Apple (或者說 Steve Jobs) 持續引領風潮,不管是不是潮人,對於 Apple 這個品牌絕對都是耳熟而詳,甚至有不少人不顧一切地想要一親芳擇。這幾天 Apple 被 EFF (Electronic Frontier Foundation) 所槓上,原因在於 Apple 想要申請的專利內容。根據 EFF 的說法,Apple 這次要申請的專利,可以用來判斷手機持有者的身分。至於實際的應用嘛,美其名可以在 iPhone 或其他 Apple 產品落入它人手上時避免資料的外洩,但是 EFF 卻擔心 Apple 利用這些技術來收集個人的識別資料與追蹤行蹤。EFF 也擔心這樣的機制一旦被駭客所利用,其所產生的危害將更難以估計。其實這類軟體或功能很常見,尤其是收集個人資料早已經是許多惡意程式的主要目的,但是合法廠商這麼做倒是比較少見 (前幾年的 Sony 幹過)。這次 Apple 不但明目張膽地做,更想要為這樣的技術申請專利,真不虧是能夠不斷製造話題的 Apple。EFF 為了表示對 Apple 的敬意,更發明了一個新的名詞,叫做 Traitorware,指的是在你背後偷偷地違反你個人隱私的設備 (devices that act behind your back to betray your privacy)。雖然 EFF 對於 Apple 這個舉動表達了強烈的反對,但是 Apple 是否在產品內採用這樣的技術卻也不一定與專利的通過與否有直接的關係。話說回來,對眾多的 Apple 迷來說,也許非但不介意讓 Steve Jobs 多了解自己一些,甚至可能會覺得這真的是炫極了。
cyrilwang 發表在 痞客邦 留言(0) 人氣(364)
WikiLeaks 這幾年常常出現在政治與資安的新聞版面上,原因無它,因為 WikiLeaks 的宗旨就是揭露從各處收集而來的機密資料。在這些眾多的祕密裡,其中許多自然跟全世界最神祕的組織之一 (也就是美國政府,其他政府也都很神祕,只不過美國政府的干涉範圍實在太廣了) 有關。像是一些美軍的機密資訊以及美國在海外進行的機密外交,每次公布都引起不少的震撼。經過這些年的吞忍,美國政府終於再也按奈不住而決定展開反擊,針對相關的人、事、物加以嚴格處置。原先只是美國政府自己的行動,後來因為一些與 WikiLeaks 相關的商業組織也連帶”背叛”,所以導致 WikiLeaks 支持者的不滿,進而展開反擊。其中幾個原本提供 WikiLeaks 募款來源管道的網站 (包含 Mastercard、VISA、PayPal 等),都因為遭受 DDoS 攻擊而影響到網站的運作。其中唯一的倖存者,大概就是提供 WikiLeaks 網站服務的 Amazon 了。Amazon 受助於本身所建置的雲端架構,所以讓資源有限的 WikiLeaks 支持者知難而退,如此一來 Amazon 不但順利全身而退,甚至為其雲端平台 - EC2 找到了一個很有力的賣點。 整起事件雖然還沒有落幕,但是至今已經佔據了許多的新聞版面,只不過很多僅著重在陳述事件的經過。其中我覺得比較有思考空間的觀點有兩個,一個是有關於網路是否會衍生出自己的恐怖主義,例如在這個事件中 WikiLeaks 支持者所扮演的角色。以往所謂的網路恐怖主義,僅是原本的恐怖份子將攻擊行為轉換到網路上,但是這個事件卻衍生出了新的恐怖主義集團,而且是一個沒有國界區分的集團。當然,以恐怖主義集團來描述 WikiLeaks 的支持者或許過於嚴厲,但是難保未來的發展不會演變至此,也或者未來其他事件的發生終將導致恐怖主義的誕生。 