據香港網友爆料,31日15時左右,國際知名黑客網站“hackhound”、“hackthisite”、“evilzone”、等相繼有人爆出壹传媒安全漏洞,爆料人稱已攻破壹传媒后台,并称CloudFlare为壹传媒后台也有严重安全漏洞,同时,该网民泄漏了一部分攻破壹传媒得到的网民资料。
2014年9月5日星期五
观点:CloudFlare保护下的网络数据绝对不会外泄吗?
近日网络上多篇文章针对CloudFlare公司及其保护的Popvote网站安全问题提出不同观点,有的教授式告诉网友如何一步步入侵网站至个人信息泄露,有的推测式判断黑客无法成功解密。网络数据从终端到服务器,过程中泄露可能存在于终端环境是否安全可靠、数据传输线路是否被监听、数据存储是否安全这3个环节,一一分析,还是很多地方值得思考的。
云防火墙防护下的网络是否绝对安全?世上本就无“绝对”的事情,网络安全更没有任何人敢说绝对安全和绝不可能泄露。近期网络上有名“Jacky Chen”的黑客进行了证明,更加让我们相信安全并非完美。此前,有个更为典型的例子即12306全国铁路订票系统,采用的是国内最大CDN公司网宿科技提供CDN服务,即便如此,12306也因CDN方面问题被爆存在个人隐私泄露问题,详情可参考Wooyun漏洞提交平台的《12306 某接口CDN问题导致用户信息泄漏》。同样也是CDN技术,同样也是SSL加密,如果我们还仅仅停留在盲目相信CloudFlare防护下的Popvote是绝对安全的,那么当你下次参与各类投票时个人信息还是会被泄露的。
8月28日,国内著名安全专家方小顿(安全圈内代号“Xsser”)发出关于“CDN缓存攻击”的讨论帖,引发了国内众多安全专家的激烈讨论。从讨论中看出,CDN缓存技术在选择缓存内容时需要逻辑判断的,如果逻辑错误则将导致信息泄露,比如将A用户的缓存给了B用户则会出现漏洞,CDN缓存提升了网站抗打击能力的同时却将用户间的个人信息相互混乱了。国内就出现过12306网站也有网民可以订到昨天甚至十多天前的火车票的现象。或许听起来不可思议、啼笑皆非,但在黑客眼中,如果能主动利用漏洞则将导致非常大的安全问题,不断的重复模拟,不断的将B用户的信息碰撞读出,也许你就是下一个B用户!而在此次Popvote事件过程中,CloudFlare公司CDN技术保护下的Popvote投票过程正是使用了CDN缓存技术,或许黑客早已将讨论帖中的内容运用到实际渗透中,早已成功碰撞完所有数据,只是你不知道自己早已成为“B用户”罢了。
最近壹传媒主席黎智英更是在自己的杂志《壹周刊》发了一篇文章说“盗窃了我所有私人账目和文件是今年7月1日,黑客是以每秒1.43亿个查询攻陷我们服务器(我们服务器供应商CloudFlare是世界最大的供应商之一),将我们服务器攻破的同时窃取了我们所有文件资料,包括以上私人账目和文件”,看来这次黎智英都对CloudFlare公司的保护失望至极啊,一个活生生的例子。(注:此段无法理解为DDoS攻击引发了漏洞暴露,进而让黑客拿下网站及个人电脑的。)
许多人对数据经过SSL加密后的传输安全很放心,但www.crimeflare.com的一篇名为《CloudFlare's SSL SuspiciousSockets Layer》文中指出,“几乎所有通过CloudFlare访问HTTPS域名的人都不知道实际上仅有一半的路线是加密的。当他们看到自己屏幕上的挂锁(SSL图标)时,他们觉得一切都是安全的。这就是为什么网络钓鱼者喜欢CloudFlare的SSL。众多隐藏在CloudFlare背后,登记成隐私服务的域名很容易被网络犯罪者所利用。”,至此你还相信CloudFlare下的数据流通是安全的吗?还有一种可能更为可怕,那就是SSL证书也许早就掌握在黑客或者CloudFlare手里了,在那些我们看不到的CDN结点、CloudFlare公司内部“黑盒网络”里的数据早已赤裸裸的了。同时,我确实不明白为什么港大全民Popvote事件的证书是申请的甘地SSL证书,为什么又放弃了香港本地SSL证书,什么都用老外的,就这么崇洋媚外吗?
