近期安全动态和点评(2020年3季度)(上)

原文链接:https://program-think.blogspot.com/2020/10/Security-News.html

由于9月底刚发了一篇《二十年目睹之怪现状——中国学术界、科技界的“奇葩排行榜”》,长假期间忙了别的事情,又要花时间回复读者评论。导致3季度的《近期安全动态和点评》到今天才发。抱歉 :(

文章目录

★隐私保护

★高危漏洞

★新冷战与网络战

★网络攻击

★言论审查与网络屏蔽

★密码学

★安全工具

★安全编程

★硬件与物理安全

★隐私保护

◇基于“上网历史”的指纹

用户的浏览历史是独一无二的 @ Solidot

2012 年,法国和 Google 的研究人员分析了 382,269 名用户的浏览历史所构成的大型数据集,调查浏览历史是否能作为指纹跟踪用户。研究人员发现(PDF),绝大部分用户的浏览历史是独一无二的,并且相当稳定,可作为指纹使用。
在本月举行的 USENIX 会议上,Mozilla 的研究人员重复了这项研究并进行了延伸(PDF)。研究人员使用的数据集包含了 5.2 万名 Firefox 用户在两周内的浏览历史,分析显示了 48,919 个可区分的浏览资料,即 99% 的浏览历史是独一无二的。超过八成用户可通过浏览历史重新识别身份。
研究人员还发现,只需要考虑 50 个最流行网站就足以获得独特指纹。这项研究凸显出收集浏览历史所带来的个人隐私问题,研究人员称他们发现大量第三方在收集用户浏览历史将其作为标识符使用。

编程随想注:

至少有两个维度可以收集某人的浏览历史——

其一,通过【网络监控】进行收集(比如:“ISP or 公司网管”就可以做到这点)

其二,通过【本机软件】进行收集(比如:某些流氓软件会收集浏览器的历史)

多年来,俺一直唠叨【全程加密代理】。这么干不仅仅是为了翻墙,还可以避免 ISP(电信运营商)看到你的“浏览历史”。另外,那些安全要求很高的同学,不光要做到“全程加密代理”,甚至要做到【全程匿名网络】。

(如果你对安全性的要求很高,一定要记得看这篇汇总《为啥朝廷总抓不到俺——十年反党活动的安全经验汇总》)

◇VPN 的隐私问题

VPN With 'Strict No-Logs Policy' Exposed Millions of User Log Files @ Slashdot


声称不记录日志的 VPN 公司,泄露了 2000 万用户日志 @ Solidot

声称保护用户隐私的公司却不能保护自己的,声称不记录任何日志的公司却被发现记录了大量用户日志。
香港 VPN 服务商 UFO VPN 因其 Elasticsearch 数据库没有任何密码保护而暴露了超过 2000 万用户日志。Comparitech 的研究人员在 7 月 1 日发现了总容量为 894 GB 的数据库,其中包含了明文密码、IP 地址、用户连接的时间戳、会话令牌、设备信息、操作系统和地理位置信息。这不仅意味着用户账号容易被接管,也意味着用户能被跟踪,而使用会话令牌加密的数据能被解密。该公司声称它收集的信息都是匿名的,只是用于分析网络性能和问题,改进服务质量。

编程随想注:

很多 VPN 提供商都号称“从不记录用户日志”。但关键是——它是否记录日志,VPN 用户【无法】验证。

安全上的一个很重要的经验是:对于你【无法】验证的东西,应该作出更坏(更危险)的假设,然后在这个更坏(更危险)的前提下,构造你的防御措施。

以“使用 VPN”为例。当你无法确认“VPN 提供商是否记录用户日志”,你应该假设:自己使用的【每个】VPN 服务器都【永久】地记录了你的【每个】上网行为。为了防止 VPN 提供商耍流氓,俺在多年前就一直唠叨:VPN 用户要学会戴涛(Tor over VPN)。

不光是 VPN,当你使用 SNS 平台,也要记得这个经验。大多数 SNS 平台(微信、抖音、快手、Facebook、Twitter ......)都声称他们很关注用户隐私。但你根本【无法】验证这点。


