华而不实的新设计

家里有两台冰箱,一台购买于199x年(具体年份不详),另一台购买于2009年.

前者使用旋钮(电位器)来设置温度,显然在断电时能保留先前的设置;后者有个显示屏,是通过各种按钮和屏幕来设置温度,哪怕是数秒钟的断电也无法保留设置.

尽管现在的北京已经很少会停电,但就在今天,由于电力系统检修,我所在的小区要停电十余小时…

回想起自己用的上一台显示器(华硕VX239),使用了触摸按键,却经常因静电而误被触发;而现在用的Dell P2314H是使用微动开关作为按键,完全没有这种问题…

 

厂商的不作为在勒索软件的传播中起到至关重要的作用

近日,最初在乌克兰爆发的、会通过破坏MBR使系统不能正常运作的勒索软件又多了一种新的传播途径[1]——

通过劫持并篡改软件的更新包来是目标主机被感染

且木马是『被植入』更新包,而非『替换』更新包,故该更新包能正常使用,但木马却已感染主机.


厂商的不作为,体现在其有多种方法防止更新包被篡改,或是防止被篡改的更新包被执行.比如:

  1. 检验数字签名是否有效
  2. 通过安全信道(SSL等)获取更新包的哈希值,并校验
  3. 通过安全信道(SSL等)获取更新包
  • 方案1的弊端是数字签名证书对于个人开发者过于昂贵[2]
  • 方案3的弊端是对建立(开源软件)镜像造成麻烦

而厂商只要采取上述方案中的任意一种或几种,就能防止勒索软件通过自己的应用程序传播.


题外话:用户的安全意识薄弱体现在哪呢?

  1. 大多正规软件的安装程序,都被数字签名过。安装时弹出的UAC提示,其中『已验证的开发者』一栏会提到签名信息;而被篡改过的应用程序,则会提示『发布者:未知』
  2. 属性-数字签名这一选项卡中,也可以查看数字签名的有效性,被篡改的文件会显示为无效。

而信安研究人员的结论也证实了这一点[1],被篡改的百度云安装包没有有效的数字签名信息,而未被篡改的版本则有.

即便一般用户不会使用方法2查看数字签名信息,那么UAC提示中的『发布者:未知』也应该引起他们的警惕吧……


[1].全国多省爆发大规模软件升级劫持攻击|E安全
[2].我在曾经购买过SSL证书的网站上查询代码签名证书的价格,为70-592美金/年不等

此安全非彼安全

我们知道,很多浏览器,如Google Chrome在浏览启用并正确配置SSL/TLS的网站时,在地址栏中会有『安全』字样,如下图所示——


然而,网民所认为的安全,和浏览器所认为的安全似乎并不相同

  • 浏览器对『安全』的定义:浏览器与服务器建立的连接是安全的。没有人能够冒充服务器(和浏览器,在启用双向认证时)的身份;没有人能篡改通信内容而不被发现;没有人能知晓通信内容……
  • 用户对『安全』的定义:我访问的是我想去的网站,我输入的登陆凭据不会泄露,我的财产是安全的

显然前者是后者的必要条件之一——换言之就是必要不充分条件。


今年三月,有新闻指出免费且自动化签发证书的CA,Let's Encrypt签发了超14000张域名包含"Paypal"的证书[1],它们大多被用于搭建『十分逼真的钓鱼网站』;Let's Encrypt的官方论坛也有人报告这种情形[2]

我们知道,钓鱼网站模仿真是网站的域名,往往靠两种手段

  1. 对外形相似的字母/数字进行替换,如小写l、大写I以及数字1,在有些字体中很相似.
  2. 用正规网站的域名充当二级域名来掩人耳目,如www.apple.com.cn.phishing.me

但是这两种都"过时"了,骗子可能会利用域名中包含UniCode来做到"高仿"[3][4],原理是Unicode中不同语言各有一套不同的内码,而不同语言又有很多字形相近的字符。比如a作为英语和法语字符时有不同的Unicode码,于是骗子便可以利用这个去注册一个高仿的apple.com……

