隨著科技的發展,我們的生活越來越依賴於網路,無論是在社交網站上分享照片、在線上銀行進行轉帳,甚至是在家裡購物,我們都需要用到電腦與網路。然而,隨著網路使用量的增加,網路安全問題也日益嚴重。
就在最近幾年有多少台灣人少接過詐騙簡訊、詐騙電話?我想在看這篇文章的人多多少少都有接過或是聽過。在先前我也主動去信提醒數發部關於 6000 元普發的網址可能會被詐騙集團大量註冊類似的網址,部長也親自回覆告知我會開會時討論如何避免相關問題,而問題也確實得到了解答,就是將疑似仿冒 6000 元普發 .tw 結尾的網域直接停止解析,至今我也很感謝部長是直接在幾個小時內回覆我,並且在隔天就馬上有動作。
但最近聽到一些消息讓我產生了一些擔憂。
台灣網路是不是有可能演變成中國網路的高牆?
這段並不是危言聳聽,這邊我先大致上轉述一下發生了什麼事,如果有興趣觀看全文可以直接點這裡。
基本上原 Po 去信到 TWNIC(台灣網路資訊中心),提案公開 TWNIC RPZ 阻擋的網域,但最終是被否決了。雖說 TWNIC 有提供審核機制的流程圖,但審核機制基本上也是未公開,或只是草草檢查一下格式是否正確,且相關委員紀錄內容非常簡略,再者因為其審核機制還曾發生過人工誤擋的狀況,根據先前的紀錄在 2021 有 200 萬筆紀錄以上。否決提案的的單位是 警政署 刑事警察局,理由原封不動的節錄下來
「刑事警察局提出犯罪人員大部分都在國外,而在國外不易察覺自己的域名已被停止解析,若是公開屏蔽資料,反而會讓犯罪人員申請新域名以達到其目的。」
會議記錄:
https://rpz.twnic.tw/doc/nt10.pdf
就在最近幾年有多少台灣人少接過詐騙簡訊、詐騙電話?我想在看這篇文章的人多多少少都有接過或是聽過。在先前我也主動去信提醒數發部關於 6000 元普發的網址可能會被詐騙集團大量註冊類似的網址,部長也親自回覆告知我會開會時討論如何避免相關問題,而問題也確實得到了解答,就是將疑似仿冒 6000 元普發 .tw 結尾的網域直接停止解析,至今我也很感謝部長是直接在幾個小時內回覆我,並且在隔天就馬上有動作。
但最近聽到一些消息讓我產生了一些擔憂。
台灣網路是不是有可能演變成中國網路的高牆?
這段並不是危言聳聽,這邊我先大致上轉述一下發生了什麼事,如果有興趣觀看全文可以直接點這裡。
基本上原 Po 去信到 TWNIC(台灣網路資訊中心),提案公開 TWNIC RPZ 阻擋的網域,但最終是被否決了。雖說 TWNIC 有提供審核機制的流程圖,但審核機制基本上也是未公開,或只是草草檢查一下格式是否正確,且相關委員紀錄內容非常簡略,再者因為其審核機制還曾發生過人工誤擋的狀況,根據先前的紀錄在 2021 有 200 萬筆紀錄以上。否決提案的的單位是 警政署 刑事警察局,理由原封不動的節錄下來
「刑事警察局提出犯罪人員大部分都在國外,而在國外不易察覺自己的域名已被停止解析,若是公開屏蔽資料,反而會讓犯罪人員申請新域名以達到其目的。」
會議記錄:
https://rpz.twnic.tw/doc/nt10.pdf
😱4🥰2❤1👍1
FutaGuard
