装的财务软件,内置了安全后门《Chinese Bank Required Two Western Companies to Use Tax Software With a Hidden Backdoor @ Slashdot》 《航天信息的智慧税务被指含有恶意程序 @ Solidot》 两家最近在中国开设办事处的英国公司被当地银行要求安装了航天信息股份有限公司的智慧税务软件,安全公司 Trustwave 称该税务软件包含了恶意程序。Trustwave 为英国公司提供了网络安全服务,它观察到客户网络的可疑请求,它随后对税务软件进行了分析,发现它除了提供纳税功能外还包含了一个隐藏的后门,该后门被称为 GoldenSpy,具有系统级运行权限,允许远程攻击者连上被感染的系统,执行命令或上传和安装其它软件。 编程随想注: 请注意:上述新闻中提及的税务软件,是应天朝国内银行的要求,强制安装滴;结果被老外查出有【安全后门】。 在新冷战的大环境下,各国都对天朝充满怀疑(敌意),这类新闻会进一步增加各国对天朝的猜忌。 ★高危漏洞◇Windows 漏洞《微软修补了三个正被利用的 0day 漏洞 @ Solidot》 在本周二(4月14日)释出的例行更新中,微软修补了三个正被利用执行恶意代码或提权的 0day 漏洞。其中两个 CVE-2020-1020 和 CVE-2020-0938 存在于 Adobe Type Manager Library 中,在非 Windows 10 系统中,成功利用漏洞的攻击者能远程执行代码;在 Windows 10 中,攻击者能在 AppContainer 沙盒中运行代码,虽然权限有限制,但仍然能创建账号,使用完整的用户权限安装程序,浏览、修改或删除数据。 编程随想注: 关于"Adobe Type Manager Library"的高危漏洞,3月下旬已经曝光。这个漏洞非常危险!在上一期的《近期安全动态和点评(2020年1季度)》,俺介绍过该漏洞的原理和危险性。 ◇iOS 漏洞《Researchers Say They Caught an iPhone Zero-Day Hack in the Wild @ Slashdot》 ...... 《iPhone 曝出"惊天漏洞",波及全球超 5 亿部苹果手机 @ InfoQ》 近日(4月下旬),网络安全公司 ZecOps 发布了一份研究报告,报告称,ZecOps 公司在调查一起客户网络攻击事件中发现 iPhone 和 iPad 存在两个零日漏洞,其中,漏洞可能影响全球超 5 亿部苹果手机,危害极大。 编程随想注: 这2个 iOS 漏洞都是"zero-day"漏洞(经常看俺博客的,应该都晓得"zero-day"为何意)。值得一提的是:其中一个漏洞是【zero-click】漏洞(具体参见刚才那段洋文)。 看不懂洋文的,俺稍微解释一下: 大部分安全漏洞,都需要受害者执行某个操作—— 比如攻击者要利用"浏览器漏洞",通常需要先诱使受害者访问某个挂马的网站; 比如攻击者要利用"Word 的漏洞",通常需要先诱使受害者打开某个嵌入恶意代码的 doc 文档; (以此类推) 【zero-click】漏洞是指——【不】需要受害者进行任何操作,就可以直接触发攻击代码。这也就意味着—— 其一,攻击者可以悄无声息地执行入侵(受害者根本没啥感觉); 其二,因为【不】需要受害者参与互动,(相比那些需要互动的漏洞而言)用【zero-click】漏洞进行入侵的成功率非常高。 正是因为上述特点,【zero-click】漏洞非常值钱。比如说:如果两个漏洞都能够进行"本地提权",各方面差不多,但一个是【zero-click】另一个不是。那么两者在黑市上的价格可能会相差一个数量级(或更多)。 ◇macOS 上的 Adobe 产品漏洞《Adobe Acrobat Reader 安全漏洞允许恶意程序悄悄获得 macOS 的 root 权限 @ Solidot》 macOS 版本的 Adobe Acrobat Reader 释出了补丁,修复了三个高危漏洞(CVE-2020-9615,CVE-2020-9614 和 CVE-2020-9613)。