不能信任 1024 bit 的 DH 質數

Diffie-Hellman 密鑰交換算法,簡稱 DH 算法,是整個互聯網安全性最重要的基石,無數通訊協定,包括 VPN、SSH、HTTPS 等等依賴它建立加密通道,DH 算法需要一些質數作為運算基礎,有研究人員發現,部份使用特定程序產生的 1024 bit 質數具有數學上的弱點,使用這些質數建立的加密通訊,比使用真正隨機產生的質數建立的加密通訊,容易破解一萬倍。 繼續閱讀 »

CentOS 7 下安全配置 SSH (二)

openssh

我們在第一篇文章討論了一些在 CentOS 7 中配置 SSH 的方法,那些都是比較容易實作、容易理解,對用戶體驗的影響也比較少。這一篇將會介紹比較複雜的配置,需要管理員按照具體情況做出適當決定,甚至有部分建議在安全性和用戶體驗方面較具爭議性。 繼續閱讀 »

CentOS 7 下安全配置 SSH (一)

openssh

SSH 通常是我們進入新伺服器的第一個應用程式,它也取代了 telnet 和 rsh 成為管理伺服器的最主要介面。儘管 SSH 預設使用加密通訊,登入的密碼和通訊內容都不容易被偷窺,預設的設定大致上安全,可惜由於需要兼顧舊用戶和舊系統,一些過時和不安全的選項仍然被開啟着,在國家級黑客橫行無忌的年代,系統中任何一顆鬆掉的螺絲都會致命,所以我們將會討論如何加強 SSH 的安全性。這一篇只討論基本的安全配置,比較容易理解,過程也比較簡單,對用戶的負面影響也比較少,較進階和較具爭議性的安全配置將會留待下一篇討論。 繼續閱讀 »

OpenVZ 下 CentOS 7 的防火牆

我在一篇關於 CentOS 7 安全設定的文章討論到安裝防火牆 firewalld,這是 CentOS 7 新引入的防火牆系統,代替沿用多年的 iptables,不過 firewalld 只能在 CentOS 7 的新內核使用,但是,如果你的 CentOS 7 不是運行最新的內核,便不能使用 firewalld,應該怎麼辦? 繼續閱讀 »

再發現新安全漏洞,向 SSLv3 說不!

安全專家再次發現 SSLv3 的漏洞,作為用家,我們應該主動告訴網站,不使用 TLS 通訊協定我們便不再來訪。 繼續閱讀 »

安裝 CentOS 7 後必做的七件事

建立帳號的 RSA 加密鑰匙

CentOS 是最多人用來運行伺服器的 Linux 版本,最新版本是 CentOS 7。當你興趣勃勃地在一台主機或 VPS 上安裝 CentOS 7 後,首要的工作肯定是加強它的安全性,以下列出的七件事,是你進一步配置系統和安裝其他軟件前必須做的。 繼續閱讀 »

為什麼我們應該使用 VPS?

從前架設網站幾乎一定是光顧網站寄存服務,透過虛擬網站技術,一台實體機器裏「居住」了數十個甚至數百個網站,雖然每個網站所佔用的資源例如硬碟容量、網絡流量等等都受到限制,但一個惡意製作的網站程式仍然可以瞬間吞噬系統所有記憶體、CPU、Swap 空間等,甚至入侵其他網站盜取資料。隨著硬件的價格越來越便宜,虛擬作業系統越來越成熟,大量平價的 VPS 湧現,IT 人應該認真考慮從寄存服務遷移到 VPS。 繼續閱讀 »

reCaptcha 越來越令人討厭,我們有什麼替代品?