这篇文章还提及,CloudFlare公司作为一家互联网科技公司却热衷参与政治活动,如若观察其过去的种种劣行,你会发现CloudFlare早已臭名昭著,多次干预其他国家反对派的各类活动,为全球各类黑客进行SSL掩护成功“钓取”用户个人资料。当你以为引入了CloudFlare可以防止黑客的同时,其实你已经在引狼入室了,按CloudFlare的常规做法,每个网友在访问其保护的客户页面时都会被执行一段预先植入的JS脚本,访问的同时他们会给你植入一个Cookie并生成一个全球唯一的ID,用以标识你所使用的浏览器。
我们无法知道CloudFlare是否在跟踪你,我们只知道网友在访问CloudFlare托管站点时他们完全有能力立刻定位并开始追踪。这难道就是他们代理如此众多的狡诈网站的原因吗?其通过增加或提升统计数据资料来进行自我炒作,吸引新一轮的风险投资,或是从联邦调查局那里得到更多的黑色预算资金?港大全民Popvote事件为何放弃香港本地的CDN科技公司?为何这么多CDN公司中独独选了一个劣迹斑斑的公司呢?
数据安全的最后环节,也是黑客最容易下手的地方,那就是数据库。明报报道,华尔基利信息安全研究组织研究员认为哈希加密无法还原,质疑说“Hacker是通过估和碰来获取数据的,但如若数据已经被打散,则无法获取明文密码”。
其实,这个观点也是不准确的,一方面在国内最大程序员社区“CSDN”网站6000万用户数据被曝光之前我们没人相信竟然密码是明文存储的,陆续国内新浪476万用户数据、天涯社区4000万用户明文数据等等各大网站用户数据均被黑客曝光,让我们震惊大多网站均明文存储密码,你怎知港大Popvote事件又不是如此呢?我深表怀疑。
另一方面,加密是为了什么?加密就是为了解密,不然要一堆垃圾干什么?斯诺登公开的那些敏感信息难道没经过加密处理吗?最终不照样被暴露于公众,斯诺登多次公开承认数据加密大多就是为了解密。大家是否想过,8位纯数字的手机号码的MD5加密可以瞬间破解,有何安全可言?即使是身份证号码(字母+数字+字母或空)的所有组合,相信早已被黑客MD5加密后纳入彩虹表里,破解也早已不在话下了。所以,港大全民的哈希加密也不是无懈可击的,或许黑客在运用SQLMap之时已经带上解密脚本,也或者其早已破解只是现场还原罢了。
港“占中公投”疑出現重大信息安全事故
在不少港人開始懷疑由“占領中環”行動委托香港大學民意研究計劃所展開網絡模擬“全民投票”真實數目的當下,有更多專業人士開始懷疑,在公投系統無法得到安全保障的情況下,港大民研仍舊選擇美國中情局背景的CloudFlare公司為“占中公投”系統護航,是否存在更多不可告人的秘密。
近日,香港商人施育瑧向《香港成報》投訴,並到灣仔警署報案,報稱發現其身份證號碼和手提電話被人盜用來參加“占中公投”,不滿個人資料被人盜用為“占中”造勢,踢爆由“占領中環”發起“占中公投”中,存在身份證及手機號碼被泄露的重大漏洞。
就在稍早前,壹篇名為《CloudFlare防護下的破綻:尋找真實IP的幾條途徑》的文章,以圖文並茂方式“教授”讀者如何入侵在“占中公投”黑客攻防戰中擔任“保衛戰士”的美國CloudFlare公司。結合此次不少香港民眾舉報身份證等資料被盜用來公投投票等事宜,摧毀了CloudFlare公司“雲安全”神話。
CloudFlare公司被IT界稱之為美國中央情報局的網戰先鋒隊,其業務壹直甚具爭議。據了解,該公司與中情局有業務關系,助其防禦黑客入侵,但同時又替不少黑客組織甚至伊斯蘭武裝組織提供網絡保護服務,背景相當耐人尋味。此次香港“占中公投”信息資料被盜用事件,讓不少人懷疑何以世界主流的雲安全公司提供防護會如此弱不禁風?還是背後隱藏巨大陰謀?
