EMail: fenggou#80sec.com
Site: http://www.80sec.com
Date: 2011-12-6
[目录]
0×00 前言
0×01 隐私安全初探
0×02 “云”存储隐私风险
0×03 移动终端隐私风险
0×04 隐私威胁对抗
0×05 勺之终极奥义
0×06 结语
当你凝视着深渊,深渊也在凝视着你。 ― 尼采
0×00 前言
这篇小文很早就有了想法,但由于自己的种种问题,未能完成,就这最近发生的一些事情,有了整理和反省的决心,决定一鼓作气完成他,给自己,给他人一些借鉴。
自从信息时代的爆发,各种服务扑天盖地袭来,人们越来越接受将自己的一切置于这个庞大、新奇、无所不能的互联网之上,各种服务技术已极快的速度更新换代、更多的生活支持,让人惊奇的同时也让人越来越依赖这个虚拟的世界。老一代的网民也许感触最深,就拿自己来说吧(当然我不是资深网民),email已经不知更新了几代,从最初的SinaMail,到163Mail邮箱再到现在的Gmail;个人信息展现平台,从个人主页,到博客,再到现在的微博;数码设备,从最初的网吧,到自己的第一台PC,到一屋子电脑、本子,再到各种智能化mobile设备;数码生活无时无刻的在改变,变的简单。有本书是这样说的:人类进步的过程,就是越来越不加思考,已最小的代价去做某件事。互联网真的让人进步了吗?在我看来,人类进步的过程倒更像是一个退化的过程。
0×01 隐私安全初探
有点扯远了,回到主题。在互联网让我们“进步”的同时,我们每个人的各种隐私开始逐渐的暴漏在这个平台之上,恐怖的是人们已经越来越信任以及依赖互联网,更恐怖的是我们已经不在可以很好的控制他们。在利益和不正常的目的趋使下,互联网的险恶不亚于现实社会。很多网民也许会认为我言过了,我只是想说,未见到,不代表其未发生,互联网隐私问题上,还是要多多保持唯心的态度,举些例子吧:
1)拖库风险
这个词语在几年前也许还较为陌生,但最近一两年开始,已经算是人尽皆知了,黑客入侵有价值的网络社区,down掉会员库,建立庞大的社会工程密码库,或者根据社区性质建立人际关系库,做个分类,技术人员类,站长类,设计类乃至公司管理高层类。。。
它的价值除了密码和人际关系外,还可以挖掘一些更有意思的东西,比如统计密码习惯,密码提示问题答案,生日,手机,真实姓名,身份证号码,常用IP,住址,IM,信用卡号信息等等。
总之,一份库的价值,不在于做到做不到,而在于想的想不到。
2)电子邮件风险
国内外有很多开放的电子邮件系统,其邮件转发与登陆IP提示机制均不完善,在加上用户密码的万年不变,导致邮件的自动转发,代收等劫持攻击变的难以防范与察觉(想让用户改密码,必须得让他们意识到自己帐户已经出现安全问题,但攻击者不会给你这个机会)。公司内部邮件系统也许有访问控制的保护,但依然阻止不了转发机制,即使做到了定期检测员工邮箱转发或者干脆杜绝此类行为,但你也应该意识到,拿到内网可以访问mail系统的某个节点也是轻而易举的事情。
转发监听只是邮件攻击的一个方面,你的邮件系统是否可以伪造发件人,直接利用员工的信任关系进行客户端攻击呢,想必这个代价更低效果更佳显著吧。
3)即时通信风险
IM即时通信软件给人们的交流带来了新的体验,人们越来越接受并且依赖这个方式,前几天出现的大面积msn盗号诈骗事件已经说明一切,遇到此类情况还是当面或者电话确认一下吧,不要因小失大。也不要把你的家人全都带到网上,因为你经历了互联网洗礼你的你可以识别这种欺诈,而你的家人未必。
4)电子商务风险
PS:这部分内容没有办法给出实际的证明,但相信无风不起浪,还是多保持保持唯心吧,你也可以直接跳过这部分内容,直接无视好了。
电子商务安全问题给用户带来的不必多说,今年甚至在早些时候某支付产品被大面积小额转帐事件已经表明在利益的引诱下什么事情都可能发生,法律已经组织不了他们。然而,现在还有针对电子商务更为猥琐的攻击,订单劫持,网络商城中的每笔订单未必是按照平台逻辑那样走下去,也许中间有那么几行代码,几个程序给终止掉,交给了其他物流及商品提供方,而用户和这个平台却浑然不知呢?
