我们来看看一例典型的医疗不良行为。这位医生其实我写过,很多人已经知晓,上海知名三甲医院的普外科医生 L 医生。他和蔼可亲,说的话令很多患者觉得很有道理,但是很遗憾,实际上述只是表现,行为败坏和道德沦丧。治疗的多位患者都是以赚取利益为首要目的。
他收治了一位晚期胃癌 AFP 阳性的患者,虽然该类型少见,但根据诊疗规范也应当按照普通胃癌治疗。通常胃癌的一线治疗、二线治疗和三线治疗花费并不高,国家都可以报销。但是陆医生并不满足,结果就是这位患者的生存期明显缩短,花费比常规治疗高了10倍以上,积蓄全无并欠下十多万债务。我们来看看这位 L 医生是怎么做的。
去年11月,苹果用户在一次影响广泛的宕机事故后才知道:苹果监视了用户打开和启动的每一个应用程序(编程随想注:上一期谈过这个重大丑闻【OCSP 事件】)
苹果为什么要这么做?最为善意的猜测是:此举旨在更早发现恶意程序。在一个充斥着恶意的网络世界里,这么做是必要的。安全专家 Bruce Schneier 将这种现象形容为“封建式安全”。
生活在21世纪的我们,面临各种数字强盗的围攻。从身份窃贼,到跟踪者,到企业和政府间谍,到骚扰者。我们是没有办法自保的。即使是身经百战的专家也无法和强盗相抗衡。为了抵抗强盗,你必须做到完美,不犯任何错误。而强盗只要抓住一个错误就能逮住你。因此为了安全起见,你必须和数字军阀结盟。苹果、Google、Facebook 和微软等建立了庞大的要塞,它们投入了大量金钱招募了最强的雇佣兵来保护要塞,为客户(包括你)抵御攻击者。
但如果军阀们转向了你,你对它们而言将是赤裸裸的。这种敌我难辨的情况在与军阀打交道的过程中一直发生着。比如 Google 调整 Chrome 以阻止商业监视(但不阻止它自己的商业监视)。Google 会努力阻止其他人监视你,但如果他们付钱了,Google 就会允许他们监视你。
如果你不在乎被 Google 监视,如果你信任由 Google 判断谁是骗子谁不是,那么这没问题。但如果你们之间存在不一致的意见,那么输的肯定是你。苹果在2017年按中国要求从其应用商店下架了保护隐私的工具。原因是苹果必须遵守中国的法律,它在中国有公司,有制造基地。军阀自身的安全是远甚于客户的。
编程随想注:
俺的观点是:要善于【扬长避短】——既要利用大公司提供的某些优质服务,同时又不让大公司窥探你的隐私。
当然啦,要做到这点,需要一些经验&技巧。
就拿本人的亲身经历举例——
一方面,俺用着 Google 的博客平台 Blogspot(它的安全性足够好,而且能抵御【国家级】的 DDOS 攻击)。
另一方面,俺不用 Google 搜索(俺用的是 Startpage,其搜索质量等同 Google);另外,俺也不使用 Google 开发的 Chrome 浏览器。
编程随想注:
该漏洞编号 CVE-2021-24093,影响 Windows 10 & Windows Server 2016。这是 Google 安全研究人员在去年11月发现并报告给微软。而微软直到今年(2021)2月的例行更新才修复。
漏洞位于 DirectWrite API 进行字体渲染的代码中(缓冲区溢出)。Windows 平台上的浏览器(Chrome、Firefox、Edge、IE)都会使用系统提供的 API 进行字体渲染,因此都会受此影响。
为了利用这个漏洞,攻击者可以创建一个 Web 页面,其中包含精心构造的字体,然后诱导受害者访问该页面。当受害者的浏览器打开该页面时,就中招了。由于此漏洞针对“字体渲染”,与 JS【无关】。因此,即使浏览器禁用了 JS 脚本,还是会中招。
在上一期的《近期安全动态和点评(2020年4季度)》中,俺介绍过另一个漏洞 CVE-2020-15999,与这个很类似。CVE-2020-15999 位于“FreeType 字体渲染库”。也是利用“Web 页面的字体”来实现远程代码执行。
在上一期,俺说过如下这句,今天再次贴出来:
假如你很注重安全性,为了更彻底地消除【字体】导致的攻击面,你可以定制浏览器,禁止在 Web 页面中加载外来的字体。
对 Firefox 的深度定制,可以参考教程《扫盲 Firefox 定制——从“user.js”到“omni.ja”》;对其它浏览器的深度定制,俺暂时还没写过教程。
The two RCE(注:Remote Code Execution)vulnerabilities are complex which make it difficult to create functional exploits, so they are not likely in the short term. We believe attackers will be able to create DoS exploits much more quickly and expect all three issues might be exploited with a DoS attack shortly after release.
