Posts for: #Security

说说后门

最近有两款路由器分别被爆出固件中存在后门。

D-link是台湾公司,成立于1986年,『公司致力于高级网络、宽带、数字、语音和数据通信解决方案的设计、制造和营销,是业界的全球领导者』(官网描述)。他们的后门是:设置User-Agent为『xmlset_roodkcableoj28840ybtide』,可不经认证访问web控制界面。

字符串『roodkcableoj28840ybtide』是一段倒序文字,反过来读就是『edit by 04882 joel backdoor』。

Tenda

腾达是中国公司,是『全球领先的网络设备提供商。自1999年创立以来,公司一直致力于让每一台智能设备都能简单方便的联网,让大众轻松互联,乐享智能新生活』。他们的后门是:发送特定字符串和命令,即可执行该命令。例如:echo -ne “w302r_mfg\x00x/bin/ls” | nc -u -q 5 192.168.0.1 7329,就可以在路由器上执行/bin/ls命令。

影响范围

  • D-link:DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240等;
  • Tenda:W301R、W302R、3g611R、3gR、W330R、W311R、W368R等;

攻击

  • 已经有针对这些路由器的大规模扫描发生。例如github上已经有针对性nmap脚本,专门用于快速扫描腾达路由器:https://github.com/ea/nmap-scripts/blob/master/tenda-backdoor.nse
  • 有些人可能不知道会有什么影响,很简单:你的所有设备都可能暴露在黑客面前,你的全部网络访问都可能被完全记录。

延伸思考

  • 这两家厂商为什么要在设备中放后门?是个人行为?企业行为还是国家行为?
  • 只有中国人的设备有后门问题吗?
  • 最近很流行的『智能路由器』,会带来什么样的变化?
  • 屌丝技术员如果该怎么办?我的思路,一是用树莓派做个小防火墙;二是换用如open-wrt之类的开源固件。如果有更好的办法,欢迎告诉我 :)

其他

两篇文章都有中文翻译:

  • D-link:http://blog.jobbole.com/49959/
  • Tenda:http://www.freebuf.com/articles/terminal/14425.html

OSMOCOMBB新手指南

很多人可能知道,GSM通讯是可以被监听的。不过,我猜测,知道下面这几点的可能不多:

  • 廉价的监听设备只需要数十元成本;
  • 所需要的技能只是懂英语,会编译Linux程序;
  • 至少在2010年,技术已经成熟,2011年有开源实现。

基础

OSMOCOM-bb全称Open source mobile communication Baseband,是GSM协议栈的开源实现。开发团队的介绍文字是:

OsmocomBB is an Free Software / Open Source GSM Baseband software implementation. It intends to completely replace the need for a proprietary GSM baseband software, such as

  • drivers for the GSM analog and digital baseband (integrated and external) peripherals
  • the GSM phone-side protocol stack, from layer 1 up to layer 3

In short: By using OsmocomBB on a compatible phone, you are able to make and receive phone calls, send and receive SMS, etc. based on Free Software only.

[阅读全文]

中国信息安全相关法律法规汇编

花了一天整理了《中国信息安全相关法律法规汇编》,把能搜集到的中国信息安全相关所有公开的法律法规都放到一起了(类似27号文之类不允许公开的,没在里面),有需要的朋友自行取用吧。如有遗漏,欢迎提建议。

中国信息安全相关法律法规汇编下载:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=150&fromuid=2