早在2003年,CloudFlare公司創始人馬修·普林斯(MatthewPrince)與合夥人李·霍洛維(LeeHolloway)在芝加哥大學《法學院學報》上介紹壹個主要用於追蹤網絡欺詐和網絡侵害“蜜罐開源項目”。該項目允許任何人在他們的網站中安插壹段CloudFlare代碼來追蹤黑客和垃圾郵件發送者。起先馬修·普林斯並沒有考慮太多,僅僅把該項目作為壹項業余愛好來運營。2005年,在維也納的壹次會議上,馬修·普林斯開始吹噓他“與政府情報和執法部門之間的大量合作”。2008年,美國國土安全部專門至電馬修·普林斯,欽佩其蜜罐技術擁有寶貴數據,拿著支票本要求馬修·普林斯對合作保持沈默,這即是CloudFlare成立的初衷,而在開始之時它們就選擇了與美國情報機構密切合作。
在“占中公投”中,港大民研總監鍾庭耀對外發布“個人資料收集聲明”所有收集的個人資料只用作是次活動的身分驗證、防止重復投票。使用CloudFlare公司雲安全防護,將所有以電子方式收集的個人數據會於傳送時使用SSL進行加密,並會以不能還原的散列代碼形式記錄於服務器,以確保有關數據實際上無法被人破解和還原。
英國致力於互聯網在線安全方面Netcraft公司披露“使用CloudFlare的SSL的網絡釣魚者”的報告顯示,針對CloudFlare所提供SSL及類似安全服務,CloudFlare所有證書都有壹個共同的名字和相同格式例如“ssl2796.CloudFlare.com”,它們都是由壹家名為GlobalSign(成立於1996年,是壹家牛X的CA中心和SSL數字證書提供商)的數字證書提供商所頒發的。證書名稱中的“ssl2796”是CloudFlare所使用的壹個追蹤ID;在目前能找到的CloudFlare使用證書的36,677個域名中,追蹤ID的範圍在2002到7584之間。這些CloudFlare的證書只加密瀏覽器和CloudFlare之間的流量,除非Web服務器所有者擁有自己的證書安裝在他的機器上,否則,真實的Web服務器和CloudFlare之間的流量仍然是未加密的。幾乎所有通過CloudFlare訪問https域名的人都不知道實際上僅有壹半的路線是加密的。如果看到自己屏幕上的掛鎖“ssl圖示”時,妳覺得壹切都是安全的。這就是為什麽網絡釣魚者喜歡CloudFlare的SSL。眾多隱藏在CloudFlare背後,登記成隱私服務的域名很容易被網絡犯罪者所利用。
壹年前,斯諾登亦踢爆美國對香港實施網絡監聽醜聞,德國企業開始禁用美國雲計算服務,俄羅斯亦封殺CloudFlare公司。
在“占中公投”正式開始投票前幾日,港大民研自爆遭黑客攻擊網站,戴耀廷亦曾親口承認收到約10宗身份證疑被盜用的個案。在“占中公投”系統無法得到安全保障的情況下,港大民研依然選擇美國中情局背景的CloudFlare公司為“占中公投”系統護航。有不少熟知其中利害關系的人士對此指責稱,這實際上是出賣幾十萬香港人的個人私隱資料,港大民研與CloudFlare難辭其咎。香港市民不要被人賣了還幫人數錢。
個人資料隱私的保護屬於經濟發達的地區或國家的基本人權之壹。壹個人的身份信息被竊取,被冒用,就可能出現個人信息的多次“失竊”,帶來各方面的損失。對於此次公投帶來的質疑,已有越來越多的港人呼籲,香港個人資料私隱專員公署及香港警方應公開調查港大民研與CloudFlare有否觸犯“香港法例”,涉嫌竊取香港市民個人隱私,以維護“香港法例”第486章個人資料(私隱)條例賦予香港市民的基本人權。
