誰是好人?

最近有個近乎好萊塢式的資安事件, 有個叫HBGary的資訊安全公司, 被一個知名駭客組織Anonymous攻擊. 搞得灰頭土臉的. 其實資安業者被攻擊也不是新聞了,  但這次有些不同.

Anonymous 是一群崇尚網絡自由, 進而支持維基解密(WikiLeaks)的駭客. 他們的"駭人"記錄頗為可觀. 一些反維基解密的政府或非政府組織都曾遭其毒手. HBGary 之所以成為他們的目標, 動機多半是因為HBGary 運用了社群網站 (臉書) 和 IRC (即時通)分析得知, 並考慮揭露部分Anonymous成員的真實身分.

基本上, 駭客手段不論招式好不好看, 只要能達成目的就好. Anonymous 用了最原始的"彩虹表" (rainbow table) 去硬猜 (brute force) 一個HBGary 網站管理員的密碼. 沒想到居然得手. 網站被駭時有聽聞, 傷害本來就可大可小. 但下一步卻讓人意外. 原來這管理員也掌管公司的電子郵件系統, 而且竟然用的是同一個密碼. 這下子Anonymous 順理成章的進入了HBGary 的電郵資料庫.

任何公司的電子郵件幾乎都有極機密的信息. HBGary 自然也不例外. 在被公佈的電郵中, 意外的揭露了美國政府資助的秘密計劃. 那就是僱用民間公司來發展隱形電腦病毒 (rootkit) 或間諜軟體. 這些軟體的結構緻密, 異常狡猾. 平常的防毒軟體對它們幾乎束手無策. 被攻擊的目標往往渾然不知, 更不用說防禦了. 還有許多未曾公佈的"零日"漏洞 (Zero-day exploits) 被庫存著, 足以讓大多數的電腦就範.

嚇人的是, 這應該只是冰山一角. 不知有多少類似的公司和官方計劃正進行中...

這整個故事其實很值得玩味:

資安公司 vs. 網路駭客?

法律邊緣 vs. 反制有理?

網路自由 vs. 國家安全?

誰是好人? 誰是壞人? 答案似乎越來越模糊. 唯一可以確定的是: 這是一個不可避免的強者為王, 一個沒有遊戲規則的駭客世界.

記得兩個人遇上熊的故事嗎? 當你跑不過熊時, 只要別當跑最慢的就好....

Reference：

Anonymous組織攻下資安業者網站 (PCHome)

http://www.ithome.com.tw/itadm/article.php?c=65810

Black ops: how HBGary wrote backdoors for the government 
http://arstechnica.com/tech-policy/news/2011/02/black-ops-how-hbgary-wrote-backdoors-and-rootkits-for-the-government.ars

帶著 iPhone 越獄去...

很多人使用過或正在使用越獄 (Jailbreak) 的 iPhone 或 iPod Touch. 越獄其實是一種黑客的手段. 它必須找到一個可利用的系統漏洞, 然後精巧計算一個"越權" (privilege elevation) 的破解程式. 它讓使用者得以安裝和使用非蘋果店 (Apple Store) 批准販賣的軟體.

也許你會問: iPhone 越獄是合法的嗎? 根據最近美國聯邦專利局的解釋, 這是完全合法的 (當然此判例只在美國適用). 理由是消費者一旦擁有了產品, 他有權"繞過"(bypass)原廠商設定的保護機制, 安裝自己選擇的軟體. 美國是個保護消費者的國家, 這麼判定其實不意外. 剩下的問題是, 這些保護是這麼被"繞過"的? 難道蘋果就沒辦法加強保護, 繼續這"貓抓老鼠"的遊戲嗎?

iPhone 的作業系統叫 iOS. 它源自MacOS. 基本上它們都是建構在Unix上的高階作業系統. 之前談過Unix root 的問題, 一旦取得系統root的權力, 基本上沒有什麼是你不能做的. 這也就是黑客的目標. 一旦拿到root, 要繞過蘋果的保護設置可說是輕而易舉. 但第一件事必須找到一個系統的安全漏洞 (vulnerability). 安全漏洞可能存在任何層次. 也許是瀏覽器的顯示圖片功能有不安全的程式碼, 或是某個驅動程式的緩衝區溢位（buffer overflow）, 甚至可能是燒在硬體 (ROM, read-only memory) 上的程式漏洞.

對蘋果或其他類似的硬體廠商來說, 要補這些漏洞比補一般電腦的漏洞要挑戰得多. 電腦可以下載並安裝補丁程式. 而iPhone得看使用者高興, 必須在新版本加新的功能來吸引用戶"升級", 然後順便補洞. 對廠商來講, 最糟的是硬體上的程式漏洞. 除非用戶換機子, 他們基本上就 game over 了.