一. 2000年以前 2

1.1 中华人民共和国保守国家秘密法 2

1.2 中华人民共和国计算机信息系统安全保护条例 6

1.3 中华人民共和国国家安全法 8

1.4 计算机信息网络国际联网管理暂行规定 11

1.5 计算机信息网络国际联网安全保护管理办法 13

1.6 计算机信息系统安全专用产品检测和销售许可证管理办法 16

1.7 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法 19

1.8 商用密码管理条例 22

1.9 科学技术保密规定 25

1.10 中华人民共和国反不正当竞争法 29

1.11 关于禁止侵犯商业秘密行为的若干规定 33

1.12 加强科技人员流动中技术秘密管理的若干意见 35

1.13 广东省技术秘密保护条例 38

二. 2000年 41

2.1 计算机病毒防治管理办法 41

2.2 计算机信息系统国际联网保密管理规定 43

2.3 互联网信息服务管理办法 45

2.4 中华人民共和国电信条例 48

2.5 全国人大常委会关于维护互联网安全的决定 60

2.6 联网单位安全员管理办法 61

三. 2001年 63

3.1 计算机软件保护条例 63

四. 2002年 68

[阅读全文]

经济数据屡遭泄密的深层次原因及对策

当国外媒体自2008年以来累计七次早于官方精准“猜中”国家统计局随后正式公布的宏观经济数据时,宏观经济数据正在面临的“走 光风险”已经受到各方面的高度重视和持续关注。据国家统计局新闻发言人最新对外公布的消息,有关方面正在调查宏观经济数据泄密问题,相关工作人员也因涉嫌 宏观经济数据泄密正在接受司法调查。

    宏观经济数据事关国计民生,许多经济政策的制定和发布也需要依靠最新的权威经济数据来支撑,所以这种宏观经济数据屡遭泄密,不仅会严重扰乱 市场和经济秩序,而且对政府公信力和社会公正也是一种严重的冲击,其社会危害性不可估量。其实从根本上说,宏观经济数据屡遭泄密的深层次原因大致可以分为 以下几个方面:

    一是“谋利”成为动力,提前泄露部分经济数据在国内并不是什么特别新鲜的事,最初时只是少数经济研究员借助于“一小部分”经济数据的提前泄 密来炫耀自己离决策很近的地位,从而提高个人的市场权威。但是随着我们国家经济的快速发展和国际经济地位的大幅度提升,我国经济数据对全球股市、债市及相 关经济政策制定的影响力价值越来越大,利益集团就会把提前获取国家宏观经济数据作为投机性的盈利手段,这其中最经典的例子就是券商和机构投资者,他们在提 前获取关键经济数据后可以提前布局做空或做多,然后开始公开或私下流传这些数据以及相关货币政策调整的预期,制造一种市场氛围与自己投机性操作配合,从而 扩大这些数据的短期影响力,在股市或经济市场的波动中投机获利。

    二是流通环节缺乏监管,大家可能知道,中国宏观经济政策的制定与部分西方国家不同,中国则是将CPI、GDP、投资增速以及各种金融数据提 前提供给相关的宏观经济决策部门和领导层进行参考,是一种由数十个部门集体决策的过程,这种模式也让很多部门以及相关工作人员拥有提前获知宏观经济数据的 权力。在经济数据漫长传递的每一个环节和节点,从理论上说都是会增加泄密可能的。所以加强对经济数据传递过程中所有环节和节点的技术监管,的确非常关键。

    三是法律制约不够健全,这其实是一个怪圈,经济数据的泄密来源多出现在了国外媒体,这其中当然有利益链条的原因,但是另一个重要原因则可能 是国内媒体若提前透露经济数据即是“违规”,境外媒体则无法追查和管制,这种经济数据泄密行为的怪圈也表明中国相关法律的制约不够健全。

那么我们如何来应对这种社会危害性极大的经济数据屡遭泄密呢?以下是综合部分行业专家的观点,仅供参考:

    第一,加强行政手段的干预,统计局作为国家机关,行政手段的干预不可或缺。比如可以通过行政法规的形式禁止政府宏观部门官员在券商和研究机 构担任职务或进行任何形式的兼职,规范宏观部门官员的职务行为,加大官员利用职务便利进行经济数据泄密交易的查处和打击力度,从而从泄密源头切断经济数据 泄密的利益链条,既挽回国家损失,又挽救迷途中的同志。