KrebsOnSecurity 援引消息来源报道,至少三万家美国机构——包括大量的小企业和各级政府被黑客组织利用微软电邮软件 Microsoft Exchange Server 的漏洞入侵。
微软本周披露,黑客正在利用 Exchange Server v2013 到 v2019 中的四个 0day 漏洞。在漏洞披露的三天内,安全专家称:同一黑客组织增加了对尚未修补的 Exchange 服务器的攻击,在入侵之后攻击者留下一个可以后续访问的 web shell。微软表示正与美国网络安全和基础设施安全局密切合作,为客户提供最佳的指南和缓解措施。
......
这些漏洞(CVE-2021-27363、CVE-2021-27364 和 CVE-2021-27365)存在于内核的 iSCSI 模块中。虽然在默认情况下该模块是没有被加载的,但是 Linux 内核对模块“按需加载的特性”意味着它可以很容易地被本地触发。安全专家在 Red Hat 所有已测试版本和其他发行版本中发现这些漏洞。
在 GRIMM 博客上,安全研究员 Adam Nichols 表示:“我们在 Linux mainline 内核的一个被遗忘的角落里发现了3个 BUG,这些 BUG 已经有15年的历史了。与我们发现的大多数积满灰尘的东西不同,这些 BUG 依然存在影响,其中一个可以作为本地权限升级(LPE)在多个 Linux 环境中使用”。
......
DNS-over-HTTPS(DoH)加密了 DNS 请求, 被用于规避 DNS 污染。
根据 greatfire.org 的测试结果:NextDNS、Quad9、AdGuard 在近日被屏蔽。防火墙对这些域名没有使用 DNS 污染, 而是使用检测 SNI 和 IP 黑洞的方法。Cloudflare 的 DoH 服务器还没有被屏蔽。
Google 周一宣布它可能找到了 cookies 的隐私友好替代。它测试了名为 Federated Learning of Cohorts(FLoC)的新 API,其源代码发布在 GitHub 上。
测试显示,相比基于 cookies 的广告,FLoC 广告的转化率至少达到 95%。FLoC 使用机器学习算法分析用户数据,然后根据用户访问的网站,将数千用户分成一组。数据是浏览器在本地收集的不会分享出去,但这群用户的数据会共享并被用于定向广告。也就是说 FLoC 广告是根据人们的普遍兴趣进行针对性展示。
编程随想注:
这个玩意儿到底是不是“隐私友好”?目前俺了解有限,暂时无法从技术角度发表意见。
考虑到 Google 的商业模式(主要利润来自于【在线广告收入】),俺不太相信所谓的“隐私友好”。
Google 在今年初宣布了 Cookies 的替代 Federated Learning of Cohorts (FLoC),声称它对用户隐私更为友好。但这一计划引发了美国司法部调查人员的关切,调查人员一直在问询广告行业的高管,以了解 Google 此举是否会妨碍规模较小的竞争对手。
消息人士表示,司法部调查人员的询问涉及到 Chrome 的各种政策,包括与 cookies 相关的规定,对于广告和新闻产业产生哪些影响。
Chrome 浏览器的全球市占率约 60%。消息人士并指出,调查人员正询问 Google 是否利用 Chrome 来避免对手广告公司通过 cookies 追踪用户,同时留下漏洞供自己用 cookies、分析工具、以及其他资源来收集资料,从而降低竞争。
Google Chrome Team 团队向 Linux 发行版开发者发去邮件通知,从3月15日起,在构建配置中使用 google_default_client_id 和 google_default_client_secret 的第三方 Chromium 版本,它们的终端用户将无法再登陆其 Google Accounts 账号。
Google 称,他们在最近的审计中发现部分基于 Chromium 的浏览器使用了原本只给 Google 使用的 Google API 和服务,其中最主要的是同步账号的 Chrome Sync API,它决定移除这些 API 的访问,声称这是为了改进用户数据安全。
Linux 发行版开发者表示过去十年他们一直这么做的,如果无法使用 Google 的同步功能,那么继续维护 Chromium 软件包也没有什么价值了。Chrome 的工程总监 Jochen Eisinger 在回复中表示他们的决定不会改变。Slackware Linux 和 Arch Linux 都表示考虑从仓库移除 Chromium。
When an iPhone has been off and boots up, all the data is in a state Apple calls 【Complete Protection】. The user must unlock the device before anything else can really happen, and the device's privacy protections are very high. You could still be forced to unlock your phone, of course, but existing forensic tools would have a difficult time pulling any readable data off it. Once you've unlocked your phone that first time after reboot, though, a lot of data moves into a different mode—Apple calls it "Protected Until First User Authentication", but researchers often simply call it 【After First Unlock】(注:简称 AFU).
