标签 NSA 下的文章

一家神秘公司掌握着一个主流 SSL 根证书机构

据报道,Chrome、Safari、Firefox 和其他浏览器都接受一家名为 TrustCor 的根证书机构(CA)。CA 是互联网基础设施的基石,它签署的 SSL 证书可以保证网站不是假的,流量是加密的。因而,CA 可以签发“伪造”证书从而劫持加密流量。此外,该公司在巴拿马的注册记录显示,其信息与今年被确认的一家的间谍软件制造商相同,文件显示,该公司十多年来一直向美国政府机构出售通信拦截服务。Mozilla 表示它可能会取消 TrustCor 的根证书。

消息来源:华盛顿邮报
老王点评:谷歌当年就因为有根 CA 滥用而取消过该根 CA 证书,看看这次谷歌会如何?

GitHub 实验 “Hey, GitHub!” 语音编程

GitHub Next 团队宣布了一项新的实验:“Hey, GitHub!”,允许与 Copilot 进行语音互动。也就是说,你甚至不需要使用键盘就可以让 VSCode 为你提供编程建议。GitHub 称,该实验可以识别“自然语言”。除了编写和编辑代码,它还允许程序员进行代码导航和执行其它 VSCode 命令。

消息来源:The Verge
老王点评:连键盘都不用了,直接讲你要干啥就好了。

美国国家安全局敦促各组织转向内存安全编程语言

美国国家安全局(NSA)表示,建议各组织通过利用 C#、Go、Java、Ruby 或 Swift 等语言内存安全编程语言进行战略性转变。NSA 表示“内存管理问题已经被利用了几十年,今天仍然很常见。”软件内存安全问题是约 70% 的漏洞背后的原因。不良的内存管理也会导致技术问题,如不正确的程序结果,随着时间的推移程序性能的下降,以及程序崩溃。

消息来源:NSA
老王点评:建议是好的,但是 NSA 不太值得信任。

永恒之石

研究人员们发现有一个新的蠕虫病毒正在通过 SMB 文件共享漏洞传播,但是不同于 “想哭” WannaCry 勒索病毒的构成,这个病毒利用了 7 个 NSA 黑客工具,而不是 “想哭” WannaCry 勒索病毒的两个。

这个蠕虫病毒的存在首次发现是在周三,它感染了 Miroslav Stampar 的 SMB 文件共享的蜜罐,Miroslav Stampar 是克罗地亚政府计算机应急响应小组成员,也是用来探测和利用 SQL 注入漏洞的 SQLMAP 工具的制造者。

永恒之石利用了七个 NSA 的工具

Stampar 命名这个在样本中被发现的病毒为 “永恒之石” EternalRocks ,其基于蠕虫病毒可执行的特性,它通过 6 个以 SMB 文件共享漏洞为中心的 NSA 工具来感染暴露在外网的一台开启 SMB 端口的计算机。这些被叫做 永恒之蓝永恒战士永恒浪漫永恒协同的 SMB 漏洞被利用危害易受攻击的计算机,而 SMBTOUCHARCHITOUCH 这两个 NSA 工具起到了检测 SMB 文件共享漏洞的作用。

一旦这个蠕虫病毒获得了最初的立足点,那么它会用另一个叫做 DOUBLEPULSAR 的 NSA 工具扩散到新的易受攻击的机器上。

永恒之石名字的起源

“永恒之石”名字的起源

“想哭”勒索病毒爆发,用了一个 SMB 蠕虫病毒感染计算机并扩散给新的受害人,这影响了超过 24 万受害者。

不同于“永恒之石”,“想哭”的 SMB 蠕虫病毒只利用了永恒之蓝这一个漏洞做初步感染,然后通过 DOUBLEPULSAR 来扩散到其他的计算机上。

“永恒之石”更加复杂,但危险性较低

作为蠕虫病毒,“永恒之石”没有“想哭”那么危险,这是由于它当前不传递任何恶意的内容,然而,这并不意味着“永恒之石”不复杂,据 Stampar 说,实际恰恰相反。

首先,“永恒之石”要比“想哭”的 SMB 蠕虫病毒更加隐蔽,一旦病毒感染了一台计算机,它会发起有两个阶段的安装过程,其中另一个是延迟执行的。

在病毒的第一个安装过程阶段,永恒之石获取一个感染计算机主机的立足点,下载 tor 客户端,然后连接到它的命令控制服务器,其定位在暗网的一个 .onion 的域名上。