疑身份證及手機號碼被人盜用 內地商人報警「被公投」
由「佔領中環」發起、委託香港大學民意研究計劃舉辦的「6.22公投」一直被外界質疑投票系統存在漏洞,有「灌水」之嫌,更過分的是有市民的身份證號碼被盜用來投票。商人施育瑧昨天到灣仔警署報案,報稱發現其身份證號碼和手提電話被人盜用來參加「6.22公投」。施育瑧接受《成報》訪問時表示,對事件感到十分憤怒和擔心。警方發言人回覆時表示,已將案件列作「求警調查」處理, 由商業罪案調查科「科技罪案組」跟進。本報記者報道
「佔中」組織是煽動群眾參與癱瘓路面的違法行為,企圖進行所謂的「公民抗命」;而「6.22公投」則為「佔中」造勢,但投票系統問題百出,包括早前有市民投訴借助電腦軟件編制大量身份證號碼為「公投」灌水。今次市民報案,再次證明「公投」根本不可信,同時亦反映有人無所不用其極,「谷」大投票人數。
頻接騷擾電話驚悉惡行
現年55歲、從事能源開發的內地商人施育瑧在香港居住,他昨日向本報投訴,不滿個人資料被人盜用。「我從來無參加過『佔中』的活動,不明白為何會有我的資料!」
施先生表示,近日接獲很多無來電顯示的電話騷擾,之後,兒子在瀏覽網頁時,發現一篇名為「Cloud Flare防護下的破綻:尋找真實IP的幾條途徑」的內地文章。文章內容主要講述曾經協助「佔中」「6.22公投」網絡供應商Cloud Flare的一些漏洞。文章的作者以圖文並茂方式「教授 」讀者如何入侵Cloud Flare的數據庫、找到網站伺服器的真實IP地址等等。
在文中,作者更翻出「6.22公投」的大量資料,包括疑似參與「公投」的市民身份證號碼和手提電話號碼。施先生的兒子赫見父親的手提電話和身份證號碼竟出現在資料庫。
施先生相當氣憤,並多次強調自己從未參與過「6.22公投」,對「佔中」的事情無任何興趣,亦不知道為何有關組織會有自己的資料,懷疑是被人盜用來參加投票。
個人私隱資料被盜劇升
施先生的個人資料被人盜用可能只是冰山一角。在「6.22公投」舉行期間,「佔中」行動發起人之一的戴耀廷曾親口承認收到約10宗身份證疑被盜用的個案。此外,傳媒亦踢爆投票系統竟可利用網上的「身份證號碼生成器」製作身份證號碼及用小童身份投票。
不過,受「佔中」秘書處委託進行「公投」的港大民意研究計劃總監鍾庭耀還厚顏地指出,有關行為對整體票數不會有太大影響。
香港個人資料私隱專員公署昨天回覆本報查詢時,未有提供接獲懷疑身份證被盜用參加「6.22公投」的數字,但指出在2012至2013年度共收到115宗投訴涉及身份證或副本識別符的數字;在2013年至現時為止,已劇增至200宗投訴,可見個人資料被盜用問題不容忽視。
商人被盜身份報案 「公投」「灌水」警跟進
香港文匯報訊(記者 文森)由「佔領中環」發起、委託香港大學民意研究計劃舉辦的「佔中公投」一直被外界質疑「灌水」。昨日有報道指,商人施育瑧報稱被人盜用身份證號碼作所謂「佔中公投」之用,並已就事件向警方求助。警方發言人昨日向本報證實,已接獲一名55歲姓施男子報案,指懷疑其個人資料被盜用及於互聯網發放。案件暫列作「求警調查」,由商業罪案調查科科技罪案組跟進,暫時無人被捕。
