看不见的 JavaScript 后门

我们之前在 443 期报道 过，剑桥大学的研究人员披露了在源代码中隐藏人眼看不见的漏洞的攻击方法，它利用了 Unicode 中的特殊字符，通过方向覆盖、同形异义等方法创造出对编译器和人类视觉上存在差异的源代码。现在，安全研究人员披露了在 JavaScript 中发动类似攻击的方法。在 JavaScript 中创造看不见的后门首先需要寻找能被 JS 解释为标识符/变量的不可见的 Unicode 字符，然后寻找使用不可见字符不被注意到的方法。这种方法无法通过语法高亮检测出来。

老王点评：看来以后审计后门光凭眼睛看还不行，还需要一个能识别这种隐藏字符的工具。

苹果将很快允许指定用户继承 iCloud 数字遗产

此前遇到家人离世的时候，苹果一直没能提供一个简单访问其 iCloud 账户的方法，更别提在不知道密码的情况下解锁设备了。此外，即使提交了死亡证明，这些用户的数据也无法向继承人交付。在近日的 iOS 15.2 更新中，该公司已允许用户指定五个 继承人账号。要激活继承，继承人仍需向苹果官方提交死亡证明、以及可能需要法院确认其继承权。在苹果之前，以 Google 和 Facebook 为代表的许多科技企业，也都设立了允许指定用户访问他人账户的访问机制。

老王点评：确实，数字遗产已经是现代社会不可或缺的一部分，科技产品需要有完善的机制来处理它。

苹果 CEO 说，想用侧载应用的用户可以使用安卓

在围绕 App Store 的审查和用户如何在 iPhone 上下载和安装应用程序方面，苹果公司 CEO 在 DealBook 峰会上说，“如果这对你很重要，那么你应该买一部安卓手机。从我们的角度来看，这就好比我是一个汽车制造商，告诉客户不要在车里装安全气囊和安全带。”他表示，如果不能最大限度地保证安全和隐私，它就不是 iPhone 了。

老王点评：其实我是支持苹果这种“封闭”的态度的，但是这种封闭需要更透明的信息公开。

雅虎可能又要被卖了

据消息人士透露，美国移动运营商 Verizon 正考虑出售旗下媒体业务，该业务包括多个互联网早期的知名品牌，如雅虎和 AOL。Verizon 目前正逐步剥离媒体资产，放弃了向在线广告业务的进军，进一步专注于移动通信业务，

去年，Verizon 已经将互联网媒体赫芬顿邮报出售给 BuzzFeed，并于 2019 年出售了轻博客平台 Tumblr。2017 年，Verizon 以约 45 亿美元的价格收购了雅虎的互联网资产，此前还于 2015 年以约 44 亿美元的价格收购了 AOL。

当年的互联网一代巨头，一时传奇，如今只能算作资产卖来卖去。

奇虎 360 发现一个潜伏多年的 Linux 后门

该后门 3 月 25 日首次被发现，虽然早在 2018 年就已经发现了样本。该后门有 12 项功能，包括渗出和窃取数据、文件和插件管理和报告设备信息等。但是大多数病毒检测引擎尚不能发现该后门。该 Linux 恶意软件改变了它对加密的使用，这包括 ZLIB 压缩和 AES、异或和密钥轮转的组合，因而很难被发现。360 表示，他们不知道该恶意软件的“真正目的”，除了专注于破坏 Linux 系统。

专门潜伏在 Linux 上的后门，但是 Linux 上往往没有任何反病毒和木马的软件。

微软加入推进 WebAssembly 的字节码联盟

字节码联盟旨在将 WebAssembly 从浏览器和 JavaScript 扩展到桌面和移动平台的本地应用程序。它是由英特尔、Mozilla、RedHat 于 2019 年组建的，谷歌和 ARM 也是其成员。字节码联盟得到了四个主要浏览器供应商中三个的支持，只缺 Safari 背后的苹果了。

WebAssembly 也承诺可以让开发者编写一个应用程序，在浏览器之外的多个操作系统上运行。微软的加入，使 C# 和 .NET 开发人员可以使用 WebAssembly 构建在浏览器中运行的应用程序，以及可以构建原生的 iOS 和 Android 应用。

这种中间字节码的方式其实并不是什么新发明，不知道 WebAssembly 和以前的方案有什么突破，能否取得成功？

网络安全公司 Sucuri 的安全专家说，他们在调查中发现有 68% 的被黑网站存在着隐藏的 后门 （ backdoor ） 脚本。这些后门脚本会给入侵者提供再次进入秘密通道，即便系统管理员改变了口令或应用了安全补丁，只要没有完全的清理整个系统，后门就会依旧存在。