在一个预定的时间内,一般是 24 个小时,命令控制器会响应,这个长延迟执行进程的做法最有可能绕过沙盒安全测试环境和安全研究人员们对病毒的分析,因为没多少人愿意一整天来等命令控制器响应。

没有停止开关的域名

此外,“永恒之石”病毒也会用和一个与“想哭” SMB 的蠕虫病毒文件相同名字的一个文件,以此愚弄安全研究人员来误判它。

但是不同于“想哭”病毒,永恒之石不包括停止开关的域名,但这是安全研究人员唯一用来停止“想哭”病毒爆发的方法。

在病毒隐匿期满且命令控制器有了响应,永恒之石开始进入安装过程的第二阶段,它会下载一个名为 shadowbrokers.zip 的归档形式的第二阶段恶意组件。

这个文件能够自解压,它包含着 shadow Brokers 黑客组织在 2017 年 4 月泄漏的七个 NSA 的 SMB 漏洞工具。 这个蠕虫病毒会开始一个快速的 ip 扫描过程并且尝试连接随机的 ip 地址。

shadowbrokers.zip的内容

在 shadowbrokers.zip 压缩包里发现了 NSA 工具的配置文件。

“永恒之石”可以马上成为武器

由于该病毒集成的漏洞较多且广泛,缺少停止开关的域名,而且有它的隐匿期,如果病毒的作者决定用它来作为勒索、银行木马、远程控制或者其他功能的武器,“永恒之石”可能会对 SMB 端口暴露在互联网的易受攻击的计算机造成严重的威胁。

就目前来看,蠕虫病毒看起来像是一个试验,或者是恶意软件作者在进行测试或者为未来的威胁而做的微调。

然而,这并不意味着“永恒之石”是无害的,感染了这个病毒的计算机是通过命令控制服务器来控制,并且蠕虫病毒的制造者能够利用这个隐藏通讯连接,发送新的恶意软件到这台感染了病毒的电脑上。

此外,DOUBLEPULSAR,这是一个带有后门的植入仍然运行在感染了永恒之石的 PC 上,不幸的是,该病毒的作者没有采取任何措施来保护这个 DOUBLEPULSAR 的植入,这意味这缺省其运行在未被保护的状态下,其他的恶意的用户能使用它作为把感染了永恒之石的计算机的后门,发送他们自己的恶意软件到这些感染病毒的 PC 上。

关于这个病毒的感染过程的 IOC 和更多信息能够在 Stampar 在几天前设置的 [GitHub] 仓库上获得。

SMB 漏洞的混战

当前,有许多人在扫描旧的和未打补丁的 SMB 服务,系统管理员已经注意到并且开始给易受攻击的计算机打补丁,关闭旧版的 SMBv1 协议,慢慢的来减少被永恒之石感染的计算机数量。

此外,像 Adylkuzz 这类恶意软件,也会关闭 SMB 端口,来阻止来自其它威胁软件的进一步利用,这同时也导致了“永恒之石”和其它利用 SMB 漏洞的恶意软件潜在目标数量的减少,来自 ForcepointCyphortSecdo 的报告详细介绍了当前针对 SMB 端口的计算机的威胁情况。

虽然如此,系统管理员补丁打的越快,系统越安全,“蠕虫病毒感染速度正在和系统管理员给机器打补丁速度比赛”,Stampar 在一次私人谈话中告诉 BleepingComputer 记者,“一旦计算机被感染,它能在任何时间将其作为武器,不论你打多时间多近的补丁。”