《成報》昨日報道,現年55歲、從事能源開發,在香港居住並領有香港身份證的內地商人施育瑧向該報投訴,指自己近日接獲很多沒有來電顯示的電話騷擾,其後,兒子在瀏覽網頁時,發現一篇名為「Cloud Flare防護下的破綻:尋找真實IP的幾條途徑」的內地文章。
他續說,該文章的內容主要講述曾經協助「佔中公投」網絡供應商Cloud Flare的一些漏洞,並圖文並茂地「教授
」讀者如何入侵Cloud Flare的數據庫、找到網站伺服器的真實IP地址等。
手機身份證號碼現資料庫
該文作者更翻出「佔中公投」的大量資料,包括疑似參與「公投」的市民身份證號碼和手提電話號碼。施先生的兒子赫見父親的手提電話和身份證號碼竟出現在資料庫。
施先生表示,他對是次事件相當氣憤,並多次強調自己從未參與過「佔中公投」,對「佔中」的事情無任何興趣,也不知道為何有關組織會有自己的資料,懷疑是被人盜用來參加投票。為此,他已到警署報案。
香港文匯報昨日就有關事件向警方查詢,警方發言人在回應時證實,灣仔警署於8月27日下午約3時30分,接獲一名55歲姓施男子報案,指懷疑其個人資料被盜用及於互聯網發放。案件暫列作「求警調查」,由商業罪案調查科科技罪案組跟進,暫時無人被捕。
發言人續指,警方調查案件時,如有需要會聯絡相關受害人士協助調查,警方不會評論個別案件的調查細節。警方呼籲市民,如懷疑個人資料被盜用,可向就近警署報案,或致電商業及電腦罪案熱線:2860 5012求助。
涉事者或犯刑事 可囚5年
大律師陸偉雄表示,若盜用他人身份證號碼從事網上投票,涉事者可能干犯《刑事罪行條例》第二百章第一百六十一條,「有犯罪或不誠實意圖而取用電腦」中的「不誠實地意圖欺騙」或「不誠實地意圖導致他人蒙受損失」。
他解釋,因被盜用人士可能沒想過投票,但有關行為最終可能為事主帶來不必要的負面聲譽,一經循公訴程序定罪,最高可處監禁5年。
市民“被佔中公投”报警
现年55岁、从事能源开发行业的内地商人施育瑧,在香港居住,拥有香港身份证,近日突然接获多次无来电显示的电话骚扰。其后,施育瑧儿子在网络读到一篇名为“Cloud Flare防护下的破绽:寻找真实IP的几条途径”的文章,内容包括曾经协助“佔中”“6.22公投”网络供应商Cloud
Flare的一些漏洞,以及疑似参与“公投”的市民身份证号码和手提电话号码的资料库。
身份证手机 号疑遭盗用
令施育瑧儿子震惊的是,父亲的手提电话和身份证号码竟也出现在资料库。施育瑧得知后感到相当气愤,“我从来未参加过‘佔中’的活动,不明白为何会有我的资料!”他强调自己从未参与过“6.22公投”,亦对“佔中”毫无兴趣,但有关组织拥有自己个人资料,因此怀疑是被人盗用来参加投票,于是报警处理。
警方发言人指,已将案件列作“求警调查”处理,由商业罪案调查科“科技罪案组”跟进。香港个人资料私隐专员公署表示,未有提供接获怀疑身份证被盗用参加“6.22公投”的数字,但指出在2012至13年度共收到115宗投诉涉及身份证或副本识别符的数字,2013年至今激增至200宗投诉。
“6.22公投”为催谷投票数目,无所不用其极。在“公投”期间,“佔中”行动发起人戴耀廷曾亲口承认收到约10宗身份证疑被盗用的个案。此外,投票系统虽需输入身份证号码及手机号码认证,但被踢爆实际可利用网上“身份证号码生成器”投票,甚至小童亦能投票成功。不过,协助“公投”的港大民意研究计划总监钟庭耀竟狡辩称,有关行为对整体票数不会有太大影响。
订阅:
评论 (Atom)