这些漏洞是腾讯安全玄武实验室的研究人员发现和报告的,漏洞允许普通用户从本地进行提权,在不被注意的情况下获得 root 权限。腾讯安全研究人员通过 GitHub 博客披露了漏洞细节。 ◇华为陷"HKSP 门"丑闻——其"Linux 内核补丁"包含高危漏洞编程随想注:以下是事情经过 5月10日,华为在"Linux 内核加固邮件列表"上提交了一个补丁,名为 HKSP,全称是【huawei kernel self protection】。 (在 Linux 社区颇有名气的)PaX/grsecurity 团队很快就发现:HKSP 补丁中包含了高危安全漏洞。 代码中出现安全漏洞,并【不】奇怪(很多牛逼产品都曾经曝光过"安全漏洞",甚至是"高危安全漏洞")。比较有趣的(诡异的)是如下几点: 第1点 这个补丁本身是【安全补丁】——是用来加固内核安全性滴! 照理说,其作者在写相关代码时,应该更加小心谨慎才对嘛。 第2点 因为是"内核补丁",其代码运行在【内核态】。 略懂安全的同学应该都知道——【内核态】的代码一旦出现漏洞,其危险性大大【高于】"用户态"的代码。 第3点 这个补丁的作者,号称是华为内部的【高级】安全研究人员,员工级别【20级】。以下是"华为员工级别"的说明。  一方面,作者看起来很资深,并且已经在开源社区活跃了一段时间; 另一方面,爆出漏洞的那段代码,严重【缺乏】"防御性编程"的风格(具体的代码,俺在下一个小节贴出来)。 一个如此资深的程序员(同时还是"安全研究员"),为啥在编写内核补丁时,却没有采用最基本的"防御性编程风格"?让人百思不得其姐。 第5点 事件曝光后,华为官方立即撇清关系;HKSP 的维护者(华为员工)也立马修改了该项目的 README(强调该项目与华为无关)。 比较阴险的是—— HKSP 的维护者在修改 README 时,【伪造了】"修改时间"——使得该 README 的修改时间(看起来像是)在漏洞曝光【之前】(更详细的说明,参见"这条推文") 为啥要【伪造】github 的 commit 时间捏? 这么干了之后,华为(及其水军)就可以反过来指责(诬陷)grsecurity 团队——你们这帮人明知道这个项目与华为无关,还要批评华为。 俺觉得吧:华为员工这种阴险的做法,反而给人留下【做贼心虚】的印象。 编程随想注:以下是国外网民的相关讨论 Hacker News 论坛 Reddit 论坛 Security Boulevard 编程随想注:以下是"HKSP 补丁"的代码分析 整个 HKSP 补丁,被吐槽的重点是如下函数。比较懂 C 语言的同学,看了这段代码,应该能发现不止一个隐患(不需要很熟悉 Linux 内核,就能看出来) 如果你自己看不出破绽,可以去 grsecurity 官网,有简单的点评(链接在"这里")。 static ssize_t ksg_state_write(struct file *file, const char __user *buf, 由于该补丁【没有】被批准,也就【没】合并到 Linux 内核的代码主线中,所以大伙儿不必担心。真正需要担心的是华为自己。 如今正值"新冷战",西方各国对天朝公司(尤其是华为)疑虑重重。 在这个风口浪尖上,华为(涉及 Linux 内核的)开源项目出了这样的丑闻,岂不是砸自己招牌? ◇TCP/IP 协议栈的漏洞《Ripple20 漏洞影响数亿设备 @ Solidot》 以色列网络安全公司 JSOF 的研究人员在一个广泛使用的底层 TCP/IP 库中发现了一系列 0day 漏洞,这些漏洞被统称 Ripple20,影响高达数亿的设备,包括大量的物联网设备,如电网设备、医疗系统、工业设备等等。 ★网络与 Web◇浏览器的 Flash 插件,死期已定《Adobe 将到 2020 年底移除 Flash 下载 @ Solidot》 2017年7月,Adobe 宣布到2020年结束 Flash 的生命。