5)服务商风险
天下没有靠谱的服务提供商,或多或少都会存在一些不尽人意的地方,对安全理解方式的差异,都会在一些安全事件中成为决定性因素。服务商究竟会投入多少代价来保护用户的隐私,以及保护隐私的出发点真的是为了用户么?比如规范这个东西,服务商会用自己的方式确定资源的所属者,用规范来进行管理约束,但你是否有想过,这所谓的规范会把真正的所有者权益拒之门外?你们所谓的规范是否在起反面效果,被他人利用?
而服务商你们是否有所察觉,你们所掌握的大量用户隐私,是否是从你们内部问题而泄漏或者交易出去的?猎头模式也许就是个很好的例子吧。
黑客拿到用户隐私(比如邮箱,手机,IM,密码等)后,就会开始对目标的探索。其实现在的用户很聪明,应该是安全事件和新闻的功劳,从让人们知道不能轻易接陌生人传来的文件,到现在不要在多处使用统一密码,比如社区级,Email级,QQ级,电商/网银级等等,聪明的用户不用多说就会给自己的隐私设定多个安全等级,但这对大部分网民来说应该还要继续加油吧,笑~因为如果不是与互联网行业以及安全相关领域,还不能很好的做到这一点,即使是安全人员,也会犯很勺的错误,哭~
必须要承认的一点就是密码早就已经不是可靠的认证因素了(邮箱也快了),我们不提各种密码库这个最直接的方法,简单的转个弯:密码提示问题答案,密码保护邮箱,这两个基本等同于密码的东西,就算你的密码已经可以和达芬奇般的相媲美了,但这其他的关联因素你有考虑到么?
做为用户的你是否会如实的使用“我的生日是那天”,“我的父亲叫什么”,“我的大学叫什么”此类问题?你是否会在你键盘上很惬意的用键盘区域组合做为提示问题?你是否密码做到了独立,而密码提示问题、邮箱却没有?你是否被自己杂乱无章的密码保护邮箱关系搞晕?
而服务提供商是否想到了,用密码提示问题取回/重置密码的用户并非是真正的所有者在操作?自己的会员库是否已经在产业链中满天飞而自己还在夸夸其谈自己的安全?你是否会考虑到自己资源有效利用而不对用户进行有效的确认回收资源?你的隐私安全保障系统真的靠谱吗?用户合法认证后就不在考虑隐私安全问题?
想说的太多,做为用户和服务商对安全都有很多要反思的地方。一个被“专家”,“安全人员”一直推荐强大密码来保障安全的方法,都会因为自己和他人很多因素所导致的问题而变的不堪一击甚至毫无意义。
好了,该醒醒了,不要只拿软件生成的随机高强度密码来保护自己的隐私了。
0×02 “云”存储隐私风险
由于“云”时代的到来,用户的隐私更是被传递到了“天空”中的每一个角落,在用户还在尽力对抗传统隐私保护的同时,“云”所带来的隐私泄漏问题已经拉开序幕,而且较结果来说,“云”带来的隐患更为致命。
DropBox开辟了一个数据存储新的时代,使用户的数据保管,使用更加灵活与安全。曾经也有过类似产品,但由于“云”概念的推动,加上由于它的成功,使国内外更多打着“云”存储旗号的产品扑天盖地而来,更为迅速的占领PC,mobile,pad设备,一副势不可挡的架势,但扪心自问,你们真的准备好了吗?
当用户蜂拥而至时,是否考虑到了数据相互间访问控制问题,是否真的做到位了?
多平台的客户端,是否有仔细研究过他们的安全风险差异?