从他们发布的网站被黑报告 2016 Q1 版中可以看到，全部取样的 11485 个网站中，有 4900 个网站发现了后门。

在这些被入侵的网站中，后门是最严重的问题，其次是恶意软件（通过浏览器端的代码进行 挂马攻击 （ drive-by download ） ），占比 60%。

第三名是 SEO 垃圾 （ SEO spam ） ，大约 32% 的网站存在该问题。SEO 垃圾通常会秘密嵌入到页面中，浏览者看不见，而对于搜索引擎的爬虫可见。

挂马攻击和 SEO 垃圾也很流行

SEO 垃圾可以帮助恶意攻击者提升其网站的搜索引擎排名，而对被感染的网站来说，则会受到搜索引擎的惩罚和排名下降。

这些受益的恶意攻击者通常会将 SEO 垃圾放到感染网站的源代码中、数据库中，或者通过 .htaccess 重定向实现。多数情况下，SEO 垃圾被用在药品方面，也有给成人内容或在线游戏提供的。

与去年相比，后门脚本比例略有降低，SEO 垃圾有小幅提升，而恶意软件感染则相较前些年增幅最大，从 2014 年的 41% 增加到了 2016 年的 60%！作为对比，后门脚本则从2014年的 59% 到 2015 年的 73%，现在回落到 68%；SEO 垃圾从 20% 到 28%，到了2016 年就增加到了 28%。

据外媒 arstechnica 报道，一家中国的芯片级系统厂商全志（allwinner） 在其开发的产品中携带的内核里遗留了一个 root 后门。全志的处理器芯片用在很多低端的 Android 平板、机顶盒、基于 ARM 的 PC 等等之上。而这个后门非常容易获得，只需要给一个未见于文档的调试进程发送一个字符串“rootmydevice” 即可获取该设备的 root 权限。

该后门可能是开发人员调试后忘记移除的。全志公司在知道此消息后，已经从其公司的 Github 账户上删除了相关文件。

该公司使用的内核 linux-3.4-sunxi，原先用于支持全志的 ARM 芯片平板上的 Android，它也有一个社区版本。该内核也用来移植到各种全志芯片的设备上，包括 桔子派 （ Orange Pi ） 、 香蕉派 （ Banana Pi ） 等与 树莓派 （ Raspberry Pi ） 兼容的开发板。

美国国家安全局（NSA）被指他们曾经要求Linux的创始人，Linus Torvalds，在GNU/Linux中建立一个他们可以访问的“后门”。

这绝非谣言，Linus的父亲，Nils Torvalds如此说道。（译注：也许Nils可以算做是Linux的祖父？好吧，我是标题党，啦啦啦~ :D 无论如何，感谢他生了一个好儿子！ ）

作为欧洲议会（MEP）的成员之一，Nils出席了最近关于“欧盟公民监视问题”的委员会质询会议。根据爱德华·斯诺登泄露出的一些NSA文档，委员会对文档中列出的一些公司代表就所谓的“合作”进行了质询。

同属欧洲议会成员的瑞典盗版党主席Christian Engström就质问微软的发言人，其公司是否曾主动为NSA在他们的系统中植入过“后门”，（译者注：盗版党是一个以废除专利制度、维护公民隐私为宗旨的民间自发政党，最先在瑞典出现，传送门→盗版党百度百科）。之后，Nils Torvalds说道：

我的长子[Linus Torvalds]也被问到了同样的问题 —— “NSA是否曾要求他植入后门？”，当时他口中回答“No”，但同时却在点头。我的儿子有某种程度上的法律自由，他已经给出了正确的回答…… 每个人都明白，NSA的确曾要求他这么干过！

如果这段描述让你觉着耳熟，你可以看下Youtube上关于这一段的视频片段。后来Linus坚称他当时只是开玩笑，NSA并没有为此找过他。

但是，根据11月11号质询会议上的发言看来，他的父亲并不这么想。

根据文档，Google、Yahoo!、Facebook，的确还有微软，都在NSA要求提供“后门”的合作公司之列，这一发现，虽不足以震惊全世界，但事实上，从大局考虑还是有意义的。毕竟，凭什么说NSA不会要求Linus这么做呢？