◇港版《国安法》引发隐私关注


Signal 成为香港下载量最高的应用 @ Solidot

根据 App Annie 的数据,在香港国安法生效之后安全消息应用 Signal 成为香港地区苹果和 Google 应用商店下载量最高的应用。
Signal 最吸引人的功能是端对端加密,被广泛认为是最安全的加密消息应用。端对端的加密和解密是在通讯端的双方进行的,因此服务商也无法知道会话内容,这能有效防止第三方监听。
Signal 的其它功能包括阅后即焚,以及最小化用户数据收集。当其它社交服务纷纷表示暂停香港政府的用户数据请求,Signal 表示它根本没有用户数据可以提供。

谷歌、Facebook 和 Twitter 暂停处理香港政府的用户数据请求 @ WSJ/华尔街日报


美国科技公司拒绝与香港证监会分享客户数据 @ FT/金融时报

◇美国“棱镜门丑闻”的新进展


美国法庭判决 Snowden 曝光的大规模监视项目是非法的 @ Solidot

在前 NSA 合同工 Edward Snowden 曝光美国大规模监视项目 7 年之后,美国第九巡回上诉法庭判决此类项目是非法的。法庭认为,无搜查令的撒网式大规模秘密收集数百万美国人的电话记录违反了外国情报监视法,可能还构成了违宪。
目前在俄罗斯避难的 Snowden 表示,这一裁决证明他当年公开 NSA 大规模国内监视证据的决定是正确的。他说没想到自己能活着看到美国的法庭谴责 NSA 的活动是非法的。
在 Snowden 曝光前,美国情报官员坚称 NSA 从未明知故犯的收集美国人的信息。在 Snowden 曝光后,美国官员改口称大规模监视在打击国内极端主义上扮演着重要的作用。美国官员还引用了多位极端主义者被定罪作为大规模监视合法的证据,但第九巡回上诉法庭指出,此类说辞与机密记录不一致。ACLU 则表示这是隐私权一次胜利。

编程随想注:

美国第九巡回上诉法庭的这个判决,从某种意义上算是对斯诺登的平反。

当年斯诺登曝光【棱镜门丑闻】时,俺发了博文《中美政府信息监控的差异——“棱镜门”丑闻随想》。

总体而言,俺是支持斯诺登,反对美国政府的大规模监控。或者说,反对任何政府的大规模监控。在博客上,俺不止一次唠叨:不论是在哪种政治体制下,公民都要始终对【公权力】(政府&政客)保持足够高的警惕性。

另外,某些读者【误以为】俺是“美粉”,其实不然。7年前(2013)俺发上述博文时,文中的第一个章节是:★写在前面的话——如何客观看待“美国”?

◇Firefox 引入新的防护机制,对抗广告商的“redirect tracking”

Firefox 79 includes protections against redirect tracking @ Mozilla

编程随想注:

Firefox 从 79 版本开始,引入了新的 ETP 2.0(Enhanced Tracking Protection 2.0),用来对抗广告商的“redirect tracking”。

考虑到大部分读者不太了解“广告商的伎俩”,稍微解释一下:

俺在《如何保护隐私》系列教程中,已经扫盲了【cookie】的基本概念,也解释了“第一方 cookie”与“第三方 cookie”的差别。

最近这些年,很多在线广告采用“第三方 cookie”来追踪用户身份。于是很多浏览器(比如 Firefox)提供了一个隐私选项——禁用【所有的】“第三方 cookie”。

当越来越多用户采用这类选项,广告商当然不爽啦。于是就搞了个“redirect tracking”技术。当你访问某些网站的时候,网站先让你的浏览器【重定向/跳转】到广告商的网站,然后再跳转回来(回到你真正访问的网站)。如此一来,广告商的网站就可以在你的浏览器中保存“第一方 cookie”。

而 Firefox 新引入的 ETP 2.0 会每隔24小时清理这些“redirect tracking”植入的 cookie。也就是说,隔天之后,如果你再访问同样的网站,在线广告商并不知道“你就是昨天的你”。