最近一個叫 Chronic Dev Team 的破解團隊, 已針對iPhone 4 的A4處理器上的一個漏洞, 成功的寫出破解碼叫 SHAtter (請自行Google). "越獄"的粉絲們, 你們的 iPhone 4 永避牢籠的日子不遠了.

但我有預感, 這"貓抓老鼠"的遊戲, 不會就這麼結束.


Reference:
greenpois0n
http://www.quickpwn.com/greenpois0n-download

$204 美金

獨立研究報告顯示, 資料外洩 (Data Breach) 的成本可能比想像中高得多. 以美國的企業為例. 根據一家專精資料隱私及安全的機構 (Ponemon) 的統計, 平均一次資料外洩事件要花費 $675萬美金來解決. 以單筆資料來看, 每筆外洩資料價值 $204 美金. 也許你想問, 這麼昂貴的數字從何而來?

看看以下的資料外洩花費條列, 其實就不難理解:

• 調查取證費
• 監察和顧問費 
• 內部單位聯絡協調費
• 外部單位聯絡協調費
• 公共關係費
• 法律辯護費
• 法律顧問費
• 服務過失補償費
• 個資保護服務補償費
• (若有法律規範) 繳納政府罰金
• 客戶流失損失 (因失去對企業的信任)
• 延攬新客戶增加成本 (因企業形象損傷)

看看這些數據, 說服企業老闆對資訊安全的投資成本回收 (ROI) 應該會容易些.

http://www.ponemon.org/index.php

個人資料值多少?

多數人都有填寫個人資料, 去申請折扣卡或貴賓卡的經驗. 也有許多人之後收到斷斷續續的廣告, 甚至騷擾的電話或電郵. 到底個資值多少, 讓這些廠商願意給這些折扣?

有一個小工具可以幫你打打算盤 (以美金計):

• 現居地址: $0.50
• 過去地址: $9.95
• 生日: $2.00
• 婚姻狀態: $7.95
• 社會安全碼 (用途類似身份證號碼): $8.00
• 教育背景: $12.00
• 工作背景: $13.00
• 家用電話(公開): $0.25
• 家用電話(未公開): $17.50
• 行動電話: $10.00
• 網域註冊資料: $0.25
• 可能的親戚: $3.00
• 鄰居: $0.25
• 信用狀況: $9.00
• 不動產 $1.50
• 破產記錄 $26.50
• 汽車記錄 $0.75
• 資產狀況 $6.95
• 自營企業 $9.95
• 法律訴訟 $2.95
• 犯罪記錄 $16.00
• 駕照 $3.00
• 各式證照 $0.25 ~ 16.00
• 選舉人資料 $0.25
• 軍人資料 $35.00

看看個人資料值多少錢? 用以下計算機幫你算一下:
http://www.turbulence.org/Works/swipe/swipe_data_cal.html

臉書 (Facebook) 現象與個人隱私的自我公開

以臉書 (簡稱 FB) 為代表的社群網站，從根本上改變了網路世代的人際關係。 以社會層面的探討和研究文章其實有很多。 但以個人隱私的角度來看，這問題顯得格外矛盾又有趣。在於 FB 上透露／洩漏的個人隱私有以下幾種情況：

1. 有意和朋友 (有些人喜歡和全世界) 分享的個人隱私：這類資料雖然是自發性的分享，但可能提供駭客 (或怪朋友）一些入門情資。
2. 無意分享但“意外”透露的個人隱私：由於對 FB 的隱私設置不熟悉或缺乏注意，一些用戶自覺隱藏的個資，意外的藉由朋友或朋友的朋友傳出。
3. FB 應用軟體 (包含那些“趣味”問卷) 對用戶本身和他們的朋友的個資的“分享”：這些 FB 的第三方 （Third party）應用軟體，通常對用戶的背景和喜好有高度興趣。若用戶未細察設置, 個資可就源源不絕的流出了。
4. 針對 FB 漏洞所設計的惡意軟體或駭客攻擊所造成的個人隱私外洩：這類的攻擊有漸多的趨勢。喜歡玩東玩西的 FB 的用戶較常碰上，並且不容易防範。

要了解任何放上 FB 的個資 （住址，電話，照片，生日，喜好，朋友，文字，等等），其實不容易成為真正的隱私。它們以不同形式被“分享”的機率不低。再來就是 FB 的隱私設置至關重要。有一些工具可幫忙檢查，例如：http://www.reclaimprivacy.org/facebook

終極的解決方法無他。 最重要的一個觀念，就是永遠別把真正的隱私 po 上 FB (或者是任何網站)。


圖取自此處

-- kryptoman

駭客任務啟示錄 - KHOBE

電影 The Matrix (1999) (好像翻譯成 "駭客任務" 或 "黑客帝國") 是一部經典作... 至少對一些電腦志士來說吧. 其中最精彩的部分, 就是它將電腦世界中的規則和角色, 比擬成一個類真實的虛擬世界. 例如，要進入這個世界, 必須先成為一個使用者. Agent Smith 和他的黨羽就是系統管理員. 他們有很大的權限, 可直接變成任何一般使用者. 也可以剔除任何被逮到的搗蛋鬼. 主人翁Neo最後終於明暸自身的終極能力, 輕易的打敗 Agent Smith. 你可知道 Neo 在電腦世界所類比的是什麼角色？ 居然連系統管理員都敢K?

