聚會時間公告: 因應COSCUP 2011, Kalug 8月份休會一次

十一月 26, 2010
» Android 瀏覽器 2.2之前版本的漏洞, 可能造成SD卡資料外洩

Android 或者各種瀏覽器、作業系統 等等, 都是有可能出現漏洞, 但是今天看到的新聞, 似乎 Open Source 散佈後, 會遇到的嚴重問題. Open Source 的好處是看得到 Source code, 所以大家都可以改, 可以 fork 自己的版本 (在此先不討論授權問題), 但是, 同樣另一個問題就是, 會有很多不同得版本出現, 這沒有好壞, 但是, 看到這篇新聞, 有幾個問題是比較嚴重的: 該漏洞可能影響Android 2.2及之前的版本, "Google準備在代號「薑餅人」的Android 2.3中修正", 那 2.2版以前 的 該怎麼辦? 就算 Google 若在 2.2 版修正, 但是其他廠商(ex: HTC) 沒有修正, 還是一樣沒救. 新聞 - Android瀏覽器新漏洞 SD卡資料有外洩危險 下述轉載自此篇新聞: Android瀏覽器新漏洞 SD卡資料有外洩危險 該漏洞可能讓使用者不知情的狀況之下傳送包含惡意程式的檔案到SD記憶卡中,並利用JavaScript開啟及傳送其他檔案到其他地方。 英國資安專家Thomas Cannon指出, Android內建的瀏覽器可能遭網站利用,竊取使用者的檔案。該漏洞可能影響Android 2.2及之前的版本 。 Thomas Cannon使用模擬器製作一段影片說明該漏洞,使用者如果使用內建瀏覽器開啟惡意網頁, 該網頁可以在使用者不知情的狀況之下傳送包含惡意程式的檔案到SD記憶卡中,並利用JavaScript開啟及傳送其他檔案到其他地方 。他也在執行Android 2.2的宏達電渴望機中驗證過該漏洞。 雖然必須事先知道想要偷取的檔案名稱,但因為Android的照相、錄影、錄音等程式的預設路徑、檔案名稱是固定的,因此駭客可以很容易取得需要的檔案。幸運的是該漏洞存在於瀏覽器,所以是在沙箱中執行,不能像其他惡意程式取得最高階管理人權限(Root),因此只有SD記憶卡與少部分資料可能被盜。 Thomas Cannon已經向Google提報該漏洞,並在20分鐘內獲得回應, Google準備在代號「薑餅人」的Android 2.3中修正 。不過這恐怕無濟於事,因為個別手機機種的更新檔案由手機廠商提供,導致使用者可能永遠無法取得更新。 他 建議無法取得更新的使用者必須注意不要開啟無故出現的下載完成通知以免受害 ,也可以 把瀏覽器的JavaScript功能關閉 ,或者 換用其他可以自行更新的瀏覽器如Opera、Firefox、Skyfire等 。Google曾經建議卸除(unmount)SD記憶卡,不過會影響部分功能。 此漏洞的示範影片: http://vimeo.com/17030639 在文章內的解法 與 問題 在文章內提到的解法, 好像都不太好, 在此把問題簡單列出. 把瀏覽器的JavaScript功能關閉 - 除了不知道怎麼關外, 關掉的話, 還有幾個網頁可以動? 換用其他可以自行更新的瀏覽器如Opera、Firefox、Skyfire - 是個解法, (感覺好像是IE6有安全性問題時的處理方式, 有點糟糕), 所以建議要換瀏覽器. ( Android 瀏覽器可以出 app 更新嗎? ) Google曾經建議卸除(unmount)SD記憶卡,不過會影響部分功能 - 手機天天在叫容量爆滿, 只好把所有程式搬到 SD 卡, 只留下部份必要的程式 在手機裡面, 若卸除SD卡... 這.... 現在只能等 HTC 升級 2.3? 還是有其他更好的解法嗎?