Adobe 称,过去几年开放标准如 HTML5、WebGL 和 WebAssembly 已经逐渐成熟,提供了原来由插件率先实现的能力和功能。鉴于这一进步,Adobe 与技术合作伙伴 Apple、Facebook、Google、Microsoft 和 Mozilla 一起制定了结束 Flash 生命的计划,到2020年底 Adobe 将停止更新和分发 Flash Player,它鼓励内容创作者将现有的 Flash 内容迁移到新的开放标准。编程随想注: 作为【高危漏洞专业户】,Flash Player 终于要滚蛋了 :) ◇ESNI(加密的 SNI)《ESNI 进入草案状态 @ Solidot》 随着越来越多的网站普及 HTTPS,明文的服务器名称指示(Server Name Indication,SNI)成为新的隐私漏洞。通过明文 SNI,ISP 或任何网络中间人将会知道你访问了哪个网站,最近一部分网站的屏蔽方法就升级到 SNI 检测。加密 SNI(ESNI)将会堵上这个漏洞。互联网工程任务组最近发布了 TLS Encrypted Client Hello(即 ESNI)的草案,标志着这项功能进入到了草案状态。 编程随想注: 未来 ESNI 普及之后,对那些基于【依附的自由】进行翻墙的工具,很有利。 关于 ESNI 的原理,俺会找时间在《扫盲 HTTPS 和 SSL/TLS 协议》系列的后续教程中聊一下。 擅长洋文的同学,可以先看 Cloudflare 官方博客的"这个链接"(介绍 ESNI 原理)。 ◇DoH(DNS over HTTPS)《Windows 10 Build 19628发布——初步支持 DNS over HTTPS @ cnBeta》 《如何启用 Windows 10的 DNS over HTTPS 功能 @ cnBeta》 编程随想注: 不了解 DoH 的同学,可以看俺的如下几篇教程: 《扫盲 DNS 原理,兼谈"域名劫持"和"域名欺骗/域名污染"》 《对比4种强化域名安全的协议——DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS》 ★网络攻击◇供应链攻击《开源软件供应链攻击 @ Solidot》 德国和法国的研究人员在预印本网站 arXiv 上发表论文(PDF),分析了过去几年发生的开源软件供应链攻击。 《GitHub 警告开源供应链攻击 Octopus Scanner @ Solidot》 GitHub 安全博客警告了针对的 Apache NetBeans IDE 项目的开源供应链攻击 Octopus Scanner。GitHub 称它在3月9日收到了被称为 JJ 的安全研究人员发来的警告,称发现一组感染了恶意程序 Octopus Scanner 的开源库。一旦感染,恶意程序会寻找用户开发系统上的 NetBeans 项目,然后将恶意负荷嵌入到项目文件中,每次项目构建都会执行恶意负荷。GitHub 随后展开了调查,发现了26个开源项目被植入了 Octopus Scanner 后门。GitHub 称,他们向 VirusTotal 上传了样本,60个杀毒软件只有4个能将其检测出来。恶意程序伪装成 ocs.txt 文件,但实际上是一个 JAR(Java Archive)文件。 编程随想注: 在咱们天朝,史上最经典的"供应链攻击"大概就是2015年的【XCodeGhost 事件】了,相关介绍参见维基百科的"这个链接"。 ★移动设备◇Android 11 增加新的安全特性《System hardening in Android 11 @ Google 官方博客》 编程随想注: 上述这篇介绍了:即将于今年秋季发布的 Android 11,会增加哪些安全特性。 这些安全特性虽然看起来好像很牛逼,但俺还是要继续唠叨:高危人士【不要】用手机进行敏感操作。 上述这个观点,俺已经唠叨了无数次。Android 与 iOS 都不够安全;即使是某些特别加固的专用手机系统,也不够安全(不信的话,请看下面这篇报道) ◇欧洲警方如何摧毁 EncroChat?