Posts for: #Security

你的个人信息可能已经泄露了,国家级身份认证能解决这个问题吗?

#AI  #Security  #WeChat 

前几天,公安部和国家互联网信息办公室联合发布了《国家网络身份认证公共服务管理办法(征求意见稿)》。

由这个设计,我想到了口碑还不错的 Singpass。

Singpass 是新加坡居民的数字身份,可以让用户方便、安全地在线上线下使用政府和私营部门的服务。

例如,可以用来登录新加坡所有政府网站的个人服务,如查询CPF账户余额、缴纳个人所得税、申请PR、担保签证等,还具备电子签名、人脸识别认证、接收政府通知等功能。

且私营企业也可以通过 Singpass API 将 Singpass 的身份认证功能集成到自己的系统中。用户通过 Singpass 验证后,可以无缝访问企业在线服务、验证用户真实身份、无纸化电子签名等,还可以在征得用户同意后,调取政府数据库中的个人信息,简化在线交易流程。

我举一个企业实际遇到的困境,来说明国家网络身份认证公共服务的价值。

  1. 根据法律,中国居民上网需要实名制。因此提供网络服务的企业,必须采集用户的实名信息。

  2. 根据法律,企业不能侵犯用户隐私。因此采集的实名信息,必须妥善保存。如果泄漏——可能是黑客攻击,可能是内控不当,当然也可能是企业自己利欲熏心利用这些信息牟利,需要承担法律责任。

在我们做移动互联网的初期,想法很朴素:

我们只做工具,因此用户就通过微信登录就好,我们不需要任何资料——连密码都不用。不存密码、身份证、手机号等一切信息,没有就是最安全的。

但很快就被现实教育了,于是只能在法律框架下尽可能最小化地索取数据和权限。然后战战兢兢地运营着——毕竟怀璧其罪,系统里存着一些用户信息,即便是加密的,也不敢出问题。

目前的现状是,随便一个犄角旮旯的小网站,只要想用,我就得提供身份证和手机。

如果对方是大企业,说不定还得手持身份证,并且配合着张嘴闭眼。

几年下来,其实有大量网站拥有了我的个人信息。这些网站背后的公司,当然会有倒闭的、被卖的。那么,我的个人信息就有可能被“再利用”。

现在 AI 的图片、语音、视频生成能力都颇强了,说不定什么时候,我的 AI 分身就被上线运营了。

顺便说一句,这个标题是 Claude 取的。

蹭 Wi-Fi 会不会导致银行密码被盗

#WeChat  #Security 

有篇文章,对大众科普“只要使用银行和支付宝官方 App,即使使用公共 Wi-Fi 也是安全的”。这两天,有两位技术大牛针对“蹭 WiFi 会不会导致银行密码被盗”起了争执。

袁哥认为那篇科普很糟糕,他的观点是:不安全的 Wi-Fi 环境下,例如你登录的是黑客设置的 Wi-Fi,上网过程中,有很多方法能不知不觉地劫持、攻击你,导致严重后果。

云风则认为那篇科普很好,质疑袁哥:在银行系统没有安全漏洞时,虚假 Wi-Fi 如何窃取用户密码?如果想科普蹭免费 wifi 增加了设备植入后门的风险,尽可以举个简单的例子说明如何办到的。某个特定系统有怎样一个漏洞,这个漏洞如何让攻击者植入的后门,怎样的设备会没有修补这个漏洞。

我技术不好,而且这二十年来的兴趣都在产品上,对技术本没有发言权,但好在这是科普,作为被科普的对象,还是可以说几句的。

先说几个事实:

  1. 类似 wifi-pineapple 这样的设备(https://shop.hak5.org/products/wifi-pineapple)很容易获取和部署。其核心功能是中间人攻击(Man-in-the-Middle, MitM),通过模拟信号强的无线接入点诱使附近的无线设备连接。