Nils并没有解释Linus具体是如何回应的 —— 但我估计，这说明了两个问题，首先我们至少可以肯定的一点是，开源世界一直在努力防范类似事情成为可能；

其次，如果真的有某些漏洞存在，NSA长长的触手早就已经把你的压箱底私房钱翻个底儿掉了。

via: http://www.omgubuntu.co.uk/2013/11/nsa-ask-linus-torvalds-include-backdoors-linux-father-says-yes

译者：Mr小眼儿 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

前不久我写到NSA可能在安全标准中植入后门。今天，我们谈一谈NSA被指责在标准中植入后门的两个案例，然后通过它们来区分两种后门之间的不同。

第一个案例

是关于NIST标准，SP 800-90A，该标准详细说明了一种伪随机数生成器（PseudoRandom Generator 以下简称PRG）。一个RPG可以通过计算得到一小组不可预料的随机比特，并进而“延展”得到大量的随机比特数。在密码学中，PRG作为大多数密钥的源头，是必需的。因此，如果你能“破解”某些人的PRG，你就能预测其使用的密钥，进而击溃其整个加密算法。

NIST标准中提供了一些核心算法供PRG选择。其中一个算法使用了一种叫做椭圆曲线的数学结构，在这里我并不打算展开介绍这个数学概念。总之，这个算法使用了两个“公开参数”P和Q，它们均在标准中有指定的值，因此说它们是公开的。

密码学家相信，如果P和Q是随机的，PRG就是安全的。但是2006年，两个独立密码学家指出，通过某种方法选定P和Q后，它们之间就具有了某种特殊的关系。一个“局外人”可能并不知道这种特殊关系的存在，但是如果你知道了描述P和Q之间关系的“密钥”，就可以轻松击溃PRG的安全体系。

知道了这一点，会发现很多事实突然变得有趣起来。首先，NSA看起来十分执意要将这种算法写入标准，即使它的运行效率很低；其次，NSA在标准中指定了P和Q的建议取值范围；第三，NSA并未解释这些给定的取值范围是如何得出的。怎么样，是不是有点儿意思？

不仅如此，现在已经可以通过一些已公开的步骤，得出新的随机的P和Q，也就是说，以上三种问题都可以得到解决，但是NSA并没有这么做。

值得注意的是，（也许是为了辟谣），前不久（9月10日），NIST重新开放了SP 800-90A的公开评论。

第二个案例

是由John Gilmore提出的，他在IPSEC标准中发现了问题。IPSEC被视为安全技术的一块基石，能够为因特网中的个人IP数据包提供完整可靠的加密。一个成功广泛部署的IPSEC协议可以大大强化因特网安全，为多种网络通信提供加密保护。

John说，NSA及其代理部门始终在降低该标准的安全水平与执行效率，同时却不断提高其复杂程度和安全方面的实现难度。尽管John还没有掌握NSA植入后门的确凿证据，但是他发现，NSA的确在不断削弱该标准的效力，事实上，IPSEC已经没有人们想象中的那样安全可靠。

上述案例向我们展示了两种不同类型的后门。第一个关于PRG的案例中，我们怀疑NSA尝试建立一个只有它能使用的后门，因为只有它知道关联P和Q的密钥。第二个关于IPSEC的案例中，NSA不断削弱用户的安全防护能力，这样它就能更轻易地访问你的数据，但同时其他所有人都具有了这样的机会。

可以确定的是，一个私有后门很可能无法一直“私有”。如果真有这样一个magic密钥，能让NSA窥探所有人的秘密，那这把钥匙很可能会被滥用或泄露到外界。因此，NSA私有后门和公开后门之间的界限并不明显。

但是，看起来这两种后门之间还是引起了不同的政策辩论。前者使得NSA能秘密地轻易访问每个人的数据，后者则赋予了每个人这种访问权限，后者的影响力要更加严重。

同时，我们应该看到一个后门是如何创造出来的。在PRG的案例中，需要获得制定标准的专家们通过，NSA才能使其加密过程中那微小的缺陷“蒙混过关”。在IPSEC的案例中，则貌似需要在标准的整个制定过程中不断协调公关活动才有机会制造那小小的缺陷，在这个过程中，即使没有人发现某种模式，也应该能注意到某些单个步骤，（但是却没有）。

也许有人会怀疑，这些案例真的是NSA有意而为之，还是只是空穴来风。对此，我们并不敢保证。但是只要NSA一直拥有参与制定安全标准的许可权限，我们就有必要，对他们所参与制定的任何标准保持怀疑。

via: https://freedom-to-tinker.com/blog/felten/on-security-backdoors/

本文由 LCTT 原创翻译，Linux中国 荣誉推出

译者：Mr小眼儿 校对：Caroline