十一月 2, 2010
» 利用 Firesheep 竊聽 WiFi網路 來擷取 Cookie

Firesheep 是 Firefox extension, 主要是在 Wifi 的環境下, 利用監聽、擷取封包的方式, 來取得 cookie 得資訊, 進而利用此 cookie 來直接進入 "你的 Facebook、Dropbox" .. 等網站. Firesheep 這幾天太紅, 有很多文章都說明得清楚, 在此就把重要連結整理一下就好~ Firesheep 官方資料 Firesheep 作者寫的說明: Firesheep - codebutler Firesheep 安裝: Firesheep Firesheep 是什麼? 關於 Firesheep 的說明. 開發人員展示可綁架Facebook帳號的Firefox附加元件   Firesheep:通过WiFi把Facebook、Twitter等隐私数据一锅端! Firesheep 的說明 與 防範辦法 最近很紅的 Firesheep…

十月 21, 2010
» Java 漏洞攻擊 於2010年 創新高

Java 在程式語言的排名中, 一直名列前三名. 今年怎麼突然被被找出來打~ 最可怕的是, Java 都默默的執行, 也就不會感覺到好像出事了. XD 新聞 下述摘錄自: 微軟:Java漏洞攻擊真的很嚴重! - 記者: 郭和杰 今年第三季,由於三個漏洞而讓Java漏洞攻擊飆上新高。微軟表列三個漏洞的攻擊數字,其中最高的兩個分別為356萬次攻擊,近120萬台電腦受害;以及264萬次攻擊,112萬台電腦受害。若把數字加起來,則有620萬次的攻擊,及232萬台電腦受害。 在今年年初時, 微軟所監控到的Java漏洞攻擊數字已經超過了Adobe相關漏洞攻擊的總數 。 其實在2008年時Java漏洞數就開始飆高,有報告指出比2007年多出了264%。 當時大家對於漏洞攻擊的防線開始把焦點從OS轉移到瀏覽器上,接著防線有轉移到惡意的文件與電影 。 另一資安部落客Brian Krebs在上周也開始提出警告,Brian Krebs文章中開宗明義就指出:「 長久以來我就一直告訴讀者,如果用不到的話就一定要把Java移除。 」因為如果不能隨時保持更新的話,就會很危險。Brian Krebs指出,Java漏洞攻擊早就超越了Adobe,而且已成為駭客集團的搖錢樹,成「漏洞攻擊工具」黑市銷售排行榜中最夯的一項。 微軟表示, Java和瀏覽器及Adobe文件閱讀器一樣都是無所不在的軟體,而且一般人都不會想到要去更新 。不只如此, Java通常是背景執行,所以較難察覺它是否安裝或是否執行 。 結論 此篇最重要的重點是: Java 用不到的話就一定要把 Java 移除. (如果不能隨時保持更新的話,就會很危險) 容易出問題的原因: Java和瀏覽器及Adobe文件閱讀器一樣都是無所不在的軟體,而且一般人都不會想到要去更新. Java通常是背景執行,所以較難察覺它是否安裝或是否執行.

九月 1, 2010
» 晶片金融卡、悠遊卡 的 安全性遭質疑

幾個月前的新聞: 駭客壓軸秀 ATM鈔票吐不停 今天又一篇新聞, 跟 ATM、金融卡和悠遊卡 相關的問題, 詳見: 臺大電機教授示範無線竄改悠遊卡金額 (下述摘錄自此篇) Mifare的晶片卡安全性遭到挑戰,除悠遊卡外,也有晶片卡專家揭露晶片金融卡使用Web ATM設計瑕疵帶來的風險,連超商的Kiosk機臺都可透過PDF漏洞入侵 重點 包括晶片金融卡、悠遊卡等安全產品的安全性遭質疑 網路ATM傳輸過程採明碼傳輸,徒增安全風險 駭客利用PDF漏洞入侵超商Kiosk機臺 入侵方式、問題 透過設備監聽方式,可竄改悠遊卡餘額 晶片金融卡使用Web ATM時,採明碼傳輸 PDF漏洞入侵便利商店Kiosk