  2. 我草草搜了一下,NSA 在 2021 年发布的公共场所无线设备保护指南(https://t.co/n4w6u7KxuO)里提到“通过公共 Wi-Fi 发送的数据——尤其是不需要密码即可访问的开放公共 Wi-Fi——容易被盗取或操纵。即使公共 Wi-Fi 网络需要密码,它也可能不对经过的流量进行加密。如果 Wi-Fi 网络确实对数据进行了加密,恶意行为者如果知道预共享密钥,也能够解密(在不安全的网络通信中窃听)。恶意行为者有时还可以迫使网络使用不安全的协议或过时的加密算法(降级到不安全的协议)。此外,恶意行为者还可以设置一个假的接入点,模仿附近预期的公共 Wi-Fi,这导致该行为者能够访问通过该网络发送的所有数据。未加密的网络流量或容易被解密的流量可以使用开源工具捕获,暴露敏感数据。这包括但不限于个人和公司的登录凭证(网络嗅探),这可能直接导致更多的安全问题。”

再说一下部分观察:

  1. 我见过很多本应安全的设计,配合上或者错误的配置,或者弱智的操作者,或者滞后的运维,或者无知的用户,进而导致的安全事件。有些人见过一两家银行的专业,就误以为所有银行系统固若金汤、运维人员专业不出错、软硬件供应商服务完美到位、用户聪明机警。这很理想但不可能。因此,一个人现在使用一家银行安全,不代表全部人全部银行,全部时候安全。

  2. 我见过的安全设计、系统管理,都秉持最小化原则。比如:不需要的服务与端口不开。

最后说我的观点:

  1. 蹭 WiFi 有更大概率扩大被攻击面。一位专家,写科普文章告诉大家“只要使用银行和支付宝官方 App,即使使用公共 Wi-Fi 也是安全的”,不是负责任的行为。

  2. 现在的移动流量普遍是充足的,价格也算平易近人,普通老百姓,没啥必要非得连公共 Wi-Fi。

所以,我自己的使用习惯是:一般情况下,哪怕出差、住酒店,我用电脑,上网也是连自己的手机热点。因为我不太愿意无谓地增加被入侵的机率。最小化,最安全。

关于 xz backdoor 的观点

#AI  #Security  #Tech  #WeChat 

一位自称 Jia Tan 的开发者,花了三年时间,取得开源软件 xz 社区信任,谨慎地植入了一个后门,可以让攻击者无需账号也能通过 sshd 进入系统。如果成功,大多数 Linux 系统(也就是大多数公司的服务器使用的操作系统)都会受到影响。

最后功亏一篑——因为程序没写好,系统资源占用过高,被一位认真的工程师分析并发现。

这几天网上有很多技术分析(我看不懂)和讨论,说说我的观点。

  1. 这次事件,其实正好证明了开源界常说的:只要有足够的眼睛关注,任何漏洞都无处藏身。

  2. 任何软件,而不仅仅是开源软件,会受到这样的攻击。商业产品中被发现后门的事件,历史上发生过不止一次。

  3. 未来的 AI 或许有机会帮助检查出类似构造巧妙的后门和漏洞。

  4. 开发者们可能会面临一小波信任危机——要取得社区的信任,以后或许会更加艰难一些。而中国开发者(虽然 Jia Tan 未必——甚至大概率不来自中国,但这个 ID 的设计,就会带来不好的影响)会面临更多挑战。

  5. 对于信任问题,或许一个解决办法是付费。具体实现是:要提交代码,先做一笔小额支付验证身份,认证完成后可以立即返还。后续代码质量高,项目方甚至可以将收到的捐赠款项分配给贡献者。在知识星球里,通过付费,我们减少了数据量、噪音,提高了服务质量。在开源领域,或许有机会通过付费,借助真实世界里对金融领域的严谨认证来保障信任。

  6. 对这类攻击,普通用户其实没什么好应对的,要我说,“用小众产品”就能避开很多攻击。

  7. 要是真的很在意,那我有些朋友有些古怪习惯,比如:只在虚拟机里访问网络。比如:用极“老旧”但是稳定的系统和版本。

旅行到不安全地区时的电子数据保护

#WeChat  #Security 

和朋友吃饭聊天时,谈起了新闻里看到的一些事,如:电脑和手机被扣押并分析内容、疑似被拷问虚拟货币的存储信息等等。记录下聊天的部分内容,供在意隐私的人参考。

大家其实普遍的想法很简单:手机、iCloud 里有越来越多私密照片和视频、工作文件。甚至浏览器、1Password 等产品里,还存储了我们在互联网上的密码。

而这一切,通过指纹、面部识别,就能完整获取。

细思恐极……我们吃喝聊过程中的总结,其实也很简单:

1、使用苹果设备(Mac、iPhone、iPad)。

2、在旅行时,关闭 Face ID、Touch ID 等生物识别登录设备的权限——也就是说,不要通过指纹、面部识别登录设备。因为你需要假定,偷、抢你设备的人,可能会“软硬兼施”地通过生物识别,登录你的设备。

3、如果可以,避免携带存储敏感内容的设备出行。比如:有个“旅行 Apple ID”,出行前,切换登录到该 Apple ID——这样 iCloud 里存储的内容也都换了——等旅行之后,再做数据导出、同步。比如:准备一台 iPad 或者 Linux,用于出差使用。

当然,最后就是:隐私嘛,在人身安全受到威胁时,该给就给(以及,平时就少点秘密,或许也就……随他去了……)。

今年想写本小书

#WeChat  #Startup  #Security 

2005 年,我跟冰河一起毫无准备地开始创业。因为没准备,所以既没有客户,也没有产品,一切从零开始。此前冰河发布过扫描器 X-Scan,所以我们的想法简单粗暴,先做个漏洞扫描器试试看能不能卖得动——事实证明,一套也没卖出去。

反而是 Arrow 推荐的,柳工内核文件加密定制开发项目,经过几次迭代,成为一款在市场上销售了十几年的文档安全产品“铁卷”。

在做 To B 的文档安全同时,我们又尝试了互联网的不同方向,比如 Firefox 套壳定制的“X 浏览器”、MPlayer 套壳定制的“X 影音”、当时觉得蛮先进的软件市场“小白软件管家”(淘宝买走后废弃了)、Killer 和他的团队加入后做的巡警系列如“超级巡警”、“畅游巡警”(后来 Killer 带着团队被百度收购了)。

以及又试着想做能协助做网络管理的电脑远控系统“远驭”、想摆脱文档加密对系统侵入性过强做的轻监控与日志分析系统系统“锐眼”。甚至定制过堡垒机、硬件 DLP 设备等。

这些产品都做得不够好。这是我们创业的第一阶段。

2014 年底,我们向股东腾讯和启明星辰提出,想试试移动互联网时,他们非常支持(感激)。于是当年连一行移动端代码都没写过的创业团队,开始了毫无道理的试错。

因为有文档加密的技术基础,我们为商务人士做了既能分享又能保密的 App“72 小时”。因为注意到到 72 小时的用户爱发图片,我们做了图片社交 App“侃图”,因为觉得看板有用,又模仿着 trello 做了个“小看板”。

这些产品又都做得不太好。

幸好在试错过程中,找到了一个不太差的产品“知识星球”——有粉丝爱分享的人们可以连接粉丝、获得收入、沉淀内容的小工具。这是我们创业的第二阶段。

而今我们希望持续创新,还想试试能不能在海外找到新的增长点,这又会是个尝试打破自己过去桎梏的,有些难的阶段。

在这家小公司 18 年跌跌撞撞的成长过程中,我有幸遇到了很多贵人帮助,也认识了很多创业者、创作者,在跟他们的深度交流过程中,收获很多。

以及做知识星球的过程中,为了“吃自己的狗粮”,我开始了星球创业笔记的写作,积累至今,也有六百多篇没啥深度,但还算真实的文字。

因此我想,或许可以做些整理。目前初步考虑的是,写一本大意是“产品的常识”的小书。很多人习惯了做大事讲大词,反而会遗忘常识。我可以试着讲讲我所理解的,产品要解决的问题、问题的商业价值、问题与解决方案的验证、社区是产品的试验场、怎样的产品才美、从失败中学习、长期和复利等等。

以及考虑后续在星球创业笔记里,每个月把写作进度公布出来,找鞭策并征集意见。

你有没有什么想看的内容,欢迎给我留个言,提点需求 ;)