《歐洲摧毀遭犯罪集團利用的 EncroChat 加密手機網路 @ iThome》 歐洲刑警組織 Europol、歐洲司法組織 Eurojust,以及法國與荷蘭的警方及司法組織在7月2日發表聯合聲明,表示它們已共同拆除了遭各個犯罪集團所利用的 EncroChat 加密手機網路,同時也在各國逮捕了上百名涉嫌販毒、謀殺或暴力犯罪的嫌犯。编程随想注: 通过上述新闻,你可以看出:即使像"Encrochat"这种专门加固的安全手机,还是会有意想不到的漏洞。 比如说,"EncroChat 手机"虽然采用【双系统】的设计,但这种设计显然【远远不如】"操作系统虚拟化"(俗称"虚拟机")。 "虚拟机软件"通常都支持"快照"(snapshot)功能,你可以利用该功能设定系统的"安全基线";通过定期回退到安全基线,就可以让系统重新回到"纯洁"的状态。作为对比,(到目前为止)任何一种手机都【没法】玩"操作系统虚拟化",这就很难让系统始终保持"纯洁"。 另外,手机缺乏"虚拟机"导致的另一个弊端是:没法做到【彻底的】隔离。虽然手机上也有一些"沙箱类"的软件,但"沙箱的隔离程度"远远【不如】"操作系统虚拟机"。 ◇高级木马 xHelper 如何对抗(躲过)"恢复出厂设置"?《The Secret Behind 'Unkillable' Android Backdoor Called xHelper Has Been Revealed @ Slashdot》 编程随想注: 在《近期安全动态和点评(2019年4季度)》一文中,俺已经介绍过上述这款 xHelper 木马。它的过人之处在于——即使【恢复到出厂设置】也无法把它清除。 上述这篇 Slashdot 的洋文报道,分析了这款木马是如何规避"恢复出厂设置"。 ★言论审查与网络屏蔽◇一国一制的香港《中国推进港版国安法,刺激香港 VPN 需求飙升 @ 路透社》 路透香港5月26日 - 据虚拟专用网络(VPN)提供商 Atlas VPN,在北京计划针对香港制订严格的国家安全法之后,上周四香港对 VPN 的需求激增了五倍多,反映出人们对互联网隐私的担忧。 《"港版国安法"引发网络安全恐慌,专家教路 VPN 非万能钥匙 @ VOA/美国之音》 编程随想注: 同意 VOA 上述文章的说法——VPN【不是】万能钥匙。 说得刻薄一点,如果某个香港网民【只用】VPN 这招,基本没啥鸟用;甚至是有害滴——让你获得了某种【虚假的安全感】。 要想"隐匿身份"需要【全方位】的防范;而光靠一两个工具,【不可能】实现全方位的防范。 5月下旬,当朝廷刚刚公布《港版国安法》时,俺发了如下博文: 《每周转载:朝廷推香港版<国安法>,【一国一制】降临(外媒报道8篇)》 在上述博文的末尾,俺写了如下这段话(专门写给香港的反共人士): 很明显,香港已经逐步从"半沦陷状态"蜕变为"沦陷状态"。未来,朝廷的【维稳系统】会更加肆无忌惮地把魔爪伸到香港。 ◇翻墙的新技术《SymTCP——自动化规避深度包检测 @ Solidot》 2017年,加州大学河滨分校的 Wang 等人在 ACM 会议上发表了关于防火长城的 TCP 状态机的论文,并开源了工具 INTANG(原新闻)。2020年2月,Wang 等人和美国陆军研究实验室的研究者,在 NDSS 2020 上发表论文《SymTCP: Eluding Stateful Deep Packet Inspection with Automated Discrepancy Discovery》,提出了新工具 SymTCP。论文探索了 DPI 装置与端点实现的协议状态机差异,这些差异允许客户端发送不寻常流量迷惑 DPI,相比之前的论文,这次他们使用了软件分析技术探索了常见 TCP 实现的状态机,并测试对多个 DPI 进行规避。 《Tor Browser 10.0 首个测试版发布 @ Solidot》 Tor Browser 项目宣布释出了10.0 分支的首个测试版本。