(题图:Miroslav Stampar, BleepingComputer & Ana María Lora Macias


作者简介:

Catalin 涉及了各方面,像数据泄漏、软件漏洞、漏洞利用、黑客新闻、暗网、编程话题、社交媒体、Web技术、产品研发等领域。


via: https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/

作者:CATALIN CIMPANU 译者:hwlog 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

PRISM

如果你监听过 HTTP/2 连接的建立过程,你也许会注意到在每个连接建立时都会发送一条这样的报文。如下:

即以下文本:

PRI * HTTP2.0

SM

如果将 HTTP2.0 以及换行从其中去掉,那么我们就得到了“PRISM”!——这是什么?是斯诺登所揭露的 NSA 的“棱镜计划”!只要是 HTTP/2.0 连接,都会在一开头就发送这样的报文。

是你的 HTTP/2.0 连接被 NSA 监控了么?不是!这条消息代表了你的服务器真正支持了 HTTP/2.0,它是一个用于识别的魔法字符串。

它在 RFC7540 Section 3.5 中描述如下:

在 HTTP/2 中,每个端点都需要发送一个连接引语作为所用协议的最终确认,并用于建立 HTTP/2 连接的初始设置。客户端和服务器发送不同的连接引语。

客户端的连接引语以24个字节开始,以16进制表示如下:

0x505249202a20485454502f322e300d0a0d0a534d0d0a0d0a

即以下列字符串开始: “PRI * **HTTP/2.0

SM

”**。

事实上,这个魔法字符串原本是“FOOBA”:在 2013/5/29 发布的 draft-ietf-httpbis-http2-03 中它还是这个样子:“**FOO * HTTP/2.0

BA

**”。

而在同年6月份斯诺登事件沸沸扬扬之后,7/8发布的 draft-ietf-httpbis-http2-04 中就变成了“**PRI * HTTP/2.0

SM

**”。

所以,你知道了吧?这个古怪的字符串是互联网工程任务组(IETF)对 NSA 的嘲讽。

美国国家安全局(NSA)被指他们曾经要求Linux的创始人,Linus Torvalds,在GNU/Linux中建立一个他们可以访问的“后门”。

这绝非谣言,Linus的父亲,Nils Torvalds如此说道。(译注:也许Nils可以算做是Linux的祖父?好吧,我是标题党,啦啦啦~ :D 无论如何,感谢他生了一个好儿子! )

Nils Torvalds

作为欧洲议会(MEP)的成员之一,Nils出席了最近关于“欧盟公民监视问题”的委员会质询会议。根据爱德华·斯诺登泄露出的一些NSA文档,委员会对文档中列出的一些公司代表就所谓的“合作”进行了质询。

同属欧洲议会成员的瑞典盗版党主席Christian Engström就质问微软的发言人,其公司是否曾主动为NSA在他们的系统中植入过“后门”,(译者注:盗版党是一个以废除专利制度、维护公民隐私为宗旨的民间自发政党,最先在瑞典出现,传送门→盗版党百度百科)。之后,Nils Torvalds说道

我的长子[Linus Torvalds]也被问到了同样的问题 —— “NSA是否曾要求他植入后门?”,当时他口中回答“No”,但同时却在点头。我的儿子有某种程度上的法律自由,他已经给出了正确的回答…… 每个人都明白,NSA的确曾要求他这么干过!

如果这段描述让你觉着耳熟,你可以看下Youtube上关于这一段的视频片段。后来Linus坚称他当时只是开玩笑,NSA并没有为此找过他

但是,根据11月11号质询会议上的发言看来,他的父亲并不这么想。

根据文档,Google、Yahoo!、Facebook,的确还有微软,都在NSA要求提供“后门”的合作公司之列,这一发现,虽不足以震惊全世界,但事实上,从大局考虑还是有意义的。毕竟,凭什么说NSA不会要求Linus这么做呢?