另外一個觀點則是討論到原應屬於公眾的網際網路卻已經被少數幾個商業組織所把持,其中包含幾個網路網路運作的基本元素,如網域名稱、線路等,都早已經私人化,而不再屬於公眾的資產。在這種情況下,人民只能任由這些企業 (與政府) 所擺佈,而無法自由地使用網際網路的資源。而這更有可能成為網際網路 (概念) 本身最脆弱的一環,一旦這些元素失去應有的定位與作用,整個網際網路的開放特性將蕩然無存。 老實說,WikiLeaks 本來就充滿爭議性,其所衍生的議題都相當嚴肅,更直接挑戰許多舊有的體制。安全與自由之間,本就是兩難的抉擇,更何況還有不同角色間的衝突與矛盾。對此,我只能說雙方應該合作以找到一個平衡點,只是當一方是屬於”高高在上”的政府時,另外一方會有公平談判的機會嗎? 附註:由於 WikiLeaks 的內容實在太令人難以抗拒,再加上網站已經被關閉,所以出現了許多宣稱擁有 WikiLeaks 內容的複製網站,其中當然也包含了駭客所假冒的。所謂好奇心殺死一隻貓,在決定是否要窺視這些外洩的祕密前,請記得先好好地三思。
cyrilwang 發表在 痞客邦 留言(0) 人氣(203)
汽車對很多人 (尤其是男生) 來說,往往不只是一項代步工具,更是一種身分跟品味的象徵。但是在眾多感性的訴求當中,卻還是有一些比較理性的訴求,其中之一就是安全性。過去汽車的安全性,對車子本身而言,包含了車身結構、安全氣囊、ABS 以及其他的安全設計。對駕駛而言,則包含了行前的檢查 (油、水、胎壓、煞車、電池及其他) 與安全地駕駛 (開車不喝酒、不打行動電話) 等等。但是在未來,所謂的汽車安全性,或許會另外多了一個項目,那就是軟體的更新 (事實上,部分汽車廠商現在就已經具有這樣的服務)。隨著汽車工業的高度發展,現代汽車的設計已經內建越來越多的軟體 (Mercedes-Benz S-Class 擁有超過兩千萬行的程式碼) ,用以強化駕駛與乘客的乘坐經驗。但是這些軟體,卻也代表著可能存在的安全漏洞。尤其是當這些軟體可以從遠端 (利用網路) 加以控制時,其所產生的影響將可能是前所未見的。 之前我分享過幾則相關的新聞,但是其影響大多還只是侷限在造成不便,對安全尚未造成真正的危害。但是,隨著市場規模的擴大,惡意的攻擊,乃至於有利益目的的攻擊,只是早晚的問題。例如,如果駭客可以透過車載定位系統明確地掌握某大企業 CEO 的行程,或許就可以猜到這家企業暗地裡可能在進行什麼業務。又例如當駭客可以透過同樣的系統掌握到政要的出現地點,那麼想要對其不利也就容易多了。至於市井小民嘛,也許哪一天車子無緣無故自己開到荒山野地躲起來也不會是什麼令人驚訝的消息。想要找回愛車,請記得先付款給駭客。除此之外,針對那些喜歡在車上做些非正常活動的男女,或許更該多加小心,免得成了現場直播成人秀的最佳男、女主角了。 相關連結:
cyrilwang 發表在 痞客邦 留言(0) 人氣(46)
cyrilwang 發表在 痞客邦 留言(0) 人氣(236)
雖然大多數的人跟我一樣,都不是密碼學的專家,但是密碼學的應用卻充斥在我們的日常生活之中。從你買東西時使用信用卡付賬,到在網路上進行購物,甚至是你每天登入到作業系統,都跟密碼學有關。密碼學的中文說法,其實很容易讓人產生誤解,因為密碼學講的並不是我們平常登入各式系統所使用的密碼,而是加解密的演算法。雖然比較嚴謹的系統都會將密碼做加密的保護,但是兩者之間卻沒有必然的關係,而密碼學就是一門充滿了各式各樣演算法的學問。這些複雜的演算法,往往都不是由資訊專家所提出,而是數學家所苦心研究出來地成果,並經過外界公開的審視。