If you think about it, your phone is almost always in the AFU state. You probably don't restart your smartphone for days or weeks at a time, and most people certainly don't power it down after each use. (For most, that would mean hundreds of times a day.) So how effective is AFU security? That's where the researchers started to have concerns.
The main difference between Complete Protection and AFU relates to how quick and easy it is for applications to access the keys to decrypt data. When data is in the Complete Protection state, the keys to decrypt it are stored deep within the operating system and encrypted themselves. But once you unlock your device the first time after reboot, lots of encryption keys start getting stored in quick access memory, even while the phone is locked. At this point an attacker could find and exploit certain types of security vulnerabilities in iOS to grab encryption keys that are accessible in memory and decrypt big chunks of data from the phone.
......
编程随想注:
关于“手机的危险性”,本博客已经唠叨过无数次了。俺反复告诫大伙儿(尤其是政治敏感人士),【不要】使用手机进行敏感的活动。
上述这篇洋文会告诉你,政府执法机构(警方 or 国安部门)破解手机其实比多数人想象的更容易,不论是 iOS 或 Android,都容易。
俺特意摘出上述三段洋文,其大意是:在【开机且解锁过一次】的状态下,即使手机屏幕已锁定,也很容易破解。关键在于,开机第一次解锁之后,全盘加密的【密钥】就会位于【内存】中。此时,“手机取证软件”只要能利用某种系统漏洞 or 软件漏洞,拿到内存中的“全盘加密密钥”,就 OK 啦。
作为对比,如果是在【关机】状态下,破解的难度就大得多(但依然有可能破解)。
假如你看不懂洋文,可以去看系列教程《TrueCrypt 使用经验》的第3篇——专门谈“加密盘的破解与防范”,其中有介绍【盗取密钥】这招的原理。
都柏林大学圣三一学院的 Douglas J. Leith 教授跟踪了(PDF)iOS 和 Android 设备向苹果和 Google 服务器发送的遥测数据,发现 Google 收集的数据二十倍于苹果。
Leith 教授称,研究考虑了操作系统本身收集的数据以及操作系统供应商提供的默认应用收集的数据,云端存储,地图/位置服务等,只计算遥测数据。
Leith 教授指出,即使用户选择退出遥测,iOS 和 Android 仍然会发送遥测数据。苹果收集了更多的信息数据类型,但 Google 收集的数据量要多得多。开机10分钟内,Pixel 手机向 Google 发送了 1MB 数据,而 iPhone 发送了 42KB;在闲置状态下,Pixel 手机每12小时向 Google 发送 1MB 数据,相比之下 iPhone 只向苹果发送 52KB 数据。
当新的 SIM 卡插入到设备中,相关信息会立即与苹果和 Google 共享。设备上预装的应用被发现在未启动或使用前就会连接苹果和 Google 服务器。Google 发言人用汽车收集数据为它收集数据辩护。
There's a Kaili Linux training suite available called Kali Linux Dojo, where users can learn how to customize their own Kali ISO and learn the basics of pentesting. All of these resources are available on Kali's website, free of charge. Kali Linux also boasts a paid-for pentesting course that can be taken online, with a 24-hour certification exam. Once you pass this exam, you're a qualified pentester!
Parrot OS
Why We Love Parrot OS:
The distro provides pentesters and digital forensics experts with the best of both worlds - a state-of-the-art "laboratory" with a full suite of tools accompanied by standard privacy and security features.
Applications that run on Parrot OS are fully sandboxed and protected.
Parrot OS is fast, lightweight and compatible with most devices.
BlackArch Linux
Why We Love BlackArch Linux:
BlackArch Linux offers a large selection of hacking tools and preconfigured Window Managers.
The distro provides an installer with the ability to build from source.
Users can install tools either individually or in groups with the modular package feature.
Whonix
Why We Love Whonix:
Whonix comes with the Tor Browser and the Tox privacy instant messenger application - ensuring fully-anonymous web browsing and instant messaging.