Nils并没有解释Linus具体是如何回应的 —— 但我估计,这说明了两个问题,首先我们至少可以肯定的一点是,开源世界一直在努力防范类似事情成为可能;

其次,如果真的有某些漏洞存在,NSA长长的触手早就已经把你的压箱底私房钱翻个底儿掉了。


via: http://www.omgubuntu.co.uk/2013/11/nsa-ask-linus-torvalds-include-backdoors-linux-father-says-yes

译者:Mr小眼儿 校对:Caroline

本文由 LCTT 原创翻译,Linux中国 荣誉推出

前不久我写到NSA可能在安全标准中植入后门。今天,我们谈一谈NSA被指责在标准中植入后门的两个案例,然后通过它们来区分两种后门之间的不同。

第一个案例

是关于NIST标准,SP 800-90A,该标准详细说明了一种伪随机数生成器(PseudoRandom Generator 以下简称PRG)。一个RPG可以通过计算得到一小组不可预料的随机比特,并进而“延展”得到大量的随机比特数。在密码学中,PRG作为大多数密钥的源头,是必需的。因此,如果你能“破解”某些人的PRG,你就能预测其使用的密钥,进而击溃其整个加密算法。

NIST标准中提供了一些核心算法供PRG选择。其中一个算法使用了一种叫做椭圆曲线的数学结构,在这里我并不打算展开介绍这个数学概念。总之,这个算法使用了两个“公开参数”P和Q,它们均在标准中有指定的值,因此说它们是公开的。

密码学家相信,如果P和Q是随机的,PRG就是安全的。但是2006年,两个独立密码学家指出,通过某种方法选定P和Q后,它们之间就具有了某种特殊的关系。一个“局外人”可能并不知道这种特殊关系的存在,但是如果你知道了描述P和Q之间关系的“密钥”,就可以轻松击溃PRG的安全体系。

知道了这一点,会发现很多事实突然变得有趣起来。首先,NSA看起来十分执意要将这种算法写入标准,即使它的运行效率很低;其次,NSA在标准中指定了P和Q的建议取值范围;第三,NSA并未解释这些给定的取值范围是如何得出的。怎么样,是不是有点儿意思?

不仅如此,现在已经可以通过一些已公开的步骤,得出新的随机的P和Q,也就是说,以上三种问题都可以得到解决,但是NSA并没有这么做。

值得注意的是,(也许是为了辟谣),前不久(9月10日),NIST重新开放了SP 800-90A的公开评论。

第二个案例

是由John Gilmore提出的,他在IPSEC标准中发现了问题。IPSEC被视为安全技术的一块基石,能够为因特网中的个人IP数据包提供完整可靠的加密。一个成功广泛部署的IPSEC协议可以大大强化因特网安全,为多种网络通信提供加密保护。

John说,NSA及其代理部门始终在降低该标准的安全水平与执行效率,同时却不断提高其复杂程度和安全方面的实现难度。尽管John还没有掌握NSA植入后门的确凿证据,但是他发现,NSA的确在不断削弱该标准的效力,事实上,IPSEC已经没有人们想象中的那样安全可靠。

上述案例向我们展示了两种不同类型的后门。第一个关于PRG的案例中,我们怀疑NSA尝试建立一个只有它能使用的后门,因为只有它知道关联P和Q的密钥。第二个关于IPSEC的案例中,NSA不断削弱用户的安全防护能力,这样它就能更轻易地访问你的数据,但同时其他所有人都具有了这样的机会。

可以确定的是,一个私有后门很可能无法一直“私有”。如果真有这样一个magic密钥,能让NSA窥探所有人的秘密,那这把钥匙很可能会被滥用或泄露到外界。因此,NSA私有后门和公开后门之间的界限并不明显。

但是,看起来这两种后门之间还是引起了不同的政策辩论。前者使得NSA能秘密地轻易访问每个人的数据,后者则赋予了每个人这种访问权限,后者的影响力要更加严重。

同时,我们应该看到一个后门是如何创造出来的。在PRG的案例中,需要获得制定标准的专家们通过,NSA才能使其加密过程中那微小的缺陷“蒙混过关”。在IPSEC的案例中,则貌似需要在标准的整个制定过程中不断协调公关活动才有机会制造那小小的缺陷,在这个过程中,即使没有人发现某种模式,也应该能注意到某些单个步骤,(但是却没有)。