隨著科技的發展,我們的生活越來越依賴於網路,無論是在社交網站上分享照片、在線上銀行進行轉帳,甚至是在家裡購物,我們都需要用到電腦與網路。然而,隨著網路使用量的增加,網路安全問題也日益嚴重。 就在最近幾年有多少台灣人少接過詐騙簡訊、詐騙電話?我想在看這篇文章的人多多少少都有接過或是聽過。在先前我也主動去信提醒數發部關於 6000 元普發的網址可能會被詐騙集團大量註冊類似的網址,部長也親自回覆告知我會開會時討論如何避免相關問題,而問題也確實得到了解答,就是將疑似仿冒 6000 元普發 .tw 結尾的網域直接停…
轉述到這告一段落,這邊解釋一下什麼是 RPZ,簡單來說我們一般使用的網路舉凡「中華電信」、「遠傳電信」、「台灣大哥大」…等等。這類通稱為 ISP,而為了簡化操作,只要你連上了網路預設都會直接使用上述 ISP 自己的 DNS 伺服器,而 RPZ 你可以理解為封鎖清單的概念,即使上述 ISP 在根解析器可以查詢到 IP,但 RPZ 可以覆寫其回應,最終達到無法連線的目的。這邊先不說其中的流程是否有令人不解的部份,這邊直接提供一些我個人覺得可怕的地方。
1. 根據 TWNIC 自己官網的解釋「RPZ允許遞歸解析器(recursive resolver)以自定義的資訊修改解析的結果後,以避免使用者接取惡意或不當的網域名稱或IP位址。」
https://blog.twnic.tw/2020/09/23/15311/
基本上就是 TWNIC 完全是有能力做到實現中間人攻擊的可能性。
2. 民眾沒有檢視封鎖的情況,且不公開 RPZ 紀錄是否有政治力因素?是否有人為因素實現了類似美國大選遭俄羅斯操弄的可能?
3. 刑事警察局的回應讓人懷疑他們是不是根本沒有在用腦,他們都能用心架設釣魚網頁還沒有能力偵測網域是不是被停止解析嗎?
雖然說這種方式一般民眾可透過 VPN 或是使用 DNS over HTTPS 這類的加密型 DNS 來連線,但這不是可以合理不公開紀錄的理由。
同時這邊提醒一下,這件事與先前的「中介法」性質完全不相同,請不要自己套進去自己高潮,這很蠢。那麼如果你也對這件事感到有疑慮的話歡迎前去原文按個 Like,同時轉貼給你所有的朋友讓他們知道這件事。
https://www.facebook.com/seadog007/posts/pfbid02K7KwLyrchHEoWEVbG4bxQCxnLq81Dj6f4ig9Qt5nbGWsgj3zsfXqc9EATgvwo8CUl
1. 根據 TWNIC 自己官網的解釋「RPZ允許遞歸解析器(recursive resolver)以自定義的資訊修改解析的結果後,以避免使用者接取惡意或不當的網域名稱或IP位址。」
https://blog.twnic.tw/2020/09/23/15311/
基本上就是 TWNIC 完全是有能力做到實現中間人攻擊的可能性。
2. 民眾沒有檢視封鎖的情況,且不公開 RPZ 紀錄是否有政治力因素?是否有人為因素實現了類似美國大選遭俄羅斯操弄的可能?
3. 刑事警察局的回應讓人懷疑他們是不是根本沒有在用腦,他們都能用心架設釣魚網頁還沒有能力偵測網域是不是被停止解析嗎?