Google 的 reCaptcha 是網站用來辨別訪客是否真人的工具,我在多年前曾經推介過它,認為 reCaptcha 既能有效防止濫發文章,又容易安裝,還能對公益事業作出貢獻。Google 在 2009 年收購了 reCaptcha 後大力推廣,現已成為最普遍使用的 Captcha 工具。很可惜 reCaptcha 現在變得越來越難辨認,網上不少人高呼「reCaptcha 令人討厭」,也有人認為 reCaptcha 令網站的使用率下降,reCaptcha 原來的公益成份在被 Google 收購後也變了質,現在解讀 reCaptcha 等於無償替 Google 當人肉 OCR,包括辨別 Google 街景圖中的文字。反對 reCaptcha 的氣氛在用戶和網站站長之間迅速蔓延,大家紛紛尋求 reCaptcha 的替代品。 繼續閱讀 »

轉貼:英國政府索取解密密鑰 電郵服務商寧可結束業務

曾經獲得斯諾登信任的電郵服務商 Lavabit,和網絡安全通訊服務商 Silent Circle,因不肯把解密密鑰交給美國國家安全局 (NSA) 而先後被逼結束業務,同樣事件原來在今年初亦曾經在英國發生。英國國家通訊總局 (GCHQ) 在年初向 CertiVox 索取可解密用戶電郵的密鑰,CertiVox 寧可結束他們的電郵加密系統 PrivateKey,也不向 GCHQ 低頭。 繼續閱讀 »

轉貼:FreeBSD 開發團隊不信任 Intel 和 VIA 的加密晶片

FreeBSD 一向不信任 Intel 和 VIA 加密晶片的隨機數產生功能,不會以它們作為產生加密密鑰的唯一隨機數來源,即將發佈的 FreeBSD 10.0 版本亦貫徹這一信念。Intel 和 VIA 分別提供 RDRAND 和 Padlock 工具,以硬體晶片產生隨機數,FreeBSD 把這些晶片產生的數據混入其他數據中,這樣即使晶片的運算邏輯暗藏後門程式或弱點,最後得出的隨機數仍然安全可靠。 繼續閱讀 »

對抗點擊劫持新武器:X-Frame-Options

點擊劫持 (Clickjacking) 是一種誘使用戶點擊一個看似無害的超連結或按鈕,實際上卻是點擊在另一個網頁上的一個超連結或按鈕。後果可能是泄露了機密的資料,或無緣無故「讚好」一個網站,甚至開啓電腦內置的鏡頭和麥克風。網站開發人員當然有希望保護用戶不受攻擊,可用的手段主要有 Framekiller 和 X-Frame-Options,前者並不可靠,尤其在 IE 上可以輕易被攻擊者破解 (IE 的安全問題真是罄竹難書),後者只是瀏覽器自設的措施,並非業界標準。IETF 終於在兩個月前正式接受 X-Frame-Options 為 HTTP 的標頭 (header),從此開發人員的安全工具箱又多一件武器。 繼續閱讀 »

轉貼:完美遠期保密

完美遠期保密 (Perfect Forward Secrecy) 是在 HTTPS 基礎上進一步保護用戶與伺服器之間的通訊,在 HTTPS 通訊協定下,所有數據都被加密才送進網絡,但是萬一伺服器的 SSL 密鑰 (private key) 因某些原因泄漏,HTTPS 的加密的鑰匙便會被破解,過去和將來的通訊統統暴露在陽光之下。完美遠期保密使用的卻是一次性的加密鑰匙,不能從伺服器的 SSL 密鑰推算出來。 繼續閱讀 »

轉貼:Android 4.3 安全漏洞,Apps 可撤銷所有系統鎖定功能

Google 在九月宣佈 Android 手機新增一項功能,用戶可以遙控把手機鎖定,當手機被盜或違失時特別有用,新功能會撤銷本來的鎖定設定,並設定密碼保障手機的安全。這本來是一個好主意,但是有人發現 Android 一個安全漏洞,Apps 可以撤銷 Android 4.3 所有鎖定功能,令這個遙控鎖機功能形同虛設。更令人驚訝的是,發現這個漏洞的公司向 Google 通報,但 Google 一直不作回應,他們唯有把問題公開,希望用家關注。 繼續閱讀 »