儘管演算法在被公開接受並採用前往往已經經過了仔細的評估,但是卻沒有一個演算法本身是絕對安全的。所有的演算法至少都會遭遇一種手法的攻擊,那就是所謂的暴力攻擊法。簡單的說,暴力攻擊法就是利用強大的運算能力,將加密或解密的各種可能性逐一計算,最後獲得所需資訊的手法。既然所有的演算法都會遭受暴力攻擊法的攻擊,那麼為什麼密碼學的應用還會被大量採用在我們日常生活當中呢?原因很簡單,就是因為暴力破解法所需的強大運算往往在現今的技術下是無法有效地加以實現,也因此我們的資料”暫時”是安全的。 除非是很特殊的組織或個人,否則一般駭客能夠用來破解加密資料的工具還是最常見的個人電腦設備。傳統上我們常用的電腦設備主要透過中央處理器 (CPU) 處理各式各樣的運算需求,而中央處理器本身是一個通用的處理器,所以對於處理大量的數學運算並不在行。儘管隨著技術的進步,中央處理器的處理速度已經大為提昇,但是先天的定位註定中央處理器一旦遇到複雜的數學運算就是只能吃憋。 而電腦內部除了中央處理器之外,往往還有另外一個處理器,稱之為繪圖處理器 (GPU)。繪圖處理器顧名思義就是用來處理圖型顯示的運算,而圖型顯示正需要大量的數學運算,所以繪圖處理器天生就是數學運算的高手。其實繪圖處理器的存在由來已久,但是因為市場需求的關係,之前繪圖處理器的發展速度並不如中央處理器那般快速。而近年來遊戲與網路多媒體的蓬勃應用,讓繪圖能力的重要性越趨重要。再加上技術的成熟,因此繪圖處理器的處理速度大幅增進,尤其是這樣的技術應用已經相當普及,而不像過去繪圖處理器是有錢人的專屬玩具。也因為這樣的發展,所以繪圖處理器的強大數學運算能力不但可以用在繪圖功能上,更有人開始發揮創意並開發新的應用,而其中一個應用就是用來破解加密的資料。一旦這樣的運用普及化,我們對於演算法的安全性就必須重新加以思考,因為所謂的”暫時”安全可能已經不再是”暫時”,而僅僅只是一瞬間的時間。至於在實際上會有多大的影響層面,就讓我們持續觀察吧。
cyrilwang 發表在 痞客邦 留言(0) 人氣(154)
知名的微網誌 Twitter 在 21 日的 AM 2:54 收到警告,表示該網站存在一個跨網站腳本攻擊 (XSS) 的安全漏洞。但是根據其他網誌的報導,一個來自日本的資安研究員 Masato Kinugawa 表示他早在八月中就告知 Twitter 此一問題的存在,並利用此一漏洞做了一些不具破壞性的展示。Masato Kinugawa 將 Twitter 的頁面裝飾成七彩的顏色,並稱之為 Rainbow tweets。此一漏洞被揭露之後,許多人就開始發揮創意,不但產生各式各樣不同的行為,連觸發動作也由原來必須將滑鼠移到連結上 (onMouseOver) 改成自動啟動。後來甚至有了具備自動感染功能的蠕蟲出現,受害者包含前英國首相 Gordon Brown 的妻子 Sarah Brown。 這次的跨網站腳本攻擊來自於當使用者輸入的內容包含連結時 (如 http://www.twitter.com/) Twitter 會自動將其轉換成 html 的連結標籤 (<a>),但是解析程式對於 @ 這個特殊字元的處理出現問題而導致。受影響的範圍主要為使用 Twitter 主網站服務的用戶,對於使用 3rd party 程式存取 Twitter 服務的用戶則不受影響。Twitter 則對外宣稱在收到通知之後的數個小時 (AM 7:00) 之內就把漏洞修補好了。 跨網站腳本攻擊的氾濫程度與嚴重性已經是老生常談的話題,雖然解法說起來很簡單,但是在執行上卻有其困難度。這次的事件還有另外一個需要注意的重點,那就是網站安全的不中斷性。不管你的網站其使用者是否來自於世界各地,對於駭客而言絕對沒有區域與時區的限制,所以如何建立一個 24 小時不中斷的安全機制與應變機制,對所有網站的經營者而言都是必須去認真思考的一個課題。 相關連結:
cyrilwang 發表在 痞客邦 留言(0) 人氣(182)
cyrilwang 發表在 痞客邦 留言(0) 人氣(138)
之前我分享過一則離職員工為了報復公司而入侵系統並惡搞客戶汽車的新聞,這次出問題的則是用來監測汽車輪胎胎壓的監測器。安全研究員發現這些監測器存在安全上的漏洞,如果修改其所讀取到的數值,將可造成電子控制器 (ECU, electronic control unit) 的誤判或失效。雖然目前控制器對於胎壓不正常可能僅是發出聲音警告駕駛人,因而尚不致於造成實際的危害,但是如果日後控制器的行為更為進化 (例如強制停車),所產生的後果就不僅止於小小的困擾,甚至可能因此造成人員的傷亡。再加上這些胎壓監測器都具有一個獨特的識別編號,因此駭客可以很準確地鎖定目標,並從遠端發動攻擊。 相關連結:
Cars hacked through wireless tire sensorscyrilwang 發表在 痞客邦 留言(0) 人氣(80)
在無線區域網路 (Wi-Fi) 當中,安全性的問題一直是一個令人坐立難安的課題。從 WEP 可以在數分鐘之內被破解,再到有人將破解 WPA 變成雲端服務,WPA2 是目前在理論與實務上能夠有效保護 Wi-Fi 的唯一協定。然而就像所有的系統都無法永遠保證其安全性一樣,已經有資訊安全研究員宣稱找到 WPA2 的漏洞,可以用來進行中間人攻擊 (Man-in-the-Middle Attack)。此次被發現的漏洞被稱之為 ‘Hole 196’,而 ‘Hole 196’ 並不是導因於實作上的錯誤,也不是加密演算法出問題,而是在於規範本身的定義。也因為問題出在規範本身,所以目前 (甚至在可見的未來) 並沒有任何方式可以用來避免這個問題的產生。唯一的好消息是要利用這個漏洞發動中間人攻擊之前,攻擊者必須先通過無線網路的驗證,也就是說通過授權的內部使用者最有可能利用這個漏洞進行攻擊。發現 ‘Hole 196’ 的研究員預計將於 Black Hat Arsenal 與 DEF CON 18 發表演說,並介紹更多相關的細節。 相關連結:
WPA2 vulnerability foundcyrilwang 發表在 痞客邦 留言(0) 人氣(212)
根據 Wired 網站的新聞報導,有一個犯罪組織多年來利用信用卡小額轉帳的方式,成功獲取超過一千萬美元的不法所得。這個組織透過垃圾信件刊登不實的求才廣告,並利用多個虛設的公司與網站騙取使用者的資料。因為每個使用者的轉帳金額並不高 (從 0.2 到 10 美元),所以此舉不但成功地躲過信用卡處理中心的偵測機制,甚至有高達 90% 的受害者根本沒有注意到信用卡帳單上無緣無故多出了一筆支出。因為使用習慣的不同,這類信用卡的詐欺行為在台灣相對來說比較少見,但是謹慎一點總是好事。下次當你收到信用卡帳單時,請注意帳單上的每筆消費記錄是否有所可疑。事實上,很多我們平常消費的店家我們只知道店家的名稱,但是公司的名稱往往不見得與店家名稱相同,所以在檢查帳單時可能會造成一些困擾。小心駛得萬年船,多注意這些細節不但可以避免金錢上的損失,更可以避免可能的法律紛爭。 相關連結:
FTC: Scammers Stole Millions Using Micro Charges to Credit Cardscyrilwang 發表在 痞客邦 留言(0) 人氣(81)