雖然說這種方式一般民眾可透過 VPN 或是使用 DNS over HTTPS 這類的加密型 DNS 來連線,但這不是可以合理不公開紀錄的理由。
同時這邊提醒一下,這件事與先前的「中介法」性質完全不相同,請不要自己套進去自己高潮,這很蠢。那麼如果你也對這件事感到有疑慮的話歡迎前去原文按個 Like,同時轉貼給你所有的朋友讓他們知道這件事。
https://www.facebook.com/seadog007/posts/pfbid02K7KwLyrchHEoWEVbG4bxQCxnLq81Dj6f4ig9Qt5nbGWsgj3zsfXqc9EATgvwo8CUl
😢6
acme.sh RCE 漏洞
在台灣時間 2023/06/09 清晨五點時,有位外國使用者在 acme.sh 的官方 repo 裡發布了一條 issue。
簡要來說就是一個名為 HiCA 的聲稱提供免費憑證服務,但 HiCA 在憑證簽發過程中注入了執行指令,從而讓 acme.sh 在客戶端上執行指令。而 HiCA 利用此漏洞在簽發過程中安插出現 QRCode 提示要求付款來完成簽發作業。在 HiCA 的文件說明裡提到,它僅支援 acme.sh 完成簽發作業,同時他並不是遵循標準簽發流程作業。
而造成此原因最根本的問題是 acme.sh 在簽發過程有一個執行指令的過程,在程式語言的概念可以稱為 eval,而 eval 本身是一件非常危險的事情,他的概念相當於將輸入的任何字串當作指令來執行,以一般現代的安全掃描程式基本上會直接阻擋這種行為的,如果要使用 eval 則應該要實作白名單,僅允許特定行為,就是因為 acme.sh 沒有做到這點導致被 HiCA 濫用此行為。
對此 HiCA 負責人在 issue 內辯稱,他們曾向 acme.sh 捐贈 1000 美金,同時他們承認他們利用這點漏洞,但他們稱 HiCA 為「非營利項目」,並且可根據 Mohlt 的請求分析證明他們從未注入具有危害的攻擊性指令。
所以為什麼這件事情應該被正視?
1. HiCA 簽發作業流程非標準 ACME 挑戰,且其中過程不透明
2. HiCA 公司位在中國上海
3. HiCA 利用了 acme.sh RCE 漏洞,而不是通報,並且辯稱捐贈 1000 美金給 acme.sh 有種試圖掩蓋他們的行為
4. HiCA 甚至因此基於 ACME 流程上加上了付款流程在中國申請專利,令人費解的是他同時說自己是非營利項目 https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf
5. 第一時間的回應沒有說明利用範圍,而是關閉所有伺服器,顯得非常像在逃避
作為使用者該怎麼辦?
根據團隊檢視 acme.sh 似乎還是有其他類似的漏洞尚未被發現,同時建議簽發免費憑證請慎選來源商,這邊僅建議使用 Let’s Encrypt 簽發,或是 Google 簽發的憑證,同時有擔憂的話請使用 EEF 所提供的 certbot,或參考其他客戶端 https://letsencrypt.org/docs/client-options 。
後續個人在網頁上閒晃發現,當初 HiCA 也確實有提供簽發免費的憑證,但由於 acme.sh 後續更新預設簽發憑證為 ECC 格式,他們為此設計了 ECC 需要付款,但有人發現即使簽發時代入指定 RSA 格式依舊會彈出需要付款提示,原來是 key 的長度 2048 就要付款啊。
🔗 連結:
https://github.com/acmesh-official/acme.sh/issues/4659
https://www1.hi.cn/en/
https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf
在台灣時間 2023/06/09 清晨五點時,有位外國使用者在 acme.sh 的官方 repo 裡發布了一條 issue。
簡要來說就是一個名為 HiCA 的聲稱提供免費憑證服務,但 HiCA 在憑證簽發過程中注入了執行指令,從而讓 acme.sh 在客戶端上執行指令。而 HiCA 利用此漏洞在簽發過程中安插出現 QRCode 提示要求付款來完成簽發作業。在 HiCA 的文件說明裡提到,它僅支援 acme.sh 完成簽發作業,同時他並不是遵循標準簽發流程作業。
而造成此原因最根本的問題是 acme.sh 在簽發過程有一個執行指令的過程,在程式語言的概念可以稱為 eval,而 eval 本身是一件非常危險的事情,他的概念相當於將輸入的任何字串當作指令來執行,以一般現代的安全掃描程式基本上會直接阻擋這種行為的,如果要使用 eval 則應該要實作白名單,僅允許特定行為,就是因為 acme.sh 沒有做到這點導致被 HiCA 濫用此行為。
對此 HiCA 負責人在 issue 內辯稱,他們曾向 acme.sh 捐贈 1000 美金,同時他們承認他們利用這點漏洞,但他們稱 HiCA 為「非營利項目」,並且可根據 Mohlt 的請求分析證明他們從未注入具有危害的攻擊性指令。
所以為什麼這件事情應該被正視?