★高危漏洞

◇GRUB2 高危漏洞(BootHole)——同时影响多种操作系统

安全启动功能曝出 BootHole 新漏洞,影响大量 Linux 与 Windows 系统 @ cnBeta

安全研究公司 Eclypsium 刚刚曝光了安全启动(Secure Boot)功能中的一个新漏洞,并将之命名为 BootHole 。其特别存在于 Secure Boot 的 GRUB2 文件中,攻击者可借此对受害者的系统实现“近乎完全的控制”。而且无论是 Linux、还是数量相当庞大的 Windows 操作系统,都会受到 UEFI 固件中的这个漏洞的影响。
Eclypsium 指出,只要使用了标准的微软第三方 UEFI 证书授权,这些支持 Secure Boot 功能的 Windows 设备都会受到 BootHole 漏洞的影响,包括大量的 Windows 台式机、笔记本、工作站、服务器、以及其它相关技术领域。
鉴于 Secure Boot 对启动过程的把控非常重要,BootHole 漏洞的影响力也可见一斑。对于攻击者来说,其能够在操作系统加载之前执行任意的恶意代码,同时避开多个安全措施的管控,最终使其获得对目标系统近乎完全的控制权。
......

编程随想注:

UEFI 的 Secure Boot 机制(简称:SB 机制)用来构建【UEFI 启动时的信任链】,这个“SB 机制”企图做到——只加载可信的(经过签名的)二进制代码。具体的“信任链机制”参见维基百科的“这个链接”。

想法很美好,现实很无情——这个信任链的任何一个环节都会是潜在的【单点故障】。也就是说,只要信任链的的某一环有弱点,整个信任链就瓦解了。

在半年前的《近期安全动态和点评(2020年1季度)》,当时正好在点评 Intel 芯片的“CSME 漏洞”。俺说了一句——UEFI 的安全性并没有某些同学想象的那么好。不幸被言中 :)

这次的 BootHole 高危漏洞(编号:CVE-2020-10713),就是上述所说的【单点故障】。

简而言之: GRUB2 内部用来解析配置文件(grub.cfg)的函数有安全漏洞。攻击者可以构造一个特殊的 grub.cfg 文件,从而触发该漏洞,并获得执行代码的机会。

关于该漏洞的细节,有篇很详细的技术介绍——《There's a Hole in the Boot @ Eclypsium


由于攻击针对的是引导程序(boot loader)本身,与操作系统无关。因此,不论你用的是哪一种系统,只要你的 boot loader 是 GRUB2,都可能中招。

【引导程序】的漏洞很危险——它是在操作系统【之前】运行滴。它如果出现“可执行代码”的漏洞,攻击代码也是在操作系统【之前】被执行。此时,攻击代码可以玩很多猫腻——

比如说:攻击代码可以在 OS 启动之前,先把系统中的安全模块和杀毒软件干掉。

比如说:全盘加密的解锁通常是在 GRUB 之后进行,攻击代码有机会窃取【密码 or 密钥】(注:“密码/密钥”是完全不同的两个概念,对“加密盘”而言,密钥无法修改,而密码可以修改。因此,“密钥失窃”更严重)

......

◇Windows 漏洞

'Wormable' Flaw Leads July Microsoft Patches @ Krebs on Security

Windows 例行安全更新修复了一个【蠕虫级】漏洞 @ Solidot

微软本周二(注:7月14日)释出了例行安全更新,修复了 123 个安全漏洞,其中一个位于 Windows Server 属于高危蠕虫级漏洞,软件巨人警告可能很快它就会遭到利用,目前还没有任何有关该漏洞正被利用的报告。编号为 CVE-2020-1350 的漏洞为远程可利用 bug,危险等级 10/10,影响绝大部分 Windows Server 版本,攻击者通过发送特质 DNS 请求就可利用该漏洞安装恶意程序。它被称为蠕虫级漏洞是因为恶意程序无需用户交互就能在存在漏洞的计算机之间传播。
其它 17 个高危漏洞影响 Office、Internet Exploder、SharePoint、Visual Studio 和 .NET Framework。

编程随想注:

【蠕虫级】的漏洞比较少见。这类漏洞通常位于那些长时间运行,并且开启监听端口的软件中(比如系统的 service 或 daemon)。当蠕虫感染了某台主机后,会主动对外扫描,一旦发现别的主机也有同样的漏洞,直接感染之;如此循环往复。因此,蠕虫的扩散非常快。