    第二,加强流通环节的技术监管,即在经济数据漫长传递的每一个环节和节点部署专业级的电子信息防泄密系统。经济数据泄密一般分主观故意泄密 和无意被动泄密两种,但无法是哪一种泄密方式,只要能从源头防范电子信息泄密,就可以确保经济数据的安全。这里以 “铁卷”产品为例:“铁卷”是一套已经部署于哈尔滨市政办公厅、中国保险监督管理委员会、沈阳海关等众多政府和金融行业重点部门的专业级电子信息防泄密系 统,由国内终端与数据安全产品的领先企业深圳大成天下自主研发,集成了包括驱动级核心加密、透明加密、细分化分级审核等在内的多项目前全球最先进的电子文 档加密技术,可以针对经济数据漫长传递的每一个环节和节点进行全方位的防泄密保护。对于关键宏观部门的最新经济数据,“铁卷”可以提供的加密和数据保护类 型包括:

    一是可以让所有的经济数据置于铁卷系统的防泄密保护之下,对于所有已经脱离了宏观部门内网的核心经济数据,都将会自动无法使用,也就是说即 便是黑客攻击或宏观部门“内鬼”通过多种手段窃取了核心经济数据,但是由于脱离了宏观部门内网且没有被赋于离线使用授权,所以承载有经济数据的电子文档根 本打不开或者打开的就是一堆杂乱无章的乱码字符;

    二是铁卷对机密经济数据的保护能够贯穿其存储、使用和传输的整个生命周期,通过全面整合访问控制,将承载有经济数据的电子文档保护和应用权 限细分式应用直接集成到所有需要保护的经济数据中,也就是说其在访问保护和使用控制策略时能够将经济数据的应用权限准确细分给不同的用户,从而彻底避免核 心经济数据被泄密、窃取或恶意修改;

    三是铁卷分级审核机制非常健全,政府宏观部门的工作人员除了可以主动对经过加密保护的经济数据有选择的限制其浏览、打印输出、复制、屏幕拷 贝、可查阅的有效期限范围和打开密码等多项控制权限外,通过严格的审批机制还能够实现经济数据的“离线解密”,比如宏观经济数据的电子文档需要流通和传阅 时,他们只要向软件的“管理中心”提出一个“解密申请”或“离线申请”即可。

    三是健全制约的法律机制,经济数据屡遭泄密的确是社会公害,但我国的《统计法》和《保密法》也大都强调行政处分而非法律惩罚,这让泄密者所 应承担的泄密成本过于轻微,事实上这种经济数据泄密已是高度图利特征下的犯罪而不只是“过错”,所以希望国家迟早健全制约泄密的法律机制,让所有泄密行为 受到公共法律的严厉约束。

高考考生信息再现网上 教育系统泄密隐忧

由933万考生参加的2011年全国高考刚刚结束不久,网上便出现了公开叫卖“2011高考考生名单”的信息,据相关媒体的记者调 查,一位网名为“高考资源”的卖家自称,手中有售价为500元的2011年全国高考武汉市的2.4万考生信息,并且随后还可能会弄到荆州高考考生的信息! 而在这个卖家给暗访记者发过来的部分考生详细资料及联系方式中,高考考生的籍贯、身份证号、家庭住址、监护人姓名以及他们的详细联系方式等更是一应俱全, 其高考考生基本信息的泄密程度不得不让人瞠目结舌。

  其实以上或许只是高考考生信息被贩卖的冰山一角,通过搜索引擎的检索,我们还可以陆续发现诸如“2011年全国高考湖北48万高考考生名单售价 3000元”、“售2011年全国各地高考考生名单,后面陆续会到货”等公开兜售高考考生信息的“信息”。考生信息泄密后,众多考生及其家长坦言已经深受 各类广告商的持续不断骚扰,有不少考生甚至正常的生活秩序都已经被打乱。