移动平台的用户可能更多时候会暴漏在公共网络或不安全的WIFI环境中,这些用户更容易使用移动日程,或即使备份联系人,短信,邮件内容等信息同步到“云”平台,这样与传统的文件存储截然不同,安全更是上升了一个等级,更是与用户个人隐私息息相关。
用户对于“云”的存储服务来说,照片、视频、文档等数据除了分享存储外,还有一个重要的需求就是备份。备份数据对于用户的意义是极为重要的,轻则为市面上少见的资源,重则个人、企业机密数据。这都源自我们对这个新生体验的信任,以及传统方式的怀疑,毕竟云确实很好保障了用户数据的可用性。黑客在传统隐私攻击结束后,利用掌握的用户资源,对可能存在的云服务在次进行扫荡,比如Dropbox,Evernote,Picasa,SAE,Icloud等各种云服务,相信那结果会另你我都意向不到,泄漏只是结果之一,还有更糟糕的结果就是篡改。我想,是时候好好整理我们七零八落的资源了。
吐槽一些个人对云存储隐私泄漏方面的担忧,不管它是多么的神秘,多么的强大,也逃不过“木桶”命运,它始终都会有块短板在那里,也许是整个认证流程机制,也许是传输机制,也许是用户隔离机制,也许是服务器层面安全,也许是应用层安全问题。“云”至今还是一个起步摸索过程,还有很多未遇到的问题,所以很多解决方案也略显幼稚,旧问题还未解决,新挑战已经到来,要如何面对?
详细的云安全会在剑心近期的一篇文章中详细解说,拭目以待。
0×03 移动终端隐私风险
随身携带你的隐私跑来跑去听起来是见很酷的事情,放在哪里都不如放在身边安心,加上现在智能手机的牛逼化,它已然成为日常生活中必不可少的设备,真的有那么一天移动设备消失了,也许我们连如何出行都会忘记。人类进步的另个体现就是越来越便捷的去做事情,曾经要回到家里,坐到电脑面前来处理的事情现在很多都可以随时随地的在移动终端上完成,这是我认为移动终端成为未来主导趋势的主要原因。
由于国内的优良风气,移动设备不越狱,不root,不装一堆的破解软件,不刷机似乎都是很逊的事情。但不要忘记,所谓的越狱,不过是对你设备上的系统进行localroot的操作,我们将手机系统的安全机制主动打破。历史上就出过利用IOS上安装openssh默认密码盗窃用户短信,以及android上电子市场恶意应用收集用户设备信息,恶意应用吸费等安全先例。我自己在闲暇时间也在研究比如通过改掉用户通讯录达到欺骗;以及短信在发送接收时是否可以先进行替换、截取和阻断等操作,威胁目前的手机验证机制;甚至电话进来时我是否可以获取触发信号,启动个小录音程序,然后发给远方的某个孩纸。。。做这些是因为窃取用户信息等攻击只能说明目前移动终端的攻击还不成熟,黑客还在摸索阶段,但做为安全人员,我们不得不先行一步,预知可能会出现的攻击。
(很多灵感来自目前的帐户手机验证机制,这个机制真的安全了吗?智能手机上我是抱怀疑态度的。)
LBS的泛滥让人们找到了新的乐趣,主动将地理位置和活动信息等进行分享,不说已经处于线上的信息,单单是这个功能就让人毛骨悚然。定位信息攻击现在还没有成型,但可以展望一下它会给我们带来的麻烦。各种移动设备会通过GPS,WIFI,3G,A-GPS等手段获取用户当前的地理位置信息,在我了解的国内某款带有定位功能的应用,它会将你的地理位置信息已POST方式发送包括你地理信息的数据流传回服务器,然后返回同样是数据流形式的数据文件,程序展现你附近的好友,整个流程都是明文HTTP的。假如数据传输格式已透明,我将北京按100平米大小的区域在地图上切块,然后得到经纬度信息对全北京的经纬度范围进行遍历,那我可以知道每个使用此款应用的人所处位置,自然想遍历某一个人的位置也有了可能。当我想一些流氓推广也许会涉足的更早一些:)
谁会保证这种服务商的应用和接口安全?谁又会保证我们越狱,root过的设备不存在恶意收集地理信息的风险?谁又会保证我们的通话、短信是真实的?现在想的应该都是占有市场与捞钱吧。。。
越是与我们生活贴近的东西,越要提高警惕。
0×04 隐私威胁对抗