二月 4, 2010
» 於系統 移除 CNNIC 憑證

CNNIC 似乎很嚴重, 最近正忙到不可開消, 還好有不少長輩清楚的將原由、嚴重性做清楚的說明~ CNNIC 事件說明 下述摘錄自: Untrustable CNNIC SSL CA CNNIC 就跟 TWNIC 一樣,是國家級的網路管理中心,主要負責如 domain registration 業務。雖然 CNNIC 號稱是非營利組織,但實際上對於豎立 GFW 之中國政府的各項要求,沒有能力拒絕。事實上,CNNIC 也幹過,發佈內含流氓軟件功能,且使用者無法刪除的中文上網官方版軟體這種事。 由於 CNNIC SSL CA 被納入 Root CA,依據 SSL CA 的階層式信任的架構,CNNIC 隨時可以發佈假的 CA,進行 SSL MITM (Man-In-The-Middle) 攻擊。這個意思是說,當你從境外連結中國境內的網站,透過 SSL 登入該網站系統時,即使瀏覽器顯示此 SSL 安全連線安全無虞,但實際上因為假的 CA 之故,很有可能連到的實際上是個釣魚網站 (DNS hijacking 是中國 GFW 常用的技倆)。因此,你的帳號密碼,就會被竊取;而如果這密碼是平常常用的密碼,那你所有平常用的資訊服務,盡皆淪陷。 另一種更可能的情境是,在中國境內連 Gmail 時,由於 CNNIC 的假 CA 與 DNS hijacking 之故,連到的是假的 Gmail 登入頁,你很可能毫無所覺,使自己的 Gmail 帳號密碼拱手予人。 CNNIC 憑證的結論 結論: 盡快把 CNNIC 的憑證從系統移除. 於 Debian、Ubuntu Linux 移除 CNNIC 憑證 方法1 sudo dpkg-reconfigure ca-certificates 選 Ask 將 mozilla/Entrust.net_Secure_Server_CA.crt 前面的 * 拿掉. 方法2 sudo vim /etc/ca-certificates.conf mozilla/Entrust.net_Secure_Server_CA.crt 改成 (前面加 "!" 號) !mozilla/Entrust.net_Secure_Server_CA.crt sudo update-ca-certificates 於 Firefox 刪除 CNNIC 憑證 編輯 -> 偏好設定 -> 進階 -> 加密 檢視憑證清單 -> 憑證機構 將 Entrust.net 下面的全部選起來, 按 "刪除" 即可. 相關網頁 在 Linux 上移除 CNNIC 憑證 - 此篇有非常清楚的說明. 移除 CNNIC 憑證 on Linux

七月 13, 2008
» 台灣網站淪陷資料庫(清單列表)

就像 Hedger 說的:「網路是良心的事業」(看到 這篇, 好懷念的照片阿~), 這篇文章也是掙扎很久, 想到 良心... 良心... 所以含蓄的寫一寫. 請不要問下述指的 公司 或 業主 是哪些~ Orz...

因為工作類型的關係, 偶爾會看到某些網站的 Source Code, 卻經常看到類似下述的程式(從頭到尾都這樣, 並非只是偶爾忘了處理):

  • SELECT *  FROM XXX WHERE user = "$_POST['user']"
  • echo "<p>{$_GET['user_input_data']}</p>";

每次看到總是會想講, 但是又好像會得罪到之前外包程式的公司, 想想只好先繼續閉上嘴.(我也不敢保證自己寫的不會有漏掉的. XD)

上述的這些, 並不是只有在小網站才會看到, 而在某些大網站都有類似的狀況, 不過, 說起來搞不好是他們用心良苦, 經常會遇到要資料, 結果要跟 XXX 拿, XXX 總會有某些理由不給, 透過這些用心良苦的程式, 倒是就不用擔心了~

事實上, 業主只會從瀏覽器看到的畫面, 畫面只要正常秀出來, 就一切太平, 並不會管 HTML 乾不乾淨, 安不安全 等等.

業主常會問說, 為何這個東西不能做, 為何不能發廣告信, 為何 ooxx.. 每次都是一言難盡...

看到有問題的程式, 動手去改, 改完後業主也不會感謝你... 唉唉唉... 只能想著 良心事業.. 良心事業...

網站淪陷資料庫整理清單列表

下述連結感謝 2008年06月資安之眼TW 網站淪陷資料庫 的整理(被黑客入侵的網站列表), 說簡單一點就是, 如果在上面看到你的網站名稱或網址, 就.... 知道狀況了吧~(註: 這些都是台面上的)

相關連結

三月 21, 2008
» 簡易快速 Windows XP 安全性檢驗工具

Windows 平常除了 Windows Update 是一定要做的外, 下述的網頁建議也都看一看, 檢查看看是否有異常狀況 等.(新的 XP 灌好, 做 Windows Update 居然要更新一天. Orz..)

下述將一些 注意事項/程式/工具 做簡單整理,  可以當做參考. :)

安全類

系統類

其它工具類

support:

biggo.com.tw

biggo.sg

A Django site.