  在暗访记者深入调查中发现,兜售高考考生信息已经形成产业链,并且其信息来源主要是来自“管理不严格”的各级教育部门。事实上网上兜售高考考生 信息的事件几乎每年都有发生,作为面向公众和教育下一代的社会机构,教育系统泄密所造成的社会危害性既存在于实体层面,更存在于精神层面,不少教育专家和 信息安全方面的从业者也指出,高考考生信息泄密,学生和家长在承受无休止的招生、培训甚至状元宴、谢师宴骚扰电话的同时,自然而然的也会对整个教育公平以 及社会公信力产生置疑。

  据了解高考考生信息泄密事件已经引起各方面的高度重视,但是这种类似亡羊补牢的做法可能还无法从根本上解决考生信息屡遭泄密的问题。那么究竟如何才能根治教育系统泄密,还教育公平和社会公信力呢?小编认为以下几个方面应该必不可少:

  第一,加强教育系统的行业自律,这其中又包含若干个分支领域,比如加强对相关人员的职业素质及《保密法》、《保密条例》的教育、加强对涉密部门 和涉密人员的严格监管,制定相关的奖罚办法,让主动泄密人员知道所可能要承担的泄密风险,并且这种泄密风险要足以大到人员丢饭碗甚至是身败名裂。另外,从 技术手段防范教育系统泄密也是根本的途径和手段,小编知道目前在国内上百家知名龙头企业、众多政府以及金融行业机构都部署了一种叫做“铁卷”的智能防泄密 系统,这也是目前国内安全系数最高、防泄密技术最先进、操作方式最简单且经济投入相对最少的一种高性价比电子文档保护系统。

  由国内终端与数据安全产品的领先企业深圳大成天下自主研发,同时集成了包括驱动级核心加密、透明加密、细分化分级审核等在内多项目前全球最先进 电子文档加密技术的“铁卷”,其在防泄密应用方面有以下几个特色,这些特色也非常适合在教育系统防泄密部署中进行深度应用:一是“铁卷”能够针对行业整个 内部网络(如XX教育局教育内网)提供机密电子信息的实时保护,能够让脱离内网环境的所有涉密电子文档自动无法使用或在未经合法授权打开时呈现出一堆无法 阅读的乱码;二是“铁卷”不仅集成了包括驱动级核心加密、透明加密、细分化分级审核等多项全球最先进的电子文档加密技术,而且“铁卷”还主动顺应64位操 作系统被广泛商用的主流趋势,率先在整个行业领域集成了国际上最先进的64位操作系统文档透明加密技术,同时填补了国内在这一行业领域的多项技术空白,针 对教育系统64位的大型服务器,“铁卷”防泄密也不在话下;三是“铁卷”分级审核机制趋于完美,用户除了可以主动对经过加密保护的电子文档有选择的限制其 浏览、打印输出、复制、屏幕拷贝、可查阅的有效期限范围和打开密码等多项控制权限外,通过严格的审批机制还能够实现电子文档的“离线解密”,比如教育系统 考生信息需要外调或进行与档案信息的比对以及修改时,则他们只要向软件的“管理中心”提出一个“解密申请”或“离线申请”即可,全过程受操作日志的监控, 一旦出现泄密事件,可以借助管理中心的操作日志进行稽查。

  第二,通过加大执法震慑相关犯罪,我国刑法中有“出售、非法提供公民个人信息”罪,普通人非法获取他人个人信息出售的,情节严重者,构成犯罪,处三年以下有期徒刑及罚金,卖家行为触犯了公民的隐私权,应当依法承担侵权责任。

  第三,公民和考生自我要有主动防范个人信息泄密的意识,一旦发现自己的信息被泄密甚至是被贩卖,可以选择在第一时间报警,同时在出现泄密不良后 果后,当事人可依法提起民事诉讼,要求侵权人承担赔偿责任。另外考生在向学校和考试机构提供个人信息时,最好能联合起来向学校和考试机构要求签署保密协 议,明确各自应该承担的权力和义务。