The OS employs an innovative Host/Guest design to conceal users' identity behind the anonymous proxy and prevent IP and DNS leaks.
The distro features pre-setup Mozilla Thunderbird PGP email.
编程随想注:
关于 Meltdown & Spectre 漏洞,去年和前年的《近期安全动态和点评》都有聊过。
在今年(2021)之前,对这俩漏洞还停留在“理论”阶段;到了今年2月份,在线查毒引擎 VirusTotal 首次发现与这两个漏洞相关的攻击代码,分别针对 Windows & Linux。这也就意味着:对这两个漏洞的研究,已经从“理论”上升到“实践”。
这两个漏洞源于 CPU 硬件的设计缺陷,很难根治;而且受影响的 CPU 很多,波及面从 x86 系列到 ARM 系列。
俺在《近期安全动态和点评(2019年1季度)》提到如下这段话:
一年前(2018年初)曝光的 Spectre 和 Meltdown 在信息安全界可以称得上是【划时代】滴!因为其利用的是 CPU 的【设计缺陷】(而且还是【根本性】缺陷)。
......
由于这两个漏洞涉及到 CPU 的【根本性】缺陷,极难搞定(就像两个幽灵,会在未来几年不断困扰 IT 行业)。
伊利诺伊香槟的三位研究人员在预印本网站 arXiv 发表论文,披露了针对英特尔 CPU 的最新侧信道攻击,该攻击被命名为 Lord of the Ring(s)。
随着芯片上的功能模块越来越多,英特尔为其 CPU 引入了片内总线,以实现各个模块之间的高速通信,它先后引入了 Ring Bus 和 Mesh Bus。最新侧信道攻击针对的就是 Ring Bus 的环形总线。研究人员首先逆向工程了 Ring Bus 的通信协议,设法构建了一个跨核心的隐蔽信道,利用环争用的细粒度时态模式去推动应用程序的秘密。从有漏洞的 EdDSA 和 RSA 实现中提取出密钥比特。对于 AMD 的 Zen 架构使用的片内总线 Infinity Fabric,研究人员表示需要进一步的研究,但相信他们的技术能应用于其它平台。
Google 资助了 Internet Security Research Group(ISRG)的一个项目:用 Rust 语言为 Apache HTTP web server 项目开发安全模块 mod_tls。
在 Apache web server 中,mod_ssl 用于支持建立 HTTPS 连接所需的加密操作,它是用 C 语言开发的。
新的 mod_tls 模块将使用 Rust 语言开发,领导该项目开发的是软件咨询公司 Greenbytes 的创始人和 Apache HTTP Server 开发者 Stefan Eissing。ISRG 希望,在完成开发之后 Apache HTTP web server 团队将采用 mod_tls 作为默认模块,取代年代悠久且不安全的 mod_ssl。
近年中國在新疆針對少數民族維吾爾人實施「再教育營」,傳出大規模關押、進行洗腦教育、酷刑虐待、性侵等,引起人權團體抗議,而更有證據顯示,新疆棉就是這群維吾爾人被迫勞動下的產物。
新疆棉花仍主要仰賴大量人工採收,勞動時間長,根據美國智庫全球政策中心(Center for Global Policy)調查報告顯示,光是2018年,就有超過57萬的維吾爾人,被迫下田摘棉花,甚至受到嚴密監控。外界更預估高達兩百萬人,被迫加入軍事化採棉工業或當地紡織產業。
BBC 获得的一项最新研究结果显示,中国正迫使数十万维吾尔族和其他少数民族人群在西部新疆地区广阔的棉田中从事艰苦的体力劳动。
根据近期在网上发掘的文件,该研究首次清晰地展示了采棉产业背后潜在的强迫劳动规模。新疆的棉花产量占全球棉花供应量的五分之一,在全球时尚产业用途甚广。
除了大型的再教育营系统(据信有超过100万人被拘留在那里),有关少数族裔被迫在纺织厂工作的指控也得到详细记录。
中国政府否认这些说法,坚称这些营地是“职业教育培训中心”,而这些工厂是一个大规模、自愿的扶贫计划的一部分。但新的证据表明,每年有超过50万少数民族工人也被调往参与季节性采棉工作中。他们的工作环境可能存在很高的强制性。