隐私安全的本质就是两个对象相互信任问题,从用户角度:我相信自己的习惯,我也相信服务商的努力;从服务商角度:我信任自己目前的安全保障手段,我也信任用户会重视好自己的隐私保护。一旦用户和服务商乃至他们自己出现相互信任的情况,那隐私安全问题就会接踵而来,怀疑才是安全进步的根本。
如果想最大化的保障自己的隐私,不管是新步入互联网的新兵,还是在网上摸爬滚打了几年的老兵,都要开始对自己一系列的应用帐号体系进行威胁建模。可以试想自己所有的认证都是不安全的,那么每个认证节点的沦陷它都会导致什么结果?会不会像多米诺骨牌一样引起连锁反应,导致兵败如山倒的局势。
a)对于用户:
我想,首先要做到的就是认证因素的独立,密码和提示答案根据服务的唯一化;其次是认证因素的隐形化,比如关键email,不要被搜索引擎录入,最好的办法是有专门做保护的邮箱,而不做他用,密码与提示答案不要有可猜测的可能性;然后是认证因素异常报警,不管我们如何做,总会有大意的地方被人利用,那是否可以做到异常的及时发现,即使做不到,那也尽量定期检查吧,最大化减少损失;最后是认证恢复因素相互之间关系的清晰合理化,保护链是否有脆弱的节点。
b)对于服务商:
隐私保护的第一道门―密码,还是要帮用户把把关的,哪怕是做个弱密码的警告提示;提示问题答案,我见过好多不允许自定义问题的产品,这样可以减少程序逻辑,减少了由输入带来的诸多不可预测因素,但作为服务商,至少给用户一个选择的权利吧。。。;密码保护邮箱这里万万不可发送明文密码给用户,因为一来让黑客知道你的库是明文的,二来黑客拿到密码而不改的话用户是很难发现自己帐户异常的,最后每次密码重置将旧密码做个归档,日后做个身份判定依据也是不错的办法,当然,用户隐私你掌握的越多越直接,你的担子也就越重。
以上提到的服务商其实都已实现,那么在这个问题依旧的时代仅这么做还是解决不了问题的。该有些变革的东西拿来提一提了。
1)新认证因素
腾讯已经做到了这个变革,废除邮箱取回密码的形式,取而代之的是手机身份确认,和三重密码提示问题。费掉邮箱这个不稳定认真因素真的是大快人心,虽然代价有些大,但效果说明一切的,不少安全人员也把QQ的安全等级与Gmail划等号,腾讯的做法还是非常值得现在互联网厂商所学习的。
2)IP
这个还是要提到腾讯的案例,异地保护机制在很多人眼中是个费力不讨好的功能,很多在外地工作的朋友回到家上QQ就出现了诸多尴尬,一些同事出差也因此闹过笑话,从产品角度用户感受来讲,这个功能还有很大的提升空间,但从安全角度来讲,这是对用户负责的表现。
3)行为
之前做过一些用户异常分析,黑客和用户所有者对待同一资源时有很多不同,举例来说,你经常登陆自己的帐号,那你会很少用到密码取回功能;你也很少做出在出差的时候对密码进行修改操作;你很少对自己的帐户做出连续的错误登陆与错误密码取回操作;看好“很少”这个字眼,因为总有那么一些用户,那么一些情况会打破这种常规,服务商会选择多数用户的行为特征,那最后那一小撮用户可能就会被钻了这个空子成为最大的受害群体,这是一个挑战,也许永远不会两全。
4)双因素认证
这个在游戏领域进步和推广蛮快的,但做到登陆这一层我感觉还不够,还要继续融入到后面的用户其他关键修改查看等操作上,毕竟还是不能完全信任认证这个流程,Google这里做的就不错,可以借鉴。你的认证也许可以被绕过或者劫持,另一些头疼的逻辑问题也会导致认证的无力,比如下面要提到的平行权限。另外,我们也要相信,双因素保护并不是终结,而是个新的开始,不要被经验所束缚。
5)平行权限
几年前测试项目的时候还要检测账户间的权限是否通用,是否可以通过修改用户ID达到权限漂移的效果,拥有自己的账户信息,就等于拥有了全站用户信息这种情况已经绝迹了才是。但最近看了某些电商暴漏出的问题后,感觉自己真的是大错特错了。平行权限也许还好,那些无认证的访问就更让人揪心了呐。
6)极端因素
