- A+
近日网络上多篇文章针对CloudFlare公司及其保护的Popvote网站安全问题提出不同观点,有的教授式告诉网友如何一步步入侵网站至个人信息泄露,有的推测式判断黑客无法成功解密。网络数据从终端到服务器,过程中泄露可能存在于终端环境是否安全可靠、数据传输线路是否被监听、数据存储是否安全这3个环节,一一分析,还是很多地方值得思考的。
云防火墙防护下的网络是否绝对安全?世上本就无“绝对”的事情,网络安全更没有任何人敢说绝对安全和绝不可能泄露。近期网络上有名“Jacky Chen”的黑客进行了证明,更加让我们相信安全并非完美。此前,有个更为典型的例子即12306全国铁路订票系统,采用的是国内最大CDN公司网宿科技提供CDN服务,即便如此,12306也因CDN方面问题被爆存在个人隐私泄露问题,详情可参考Wooyun漏洞提交平台的《12306 某接口CDN问题导致用户信息泄漏》。同样也是CDN技术,同样也是SSL加密,如果我们还仅仅停留在盲目相信CloudFlare防护下的Popvote是绝对安全的,那么当你下次参与各类投票时个人信息还是会被泄露的。
8月28日,国内著名安全专家方小顿(安全圈内代号“Xsser”)发出关于“CDN缓存攻击”的讨论帖,引发了国内众多安全专家的激烈讨论。从讨论中看出,CDN缓存技术在选择缓存内容时需要逻辑判断的,如果逻辑错误则将导致信息泄露,比如将A用户的缓存给了B用户则会出现漏洞,CDN缓存提升了网站抗打击能力的同时却将用户间的个人信息相互混乱了。国内就出现过12306网站也有网民可以订到昨天甚至十多天前的火车票的现象。或许听起来不可思议、啼笑皆非,但在黑客眼中,如果能主动利用漏洞则将导致非常大的安全问题,不断的重复模拟,不断的将B用户的信息碰撞读出,也许你就是下一个B用户!而在此次Popvote事件过程中,CloudFlare公司CDN技术保护下的Popvote投票过程正是使用了CDN缓存技术,或许黑客早已将讨论帖中的内容运用到实际渗透中,早已成功碰撞完所有数据,只是你不知道自己早已成为“B用户”罢了。
最近壹传媒主席黎智英更是在自己的杂志《壹周刊》发了一篇文章说“盗窃了我所有私人账目和文件是今年7月1日,黑客是以每秒1.43亿个查询攻陷我们服务器(我们服务器供应商CloudFlare是世界最大的供应商之一),将我们服务器攻破的同时窃取了我们所有文件资料,包括以上私人账目和文件”,看来这次黎智英都对CloudFlare公司的保护失望至极啊,一个活生生的例子。(注:此段无法理解为DDoS攻击引发了漏洞暴露,进而让黑客拿下网站及个人电脑的。)
许多人对数据经过SSL加密后的传输安全很放心,但www.crimeflare.com的一篇名为《CloudFlare's SSL SuspiciousSockets Layer》文中指出,“几乎所有通过CloudFlare访问HTTPS域名的人都不知道实际上仅有一半的路线是加密的。当他们看到自己屏幕上的挂锁(SSL图标)时,他们觉得一切都是安全的。这就是为什么网络钓鱼者喜欢CloudFlare的SSL。众多隐藏在CloudFlare背后,登记成隐私服务的域名很容易被网络犯罪者所利用。”,至此你还相信CloudFlare下的数据流通是安全的吗?还有一种可能更为可怕,那就是SSL证书也许早就掌握在黑客或者CloudFlare手里了,在那些我们看不到的CDN结点、CloudFlare公司内部“黑盒网络”里的数据早已赤裸裸的了。同时,我确实不明白为什么港大全民Popvote事件的证书是申请的甘地SSL证书,为什么又放弃了香港本地SSL证书,什么都用老外的,就这么崇洋媚外吗?
这篇文章还提及,CloudFlare公司作为一家互联网科技公司却热衷参与政治活动,如若观察其过去的种种劣行,你会发现CloudFlare早已臭名昭著,多次干预其他国家反对派的各类活动,为全球各类黑客进行SSL掩护成功“钓取”用户个人资料。当你以为引入了CloudFlare可以防止黑客的同时,其实你已经在引狼入室了,按CloudFlare的常规做法,每个网友在访问其保护的客户页面时都会被执行一段预先植入的JS脚本,访问的同时他们会给你植入一个Cookie并生成一个全球唯一的ID,用以标识你所使用的浏览器。
我们无法知道CloudFlare是否在跟踪你,我们只知道网友在访问CloudFlare托管站点时他们完全有能力立刻定位并开始追踪。这难道就是他们代理如此众多的狡诈网站的原因吗?其通过增加或提升统计数据资料来进行自我炒作,吸引新一轮的风险投资,或是从联邦调查局那里得到更多的黑色预算资金?港大全民Popvote事件为何放弃香港本地的CDN科技公司?为何这么多CDN公司中独独选了一个劣迹斑斑的公司呢?
数据安全的最后环节,也是黑客最容易下手的地方,那就是数据库。明报报道,华尔基利信息安全研究组织研究员认为哈希加密无法还原,质疑说“Hacker是通过估和碰来获取数据的,但如若数据已经被打散,则无法获取明文密码”。
其实,这个观点也是不准确的,一方面在国内最大程序员社区“CSDN”网站6000万用户数据被曝光之前我们没人相信竟然密码是明文存储的,陆续国内新浪476万用户数据、天涯社区4000万用户明文数据等等各大网站用户数据均被黑客曝光,让我们震惊大多网站均明文存储密码,你怎知港大Popvote事件又不是如此呢?我深表怀疑。
另一方面,加密是为了什么?加密就是为了解密,不然要一堆垃圾干什么?斯诺登公开的那些敏感信息难道没经过加密处理吗?最终不照样被暴露于公众,斯诺登多次公开承认数据加密大多就是为了解密。大家是否想过,8位纯数字的手机号码的MD5加密可以瞬间破解,有何安全可言?即使是身份证号码(字母+数字+字母或空)的所有组合,相信早已被黑客MD5加密后纳入彩虹表里,破解也早已不在话下了。所以,港大全民的哈希加密也不是无懈可击的,或许黑客在运用SQLMap之时已经带上解密脚本,也或者其早已破解只是现场还原罢了。
只是回顾前面的文章和这些分析我只会觉得这个Popvote事件是一场赤裸裸的“卖身”,是一只羊主动将自己送给一只臭名昭著的狼的活动。
[文章为作者独立观点,不代表FreeBuf立场]
FreeBuf相关阅读
CloudFlare CEO Matthew Prince于8月19日在台湾黑客年会HITCON上首度公开了他们在香港防御DDoS攻击的过程。在协助处理香港PopVote的DDoS攻击防御上,一开始CloudFlare使用亚马逊的AWS云服务,此前PopVote已经遭到了DNS及NTP放大攻击,攻击流量一度达到150Gb/s,最后就连AWS服务也因无法应付大量攻击流量而终止提供服务。
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