中国喀什——中国官员的命令是明确而紧急的。需要逼迫穆斯林少数民族村民就业,无论他们是否愿意。政府设置了配额,拒绝服从的家庭将受到惩罚。“让就业困难群众摒除私心杂念”,新疆西部察布查尔县的人社局在去年的指示中说。
这些命令属于一项强硬的行动,旨在将新疆穆斯林少数民族——主要是维吾尔族与哈萨克族——改造成工厂和其他大雇主的工人大军。在当局压力下,贫穷的农民、小商贩和工作年龄的闲散村民要参加数周或数月的培训和灌输课程,然后被分配去制衣、制鞋、扫街或其他工作。
为巩固对这个少数民族约占人口一半地区的控制,中国领导人习近平发起了大规模行动。这些劳工项目代表了该行动的一条日益扩展的战线。它们和已关押了100多万维吾尔人和哈萨克人的教化营一样,对政府的社会再造战略至关重要。
察布查尔县人社局要求村民接受军事化培训,将他们转变为顺从的工人,忠于雇主和执政的共产党。“改变长久以来养成的懒、散、慢、浮的个人自由行为,遵守企业规章制度和工作纪律,”该指令称。
政府认为,这些维吾尔族和哈萨克族村民是“农村富余劳动力”,是未能充分就业的人口,威胁着社会稳定。官员们表示,让他们在监督之下从事稳定的、经政府许可的工作,可以消除贫困,减缓宗教极端主义和种族暴力的蔓延。
政府称这些劳工是志愿者;但批评人士说,他们显然是被强迫的。官方文件、对专家的采访以及《纽约时报》对新疆的访问都表明,当地的计划让村民背井离乡,限制他们的行动,迫使他们留在工作岗位上。
专家们说,这些严厉的方法可能相当于强迫劳动,从而玷污使用新疆工人的全球供应链,特别是用于生产棉织品的供应链。日本零售商无印良品(Muji)和优衣库(Uniqlo)表示,它们使用来自新疆的棉花,而沃尔玛(Walmart)则从一家直到最近还在使用新疆工人的公司采购商品。
鉴于新疆受到的严格控制,“我们不得不认为,目前存在着强迫劳动的巨大风险,”战略与国际问题研究中心(Center for Strategic and International Studies)人权项目主任以及一项新疆劳工调查报告的联合作者艾米·K·勒尔(Amy K. Lehr)说。
瑞士《新苏黎世报》发表评论《中国让西方团结一心共同抵抗》(China eint den Westen im Widerstand)。
评论开篇写道:“胆小的人为了避免难堪喜欢把自己掩藏起来,自信的人勇往直前,充分展现自我。在2020年新冠之年,中国终于完成了向自信的世界大国的转变。通过在国内的重拳出击及时迅速地控制住疫情,加强了共产党领导的合法性,也让它越来越公开地、无所顾忌地追求自己的权力利益。但是骄傲地展示自己的自信也会带来不利的一面。那些在世界舞台上声势浩大出场的人越来越多地露出了其真面目。这种做法让邻国和西方观察家们很是反感。”
评论指出,很长一段时间以来,西方国家只重视同中国之间的经贸关系,(西方人)“不愿谈论(中国)缺乏民主自由、侵犯人权或故意违反国际协定的问题”。但是现在情况不同了,评论写道,“中国官方在新冠疫情在武汉爆发事件中的掩盖手段、新疆出现的严重侵犯人权的现象、对香港民主反对派的残酷扼杀、对周边国家采取的无情的利益政策,都在公众的印象中留下了深深的印迹。去年欧洲主要国家公民中,对中国持负面印象的比例飙升至近四分之三。”
本周一(3月22日), 欧盟外长会议通过对4名中国官员以及一家机构进行制裁的决议,其范围包括禁止入境以及冻结他们的国外资产。这是1989年“六四学运”之后,欧盟首次就人权侵害问题向中国祭出制裁措施。同一天, 中国外交部宣布对欧洲10名个人和4个实体制裁。
《新苏黎世报》发表的评论写道:“北京已经跨越了一条不容忽视的界限。中共正在限制欧洲的基本公民权利,如言论自由和科研自由。他们正在干预民主体制和民选议员的行动自由。这是不可接受的!这就迫使每一个相信自由主义价值体系的欧洲人声援欧盟抵制中国。”
评论最后写道:“北京的统治者们正在逼迫欧洲表态。它让欧洲难以维持在经济算计下精心维护的将经济与政治、道德领域完全分离的对华关系假设。它正在将欧洲推向美国盟友的怀抱,美国盟友正以特朗普发起并由拜登继续执行的强硬路线,带头对抗挑战者中国。拜登在周四(3月25日)召开的欧盟线上峰会上亮相,庆祝跨大西洋联盟的实力,这是美国外交和安全政策的胜利。”
Login