如果骗子的高仿域名有SSL证书,这样浏览器的地址栏就会显示『安全』字样,那这层层误导会带来多么严重的后果呢……


^ [1].Let's Encrypt Has Issued Certificates to Over 14,000 PayPal Phishing Sites
^ [2].A fake PayPal phishing website is using "Let's Encrypt" certificate - Help - Let's Encrypt Community Support
^ [3].提醒 V 友, 防不胜防的钓鱼网址
^ [4].给你介绍一个假的苹果网站,能肉眼看出来算我输 - V2EX

咬人的疯狗

数日前,我的QQ邮箱在短短2小时中不断收到多达2000多垃圾邮件,这些多是以Discuz论坛为主的各类网站的注册确认邮件。这甚至超过我从2008年底启用此邮箱后收到的、除已被删除的邮件数量总和。从发送速度来看一定是软件所为,其原理与"短信轰炸机*1"如出一辙。

我敢肯定近2年多以来我没在网络上结识仇人。换言之,我不认识任何知晓我的E-mail地址且有动机对我进行『邮件轰炸』的人。

而这次事件持续时间很长,长达12小时,看来并不像恶作剧*2。于是我倒回刚开始收到垃圾邮件的时间点,果不其然发现了一封由126邮箱发来的电邮,内容是一人的身份证正反面照片。

我没有任何理由收到这样的邮件,加之我的QQ邮箱是<一串数字>@qq.com,因此对方很有可能是输错了数字导致这封邮件被发至我的邮箱。而他对我『邮件轰炸』的目的,大概是为了"淹没"这封由于他的失误或会导致泄露他人个人信息的邮件,或者令这封邮件和那些垃圾邮件一并被我删除。

我向此人发送邮件说明我并未保存这两张图片,并已将其删除,希望其停止当前行为。但是他给我的回复如下:

你怎么证明你没留存?!!!
如你不能证明我不会停止!!!

每句话后面的三个叹号足以看出此人气急败坏。而他对我的要求,就像"证明你妈是你妈"一样,是一个不可能证明的问题——即便我把我邮箱的登陆凭据给他,让他亲自看,他还可以诡辩——我把照片保存到我的计算机了……

他的邮件地址无法提供任何有效线索——也是一串数字,但既不是手机号码,也不是QQ号(至少不是主显帐号)。根据这封误发送的邮件内容,我猜测他服务于某个需要用户实名认证的企业,身份证上的人很可能是其客户,同时也是这家企业没做好信息安全工作的受害者。

两天过去,垃圾邮件不再涌入,看来暂时平息了……

事实上我也是一个没有任何过失的、无辜的受害者——如果我有过失,那也只能是使用了一个容易被"误输入"的邮件用户名……因此我将此事件形容为『疯狗咬人』。


总而言之,这个企业有许多不足,直接或间接导致了这场风波:

  1. 用电子邮箱传输敏感数据,且发送前不反复确认收件人地址
  2. 使用的电子邮箱没有『撤回邮件』功能*3
  3. 敏感信息通过互联网传输时没有加密——如果他用GPG加密了邮件,即便误发送也无虞
  4. 使用安全性能*4和使用体验*5极差的网易邮箱

而对于该企业的客户,也有如下不足

  • 没有在身份证照片上添加水印以减少以外泄露带来的隐患

^ *1.收集许多需要用手机号/邮箱注册的网站,模拟其注册时发送的POST包来让某个手机号/邮箱收到大量垃圾短信/垃圾邮件的软件,常被无良电商用作报复填写差评的用户.
^ *2.曾有报道因个人信息泄露,有人手机"被DDoS"——不断接到响一声来电使正常电话打不进来,后此人被勒索数百元赎金才可停止这种行为.
^ *3.许多邮箱,包括我使用的Gmail和QQ邮箱,都可以撤回已发送但对方未读的电邮.可以说的上是邮箱的标配功能.
^ *4.网易邮箱发送的邮件底部包含不可去除的广告,常被收件人的邮箱系统归档至垃圾邮件.
^ *5.网易邮箱宣称使用SSL确保信息安全,但仅是POST登陆凭据的URL使用了https,而登录页面为http.这种情况下攻击者只要在页面中插入一个恶意JavaScript便可获取用户名和明文密码.且网易邮箱并没有使用SSL或S/MIME来确保邮件在传输过程中安全.