轉貼:澳洲與外國情報夥伴分享國民的通訊資料

英國衛報刊 登斯諾登最新的泄密文件,顯示通訊監控的「五大眼」國家曾經在 2008 年討論如何分享國民的通訊資料,部分國家表示要把資料「最少化」(只分享必要的部分),但澳洲的情報機關卻大方地表示夥伴們可以得到完整的原始數據,即使 涉及醫療、法律和宗教範疇的數據也不受限制。 繼續閱讀 »

ImageMagick vs GD

PHP 應用程式中要轉換圖像格式、製作縮圖、或者施加濾鏡效果,大抵不出兩個選擇:GD 或者 ImageMagick,到底哪一個支援更多圖像格式?哪一個執行得較快?還有什麼需要考慮?Jacek Barecki 寫了一篇文章比較兩者的表現。 繼續閱讀 »

轉貼:Google Glass 涉侵隱私,美國一餐廳聲言禁用

美國西雅圖一間餐廳規定,顧客要麼把 Google Glass 留在家中,否則請離開。餐廳在 Facebook 上宣布新規定,引起贊成和反對的聲音,有人甚至聲言杯葛,但餐廳老闆指杯葛的行為可笑。相信有關 Google Glass 侵犯隱私的爭議將陸續有來。 繼續閱讀 »

轉貼:美國警察局繳付 $750 美元贖金取回被 CryptoLocker 劫持的檔案

勒索軟體 CryptoLocker 令微軟視窗的用戶風聲鶴唳,人人自危,它在一週之內感染了 12,000 台美國電腦,並在英國對數以百萬計的電腦構成威脅。 英國國家犯罪局 (UK National Crime Agency) 上週呼籲民眾不要交付贖金給 CryptoLocker,因為不能保證罪犯收到贖金後是否真的送上解密鑰匙。現在,連警察局也不能倖免於 CryptoLocker 的攻擊,美國一間警察局便為此繳付了 2 BitCoin (當時大約等於 $750 美元) 贖金。看來真正面對危機的時候,執法機構也未必能說到做到。 繼續閱讀 »

轉貼:LG Smart TV 從家中區域網絡蒐集用戶資訊

繼上週我們報導過 LG Smart TV 記錄用戶觀看節目的資料和 USB 儲存器的內容,有人發現家中的 Smart TV 會記錄電視機的開關時間,並透過區域網絡蒐集其他電腦的資料,並上傳到 LG 管轄的網站。 繼續閱讀 »

轉貼:英國一間職業學校使用 RFID 掌握學生行蹤

我們日常使用的電子繳費工具包括香港的八達通、快易通,台灣的悠遊卡、臺灣通等,都是使用射頻辨識 (RFID) 技術,這種技術除了令我們的生活更方便,亦有可能被用作追蹤監視。英國一間職業學校使用「超寬頻主動式 RFID」(Ultra Wideband active RFID) 標籤,實時監察 500 名老師和大約 5,500 名全日制學生在校內的活動,誤差只在數寸之間。 繼續閱讀 »

轉貼:Google、Microsoft、Yahoo 等公司對網絡通訊的保密措施足夠嗎?

鑒於各國情報機關積極監視網絡上的通訊,Electronic Frontier Foundation (EFF) 調查主要的網上服務企業如何保障網絡通訊不受監視,並製成列表供 我們參考。EFF 從五方面評估企業保護網絡通訊的工作,獲得滿分的只有寥寥幾家,包括 Dropbox, SpiderOak 和 Sonic.net,Google 的完成度也十分高。另一方面,Microsoft, Yahoo, Amazon 等一些我們熟悉,每天對媒體高呼多麼注重資料的保障和客戶隱私安全性的公司,對網絡通訊的保護卻嚴重不足。 繼續閱讀 »