答案是核心程式 (Kernel). 基本上, 它代表一般程式去和硬體打交道的仲介. 因為硬體的語言太難懂, 只有運用核心程式, 才能讓一般程式簡單明暸. 換句話說, 就連系統管理員要和硬體溝通, 都得透過核心程式. 這就不難理解為什麼 Neo 可以海K Agent Smith 了.

為什麼會說到這呢? 最近有個 Windows 的系統漏洞被研究出來，讓許多電腦防毒軟體公司冷汗直流。它叫做 KHOBE。這並不是牛排, 日本地名, 或NBA明星. 它是 Kernel HOok Bypassing Engine 的縮寫. 到底KHOBE 有什麼大不了的?

說白了 KHOBE 就是個披著羊皮的核心程式。當防毒軟體掃過，它只是個無害的程式。一旦過關了，馬上變身回武藝高超的 Neo. 尤其在多核的CPU電腦更是無往不利。雖然還在實驗室階段，但隱含“打敗天下防毒軟體”的巨大衝擊，著實讓這些公司寢食不安。

Wikipedia - 核心 Kernel
UPDATE - New attack bypasses EVERY Windows security product By Adrian Kingsley-Hughes
圖取自此處

－－ kryptoman

是真安全, 還是自我感覺良好

常有人問: 為什麼我的網站在發布前, 需要做侵入測試(penetration test)? 我們不是已經有防火牆和SSL加密了嗎?

不錯, 以現今的技術, 很少人會在防火牆打洞或破解SSL加密上面動腦筋. 所以我們安全了嗎?

OWASP 是個非營利的電腦應用軟體安全組織. 它每年發布的十大 (Top 10) 安全漏洞是產業界的重要指標. 看看2010年的排行, 勉強只有No.9 是SSL可以擋一擋. 傳統的 Network level 防火牆更是一個都沒撈到. 為什麼?

道理其實很簡單. 沒有一個黑客喜歡捨易求難, 或專找硬釘子碰. 大家都喜歡找環節中最弱的一點 (the weakest link). 應用軟體的漏洞可讓黑客堂而皇之的走大門, 又何必辛苦翻牆呢. 這就是為什麼安全是需要測試的, 不是自我感覺良好就行的.

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
圖取自此處

-- kryptoman

# 的特殊意義

在一個黑客群集的研討會後, 主辦單位發了一個小紀念品 - 一只別針上面只有一個符號: #. 大伙會意的笑了. 知道為什麼嗎?

# 對大多數人也許只是個符號. 但對於黑客來說, 它是個目標, 也是個自豪的表徵. 玩過 UNIX 或 LINUX 的人就知道當你看到 # 是你的 "指令提示符號" (command prompt) 時, 表示你是個系統的超級用戶 (root), 對此系統有著無上的權利. 所以當黑客看到他的目標跳出 # 時, 他已經完全擁有了這個系統.

 網絡安全的世界, 有許多這類的"內行"術語和意涵. 有機會再分享.

圖取自此處

-- kryptoman

黑與白 - 什麼是白帽黑客?

"白帽黑客" (whitehat hacker) 有時也稱為 "有品黑客" (ethical hacker) 或是 "侵入測試員" (penetration tester). 基本上, 這些人是公司或單位授權/僱用來測試他們的資訊或網絡產品的安全性. 請注意 "授權" 二字. 這就是白帽黑客和一般黑客的區別.

http://en.wikipedia.org/wiki/White_hat
圖取自此處

-- kryptoman

引言

首先, 這不是個黑客網站. 希望分享的是對網絡和資訊安全的一些心得.

krypto 這個字取的是希臘語的 "隱藏" 之意涵, 也就是中文字 "謎" 的意思. 現代人用 crypto- 或 cryptography 來稱呼密碼學就是這麼來的.

接觸資訊安全十多年來, 這領域的錯綜複雜隨著網絡發展, 已經到了難以理解的程度. 多數電腦使用者和主流媒體對資訊安全的理解還停留在防火牆和防毒軟體. 希望借由分享領域的發展研究, 可對此有小小幫助.

圖取自此處

-- kryptoman