Tor Browser 10.0a1 是于 Firefox to 68.9.0esr,内置扩展 HTTPS-Everywhere 升级到 2020.5.20,被称为 Snowflake 的网桥支持 Android 版本。 ◇维基百科对"使用 Tor 的编辑"不够友好《The value of Tor and anonymous contributions to Wikipedia @ Tor 官方博客》 《Tor 项目呼吁维基百科解除对 Tor 编辑的限制 @ Solidot》 如果你通过 Tor 匿名网络访问维基百科,然后看到某个条目决定编辑一下,你通常会看到 IP 受限的信息。虽然你可以请求解除对某个 Tor 出口节点 IP 的限制,但维基百科大部分情况下不会批准。Tor 项目官方博客现在呼吁维基百科解除对 Tor 用户编辑的限制。开发者引用最近发表的一篇论文称,Tor 用户的编辑质量并不差。 ★社会工程学《FBI 如何识别一位蒙面纵火犯 @ Solidot》 每个网民在某种程度上都会留下数字痕迹。在费城最近发生的一次抗议活动中,一位没有露面的女子纵火烧毁了一辆警车。而 FBI 识别出这位纵火犯就是利用了她在网上留下的各种蛛丝马迹。 编程随想注: (没听说过"社会工程学"的读者,请先看《扫盲"社会工程学"》系列教程) 俺聊这个案例是想说明:视频的信息量非常大。一般来说,(在信息量方面)视频>音频>照片>文本。具体到"身份隐匿"这个主题,不要在网上与任何人进行"视频聊天 or 音频聊天"(暴露的信息量太大)。 来个现身说法:当俺用这个身份上线,从【不】与读者进行"视频聊天 or 音频聊天";甚至连"文字聊天"都【没有】。虽然"文字"本身的信息量已经比"视频/音频"低很多,但很多"聊天软件"会显示【在线状态的变化】。 "在线状态的变化"本质上反应了"时间信息"。对"隐匿性"的要求越高,就要让"暴露的时间信息"尽可能少。更详细讨论,参见《如何隐藏你的踪迹,避免跨省追捕[9]:从【时间角度】谈谈社会工程学的防范》。 ★硬件与物理安全◇Intel 的 CPU 又一次曝光硬件漏洞《New CrossTalk Attack Impacts Intel's Mobile, Desktop, and Server CPUs @ Slashdot》 《英特尔处理器又曝两个 SGX 新漏洞,攻击者可轻松提取敏感数据 @ cnBeta》 来自美国密歇根、荷兰阿姆斯特丹、以及澳大利亚阿德莱德三所大学的研究人员披露——攻击者可利用多核体系架构的工作方式,来获得对受感染系统上敏感数据的访问权限。其已经为两个漏洞开发了对应的攻击方法,并给出了 SGAxe 和 CrossTalk 的概念证明。 《英特尔特定寄存器缓冲器数据采样 CPU 漏洞 @ Solidot》 新的 CPU 漏洞又来了,又是与预测执行机制有关,又是主要影响英特尔处理器。Linux 内核主线刚刚合并了补丁或微码去缓解"特定寄存器缓冲器数据采样(Special Register Buffer Data Sampling或 SRBDS)"漏洞影响。 ◇基于 Thunderbolt 接口的漏洞《Thunderbolt Flaws Expose Millions of PCs to Hands-On Hacking @ Wired/连线》 《「只要五分钟」骇客就能通过 Thunderbolt 漏洞窃取你的数据 @ Engadget》 安全专家 Björn Ruytenberg 日前在研究后发现,骇客只需利用一套被称作「Thunderspy」的技术,就可以轻松地在配有 Thunderbolt 连接口的 PC 或 Linux 电脑上窃取用户的加密数据。按照他的说法,在骇客能够亲手接触到设备的前提下,其实只需要螺丝刀、「简易的便携硬件」以及区区五分钟时间就能得手了。编程随想注: 上述文章提及的"邪恶女佣攻击",洋文叫做"evil maid attack",它属于【物理安全】的概念,相关介绍参见维基百科的这个页面。 从硬件技术上讲,上述这个"Thunderbolt 硬件漏洞",本质上属于"DMA 攻击"(DMA 是"Direct Memory Access"的简称)。