也许有人会怀疑,这些案例真的是NSA有意而为之,还是只是空穴来风。对此,我们并不敢保证。但是只要NSA一直拥有参与制定安全标准的许可权限,我们就有必要,对他们所参与制定的任何标准保持怀疑。


via: https://freedom-to-tinker.com/blog/felten/on-security-backdoors/

本文由 LCTT 原创翻译,Linux中国 荣誉推出

译者:Mr小眼儿 校对:Caroline

Linus Torvalds

Torvalds对美国政府是否曾要求他在Linux中植入后门的问题进行了回应,他还解释了为何说自己是一名开发者,并向其他开发人员介绍了经验。

Linus Torvalds,于22年前发明了开源操作系统Linux的他,在9月18日,在新奥尔良举办的LinuxCon大会上作主题演讲,并与其他内核开发者一道,共同讨论Linux内核的发展问题。

该日的讨论持续了一个小时之久,座谈小组被问以各种五花八门的问题,健谈的Torvalds均给出了精彩回答。

首先被问到的其中一个问题是,想要切实加入Linux内核开发到底有多难?

Torvalds回答说,“我们有数量惊人的开发者,在有些方面确实比较难上手,但在开源项目的其他大部分方面就要容易的多,因为Linux还有太多太多工作等着我们去做。”

Torvalds指出,从目前参与Linux开发的人数来说,“其实这并不难企及”。

对Torvalds来说,面对硬件的不断创新是内核开发过程中的乐趣之一。他说22年前刚开始开发Linux的时候,那时的硬件和现在很不一样。他期待着20年后硬件能发展的更加超乎想象。

硬件创新的未来

然而Torvalds认为硬件的创新在某些方面已经开始放缓,面对摩尔定律失效的那天,现代工业将如何应对,Torvalds说他对此很感兴趣。在他看来,这其实是个物理问题,就看硅片上的创新能走多远。

“Linux之所以能在手机上运行如此流畅,是因为手机本身的性能一直在不断增长,现在的手机比我当年用来开发Linux的原型机性能强大好几千倍”,Torvalds说,“人们总是乐观地敷衍摩尔定律,但是未来10年内,这将变得非常非常难。”

虚拟化正在成为越来越多硬件社区的趋势,但是Torvalds对此却并不感兴趣。

“我不想与任何跟虚拟化有关的东西沾边,”Torvalds说,“我喜欢直接在硬件上运行;我是个‘实在’人”。

NSA后门

Torvalds还被问到是否美国政府曾要求他在Linux中植入后门。Torvalds的回答很有意思,他嘴里回答“NO”,同时却用力点着头好像在说“Yes”,引来会场听众哈哈大笑。(译注,实际上,他在其后又严肃的补充说了一个No,可以参看本站另外一篇文章:Linux有后门?看Linus Torvalds在LinuxCon大会上怎么说

如何成为一名真正的开发者

讨论中,Torvalds还解释了为何将开发者作为自己的第一身份。他是如何踏上这条道路的呢?那时,他没钱买Unix,同时他发现,他的高富帅朋友们都在配置牛逼的电脑上玩游戏,自己却只能穷守着台破电脑啥也干不了,于是,屌丝逆袭,他就这么开始学习编程了。

“现实逼着我必须干点什么了,”屌丝Torvalds说。

当Torvalds全身心投入到Linux中时,他说,Linux成为了他生命的中心。

“我觉得没有任何项目能比Linux更让我感兴趣,”Torvalds说,“如果没有了Linux,我无法想象我一片虚无的生命还有什么意义”。

via : http://www.eweek.com/developer/linus-torvalds-talks-linux-development-at-linuxcon.html

本文由 LCTT 原创翻译,Linux中国 荣誉推出

译者:Mr小眼儿 校对:wxy