某些老网民应该还记得十多年前的“红色代码 & 震荡波”——这俩就是典型的蠕虫。


黑客正在利用最近修复的 Windows 高危漏洞 Zerologon @ Solidot

微软在 8 月份的例行更新中修复了被命名为 Zerologon 的高危漏洞 CVE-2020-1472,它允许本地网络的任意攻击者完全控制 Active Directory。该漏洞可被用于发动勒索软件攻击或植入间谍软件。发现该漏洞的安全研究员上周公布了能可靠利用漏洞的概念验证代码。
本周微软发出警告,黑客正在利用该漏洞。它没有提供细节,只是提供了攻击使用的文件数字签名。美国国土安全部也发出警告,建议企业尽快打补丁或者将域控制器从互联网上移除。

◇家用路由器的漏洞

家用路由器被发现存在大量漏洞 @ Solidot

你正在使用的家用路由器非常有可能存在众多的安全隐患,需要尽可能快的更新固件,如果厂商有新固件释出的话。德国的 Fraunhofer Institute for Communication 最近测试了 127 款家用路由器,其中 91% 运行了某个版本的嵌入式 Linux 系统。
研究人员发现,【没有一款】路由器免于安全漏洞,其中许多款存在数以百计的安全问题。四分之一的路由器超过一年时间没有收到任何安全方面的更新,部分路由器没有收到更新的时间长达五年。研究人员称,部分路由器很容易被破解,或存在用户无法改变的已知硬编码密码。知名路由器厂商 D-Link、TP-Link 和 Linksys 在定期更新上远远落在后面,其中 Linksys 的一款路由器 WRT54GL 使用的是 2002 年释出的 Linux 内核版本 2.4.20,存在 579 个高危漏洞。

编程随想注:

前不久,正好有读者在评论区问俺:如何用路由器隔离多台物理主机。

当时俺就提到:【不要】光依赖家用路由器进行网络隔离,因为家用路由器本身可能被入侵。更保险的做法是——在每一台物理主机的物理系统(Host OS)配置防火墙规则。为了尽可能严格,配置规则时应该采用【白名单风格】。

聊到这里,顺便扫盲一下两种风格,白名单 VS 黑名单:

白名单风格——先全部禁止,然后把允许的从中排除掉。

黑名单风格——先全部允许,然后把禁止的从中排除掉。

(这两种风格不光体现在“信息安全领域”,在别的很多领域也有体现。比如说:企业管理、人际交往、等等)

◇X Server(Xorg Server)高危漏洞

X.Org server security advisory @ LWN

编程随想注:

“X Server”中文称作“X 服务器”。在 X11 体系(X Window System)中,它充当服务端。为了与显卡等设备打交道,它通常以【管理员权限】(root 权限)运行。

8月底曝光了 X server 的一系列漏洞(编号:CVE-2020-14345,CVE-2020-14346,CVE-2020-14347,CVE-2020-14361,CVE-2020-14362),影响 1.20.9 之前的所有版本。

当 X server 以【root】权限运行时,如果攻击者可以获得【本地执行代码】的机会,就可以利用这些漏洞实现【提权】。考虑到 X server 在 Linux/UNIX 的【桌面】系统中很普遍,这个漏洞值得注意。

★新冷战与网络战

◇关于“脱钩”

美国净网行动开辟五大战线 科技铁幕全面脱钩中国的影响 @ BBC/英国广播公司

编程随想注:

上述这篇 BBC 的报道,俺在8月份的博文《每周转载:“中美对抗”进入【科技脱钩】阶段(网文7篇)》已经引用过了。与“中美脱钩”相关的话题,可以参见8月份那篇。

英国宣布2027年底前清除 5G 网络中的华为设备,中美博弈中选边美国 @ 路透社

路透伦敦7月14日
英国首相约翰逊下令,在2027年底之前彻底清除 5G 网络中的华为设备,此举暗示全球最大电信设备制造商华为在西方不受欢迎,可能会激怒中国。在英国准备退欧之际,对华为安全性的担忧迫使约翰逊在美中这两个全球竞争对手之间做出选择。
约翰逊此前一直受到来自美国总统特朗普的巨大压力,而北京则警告近年来寻求与中国拉近距离的伦敦方面,如果站在华盛顿一边,来自中国的数十亿美元投资将面临风险。
英国禁止华为参与其 5G 网络建设的决定受到美国驻英国大使 Woody Johnson 的欢迎,他表示,这是公平贸易和人权的胜利。他周二在推特上表示:“英国决定禁止华为进入其 5G 网络,以保护国家安全,这也是公平贸易和人权的胜利。”
约翰逊1月时曾宣布将华为设备在英国 5G 网络中非核心部分的占比限制在 35% 以内,这一决定于周二(注:7月14日)逆转。约翰逊宣布,禁止英国电信运营商在年底以后再从华为购买任何 5G 设备,并给运营商七年的时间移除现有华为设备。
英国文化大臣道登(Oliver Dowden)对议会表示:“这不是一个容易的决定,但对于英国电信网络、我们的国家安全和经济来说,无论是现在还是长期来看,这都是正确的决定。到下一次大选时,我们已经依法将华为设备完全从我们的 5G 网络中移除。”
英国称立场转变的原因是美国对芯片技术实施新制裁的影响,隶属于英国情报机构政府通讯总部(GCHQ)的英国国家网络安全中心曾告诉大臣们,这影响了华为保持可靠供应商地位的能力。
美国国家安全顾问奥布莱恩(Robert O'Brien)表示,英国的行动反映出一种日益增强的共识,即华为和其他不受信任的供应商对国家安全构成威胁,因为它们仍然“对中国共产党负有义务”。根据2017年出台的《中华人民共和国国家情报法》,任何组织和公民都应当依法支持、协助和配合国家情报工作。

......

步英国后尘,法国变相弃用华为 @ RFI/法广

根据路透社7月22日独家报导
法国当局已告知计划购买华为 5G 设备的电信运营商(SFR 和 Bouygues Telecom/布衣格电信),一旦设备许可证到期,将无法续签,从而有效地将把华为变相地淘汰出法国移动网络。
法国网络安全机构 ANSSI 本月表示,运营商的设备(包括华为设备)需要持有三到八年的许可证,但是,法国网络安全机构 ANSSI 督促运营商不要选用华为,以免更换时遇麻烦。
目前,法国运营商必须申请数十个设备许可证,才能覆盖全国不同地区。消息人士称,法国网络安全机构 ANSSI 已把很多大城市的许可证政策告知了运营商,即华为设备的授权大部分是三年或五年,而爱立信或诺基亚的设备大部分都获得了八年许可证。
消息人士补充说,法国当局在最近几个月的非正式对话中告知运营商,此后不会续签华为设备的许可证,但未在文件中正式说明。消息人士称,鉴于许可证的期限很短,这等于说,华为将在法国 5G 网络中在2028年前被逐步淘汰。
一位消息人士称,鉴于 5G 等新的移动技术至少需要八年才得到投资回报,所以在法国政府对许可证的限制下,电信运营商很难冒险投资华为设备。这位知情人士补充说:“给三年的许可证,就等于是(对华为)一口回绝。”
消息人士表示,法国对华为的立场与英国相似,只是“但政府的沟通方式有所不同。”并且“华为对此无能为力。”

加拿大实际上已将华为排挤出 5G 建设,但嘴上不能说 @ 路透社

路透渥太华8月25日
加拿大是五眼联盟中,唯一尚未正式将华为排除在 5G 网络建设之外的国家;但它实际上已经这么做了,手段就是一直拖着不做出决定,从而迫使电信企业不敢与华为合作。
六名知情消息人士指出,随着中美围绕华为展开角力,这个做法让夹在中间的加拿大两边不得罪。加拿大和五眼联盟中的盟友——英国、新西兰和澳洲——都被美国施压,被要求以安全理由排除华为。
......
消息人士称,加拿大运营商认为美国的遏制让它们别无选择,只能将华为排除在 5G 网络之外,至少目前是如此。鉴于形势的敏感性,消息人士要求匿名。“他们进行了政治盘算,称‘我们最好是什么都不做,这样一来,我们就不会让中国感到不快,也不会惹美国不高兴’,”一位了解政府官员立场的消息人士称。
避免得罪中国已成为一个重要考量。华为财务长孟晚舟自2018年12月被加拿大警方拘捕以来,一直在抗争美国的引渡要求。
中国指控加拿大公民迈克尔(Michael Spavor)和康明凯(Michael Kovrig)从事间谍活动而将他们逮捕。加拿大称,让他们获得自由是当务之急。“若不是为了这两名加拿大人,加拿大早就表态说不会使用华为 5G 科技了,”一位外交消息人士表示。但政府官员们否认这两人的命运与 5G 有关。
2018年,澳洲和和新西兰都禁止服务提供商使用华为 5G 设备。可以肯定的是,未来某一天加拿大会做出一个决定。与加拿大官员沟通过的另外两位消息人士表示,他们认为加拿大发布禁令只是时间问题。
......