对这类攻击的介绍参见维基百科的"这个链接"。 ★安全编程◇大部分 Chromium/Chrome 安全漏洞源于 C++ 代码的内存 bug《Chromium Project Finds 70% of Its Serious Security Bugs Are Memory Safety Problems @ Slashdot》 ...... 《Chromium 项目七成安全漏洞属于内存安全问题 @ Solidot》 Chromium 项目报告,它七成的严重安全 bug 属于内存安全问题,因此它的下一个项目将是在源头阻止此类 bug。对2015年之后发现的912个高危级安全 bug 的分析发现,七成为"内存不安全"的问题,如 C/C++ 指针错误,其中一半是使用后释放 bug。这些 bug 遍及整个代码库,非安全性的 bug 很大一部分其根源也是内存安全问题。Chromium 项目称它的沙盒机制在设计时就考虑了此类 Bug 的存在,但现在沙盒和网站隔离机制已经达到其能力的极限。他们现在考虑的一个方案是使用现有的更安全的语言如 Rust 和 Swift 等。 编程随想注: 虽然上述统计是针对 Chromium/Chrome,但俺可以很有把握地说——以 C/C++ 语言编写的软件,"内存相关的 bug"是安全漏洞的主要根源。 俺的网盘上分享了两本《C 语言安全编程规范》和《C++ 语言安全编程规范》,两本皆出自权威的 CERT,搞 C 或 C++ 开发的程序猿/程序媛可以参考。 ◇再谈 Rust《微软称 Rust 是行业安全系统编程的最佳机会 @ Solidot》 微软云计算开发大使 Ryan Levick 在 AllThingsOpen 虚拟会议上称,就其核心而言,C++ 不是一种安全的语言。他解释了为什么微软正逐渐转移到 Rust 去构建基础设施软件,远离 C/C++,微软也鼓励软件行业的其它巨头考虑这么做。 编程随想注: 最近几年,Mozilla 已经逐步用 Rust 来重写 Firefox 的底层模块;看来微软也在准备这么干。 在《近期安全动态和点评(2019年3季度)》中已经简单聊过 Rust 相对于 C/C++ 的优势——同样都是【系统级】编程,Rust 在语言(语法)层面规避了 C/C++ 常见的"内存安全"问题。 另外,虽然 Go 语言也可以规避"内存安全"问题,但 Go 的层次不够低,只能完成【部分】"系统级编程"的场景;相比之下,【所有】使用 C 的场合都可以用 Rust 来代替。 那为啥 Rust 不如 Go 流行捏?如下这篇分析了 Rust 不够流行的若干原因: 《Why Aren't More Developers Using Rust? @ Slashdot》 俺个人认为:Rust 语法的【复杂度】是新手最大的障碍;相比 Rust 而言,Go 的语法要简单得多。 俺博客上,和本文相关的帖子(需翻墙): 《为啥朝廷总抓不到俺——十年反党活动的安全经验汇总》 《如何隐藏你的踪迹,避免跨省追捕》(系列) 《扫盲 DNS 原理,兼谈"域名劫持"和"域名欺骗/域名污染"》 《对比4种强化域名安全的协议——DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS》 《近期安全动态和点评(2020年1季度)》 《近期安全动态和点评(2019年4季度)》 《近期安全动态和点评(2019年3季度)》      |
| You are subscribed to email updates from 编程随想的博客. To stop receiving these emails, you may unsubscribe now. | Email delivery powered by Google |
| Google, 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States | |