做为服务商的你,会收回用户的通行证吗,再次注册的肯定不是之前的所有者了吧,因为我们都不知自己的帐号什么时候会被回收。当用户密码取回机制被多次而锁定的时候,拒之门外的是黑客还是真正的用户?修改密码邮箱还要保留旧邮箱的有效性来保障用户安全,是否也帮助了黑客?好吧,我承认这些问题太极端,服务商也会因用户此类需求而动怒吧,就此打住。
7)态度问题
跟某国内知名安全公司的人交流,探讨一些目前风头正足的电子商务公司对待安全的态度。他对很多电商公司的评价可以用“物流”两字概括,内部根本不考虑用户隐私以及自身安全风险,即使考虑,也是由于舆论压力,之后又不了了之。这未必是领导层的无视,多数是由下到上的工作汇报过程中出现了隐瞒。这也正是乌云平台对互联网的目的之一,让厂商看到自己问题的所在,让厂商找到可能存在的巨大安全隐患。安全问题,事实说明一切,而非一己之言。
关于“拖库”问题,服务商究竟是如何面对的呢?应该分为两种,一种是已经确认了自己会员库外泄,但碍于压力与束手无策,采取对用户隐瞒的态度;另一种是对自己会员库外泄情况浑然不知的服务商,还对自己的安全抱有一丝幻想的侥幸心理,太平一天是一天;对于这两者,不论会员库的泄露与否,都应该明白一个问题,最初库掌握在少数人手中,价值连城,随着这份资源的共享与传播复制,慢慢的会贬值甚至廉价出售,直至出现在P2P网络中(也许吧哈哈),这一天到来的时候什么都晚了。通知全体用户修改密码?别傻了,能拿走第一次就能在拿走第二次,问题的本质不在这里。那些还在调查的服务商可以歇歇了,别把精力放在这里,还是仔细想想对策来应对传统认证机制的加强与升级吧。
能最大化保障隐私安全只有一种办法,双方互不信任,以各自的努力共同来完成隐私保护的难题。但从现实情况来看,用户没的选择,只能信任服务商,因为从用户的选择开始,就已经决定了这一切。也就是说,现在互联网用户隐私保护,还是再由服务商起到关键性作用。
所以,你的隐私,谁做主?
0×05 勺之终极奥义
关于前几天80sec被黑事件,剑心已经给出文章进行了详细的分析,其实这对于我们来说也是个好事,安全事件促进安全进步,这不是什么糗事。但平心而论,这次攻击报道的矛头针对80sec来说确实有点不妥,一些公司和个人在事情未公布之前做了很多离谱言论,贻笑大方。因事情源自我,所以还是当事人来说明事情经过比较有依据。
80sec与我的博客同处一服务器,这个博客使用了之前稍重要的一个live邮箱做密码保护,这个live邮箱用了一个年代更为久远的163邮箱做保护,因为时间原因,这里大意了,酿成了惨剧。
攻击者之前做了很多信息收集工作,很幸运找到了我这个年久的163邮箱地址,然后对我帐号进行最大化渗透,虽然我的密码和问题答案不是那么幼稚,但163邮箱保护链造成了一个缺口。当他们想通过密码取回机制搞定我163的时候,他们中了500W,因为我的163邮箱居然被系统回收了!!!然后这些人光明正大的注册了这个邮箱,“理所应当”的重置了live邮箱密码,最后登陆了我的博客进行了后续的80sec渗透,具体情况就可以关注剑心的那篇文章了。
从这个部分,也对自己的帐号链体系出现的漏洞进行了反省:
1)对服务商机制的不了解
163回收用户资源所有权的做法是一直不知道,因为很少用他们的邮箱,但就回收用户资源这块,不是很理解。
2)保护链机制的关联性
自己帐户经常是A保B,B保C,这样一旦出现断层,保护机制会逐步崩溃。
通过这次反省,也对自己的帐户体系进行了一系列的加固与重建。问题发生就是发生了,没有必要做狡辩给自己挽回面子,而且也没感到有什么丢人的,相反,我倒是蛮感谢这么伙不知性别的人,给已经麻木的我上了课。如果有机会,我倒是很想跟他们成为朋友,整个过程思路很清晰,遇到比较棘手的问题也没放弃而是继续寻找突破口,值得欣赏呐~
0×06 结语
文章仓促,涉及的方面有些杂乱,难免有表述不清与错误,望谅解与指正。另外还有一些半成品想法由于还不成熟,暂且不提,有新的研究成果就同步80sec。隐私以及身份认证已经是个被安全压力提到风口浪尖的话题,也是更被用户所关注的。现在,看这篇文章的你,是否有了马上检查自己帐户体系的打算?
在次引用尼采的那句话:当你凝视着深渊,深渊也在凝视着你。