哪些国家禁用、限用华为 5G 技术 @ DW/德国之声

英国政府本周(注:7月14日)宣布将华为全面排除在 5G 建设之外,几经反复后,英国终于顺应了华盛顿的要求。迄今为止有哪些国家对华为采取了禁用或限制措施?
英国:
英国政府7月14日宣布,将禁止华为参与英国 5G 网建设,并将在2027年前拆除已经采用的华为设备。直到今年年初,英国首相约翰逊还曾部分允许华为参与 5G 网络建设。英国政府禁止使用华为技术,一方面是出于安全考虑,另一方面也是基于美国此前对华为推出的制裁措施可能带来的技术影响。
美国:
今年6月30日,美国联邦通信委员会(FCC)将华为和另一家中国电信企业中兴列为对美国国家安全的威胁。由此,这两家公司在美国乡村地区的运营商用户必须将已经在使用的设备从网络中更换掉,同时不得使用金额为83亿美元的联邦通用服务基金的补贴购买华为和中兴的任何设备。今年5月,美国政府就已推出管制,禁止使用美国软件和技术的外国公司将半导体产品出售给华为。长期以来,华盛顿一直在向盟友施加压力,要求各国在 5G 网建设中不采用华为设备。

澳大利亚:
2018年8月,澳大利亚就已将华为排除在该国 5G 网络建设之外。此外,澳大利亚曾计划让华为铺设通往所罗门群岛和巴布亚-新几内亚的海底通信光缆,但最终决定自行建设这一工程。

新西兰:
2018年11月,新西兰政府同样以国家安全为理由,禁止无线网络营运商 Spark 在 5G 网络中使用华为技术。但 Spark 目前除了使用诺基亚和三星的产品,华为也仍是供货商之一。

加拿大:
加拿大两家最大的电信运营商今年6月决定,与爱立信和诺基亚合作建设 5G 网络。到目前为止,加拿大政府尚未做出规定,是否允许华为为该国 5G 网络提供设备。

日本:
2018年12月,日本推出规定,禁止部分公共机构的通信设备使用恐有国安疑虑的厂商产品。虽未直接指名道姓,但普遍认为这一做法实质上就是禁用华为等中国厂商制造的产品。日本媒体今年6月报道,日本政府近期将修改采购方针,追加禁用恐有国安疑虑的厂商产品的公共机构名单,被认为意在扩大禁用华为的机构范围。

欧盟:
2020年1月,欧盟宣布,成员国可将“高风险”供货商排除在 5G 核心网络建设之外,或限制其设备技术的使用。这一步骤的针对目标即是华为。
德国:
德国政府迄今未对是否在 5G 网络中禁用华为做出最后决定。普遍预测,柏林政府将在今年夏天之后再做决定。德国最大的电信运营商德国电信(Deutsche Telekom)多次警告,不应禁止单个供货商的产品。
法国:
据法国国家网络安全署负责人波帕(Guillaume Poupard)称,法国不会完全禁止华为的网络技术,但将鼓励那些尚未使用华为技术的电信企业不选择这家中国公司的产品。
意大利:
今年7月初,路透社援引消息人士报道,意大利电信(Telecom Italia)已经将华为排除在该公司正在准备于意大利和巴西进行的 5G 核心设备招标之外。此外意大利《共和国报》报道,意大利政府正在考虑是否将华为排除在 5G 建设项目之外。
新加坡:
新加坡最大的电信公司今年6月决定选用诺基亚和爱立信产品建设该国的 5G 网络。
印度:
印度媒体今年6月援引政府官员称,印度政府将禁止中国为任何国有电信运营商提供电信设备,也可能禁止私有运营商使用华为和中兴的设备。

1 条评论:

forevercommunications 说...

At Forever Group we specialise in Business Mobile services. I am concerned about the impact that excluding Chinese vendors will have on the 5G network rollout for our network partners including EE Business - O2 Business - and Vodafone Business - I guess we will have to wait and see.