1. HiCA 簽發作業流程非標準 ACME 挑戰,且其中過程不透明
2. HiCA 公司位在中國上海
3. HiCA 利用了 acme.sh RCE 漏洞,而不是通報,並且辯稱捐贈 1000 美金給 acme.sh 有種試圖掩蓋他們的行為
4. HiCA 甚至因此基於 ACME 流程上加上了付款流程在中國申請專利,令人費解的是他同時說自己是非營利項目 https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf
5. 第一時間的回應沒有說明利用範圍,而是關閉所有伺服器,顯得非常像在逃避
作為使用者該怎麼辦?
根據團隊檢視 acme.sh 似乎還是有其他類似的漏洞尚未被發現,同時建議簽發免費憑證請慎選來源商,這邊僅建議使用 Let’s Encrypt 簽發,或是 Google 簽發的憑證,同時有擔憂的話請使用 EEF 所提供的 certbot,或參考其他客戶端 https://letsencrypt.org/docs/client-options 。
後續個人在網頁上閒晃發現,當初 HiCA 也確實有提供簽發免費的憑證,但由於 acme.sh 後續更新預設簽發憑證為 ECC 格式,他們為此設計了 ECC 需要付款,但有人發現即使簽發時代入指定 RSA 格式依舊會彈出需要付款提示,原來是 key 的長度 2048 就要付款啊。
🔗 連結:
https://github.com/acmesh-official/acme.sh/issues/4659
https://www1.hi.cn/en/
https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf
😱12🦄1
FutaGuard
📢 維護公告 因為不續租 ClouDNS 的關係,將於 2023/06/17 清晨將轉移 NS 至其他服務,期間所有 futa.gg 網域服務將會中斷。整個過程將持續 1hr 左右,預計時間為 03:00 AM~ 04:00 AM 誰叫他太貴我付不起。
持續更新
[06/17 1:14 AM] 即將開始轉移 NS,因為太困了想提早用
[06/17 1:15 AM] 已移除 cloudns NS 紀錄
[06/17 1:17 AM] 已新增 doh 紀錄
[06/17 1:19 AM] 客服不知道他可以後台新增紀錄,幹
[06/17 1:20 AM] 客服終於知道他可以後台新增紀錄了,幹
[06/17 1:22 AM] NS 紀錄預計將在 30 分鐘後失效,然後他都不回我
[06/17 1:23 AM] 客服表示要等待 15 分鐘,所以我決定看一下動畫
[06/17 1:26 AM] 反正主角一樣是轉生怪物,然後幫整個王國弄了很屌的結界
[06/17 1:30 AM] 然後主角帶一群很外掛的隊友打趴一群魔族
[06/17 1:31 AM] 出現一個好像很厲害的魔王在城門外,結果主角放個屁對方又沒了
[06/17 1:34 AM] 花了五秒把超大隻魔物 boss 當成 spam 切了
[06/17 1:40 AM] 客服已經恢復一半紀錄了,剛好也離開學園了
[06/17 1:45 AM] NS 已經轉換了
[06/17 1:59 AM] 客服申請了四次 support code.
[06/17 2:02 AM] 客服已全數新增完成
所以有人猜得到我在看什麼嗎?
失格紋的最強賢者
[06/17 1:14 AM] 即將開始轉移 NS,因為太困了想提早用
[06/17 1:15 AM] 已移除 cloudns NS 紀錄
[06/17 1:17 AM] 已新增 doh 紀錄
[06/17 1:19 AM] 客服不知道他可以後台新增紀錄,幹
[06/17 1:20 AM] 客服終於知道他可以後台新增紀錄了,幹
[06/17 1:22 AM] NS 紀錄預計將在 30 分鐘後失效,然後他都不回我
[06/17 1:23 AM] 客服表示要等待 15 分鐘,所以我決定看一下動畫
[06/17 1:26 AM] 反正主角一樣是轉生怪物,然後幫整個王國弄了很屌的結界
[06/17 1:30 AM] 然後主角帶一群很外掛的隊友打趴一群魔族
[06/17 1:31 AM] 出現一個好像很厲害的魔王在城門外,結果主角放個屁對方又沒了
[06/17 1:34 AM] 花了五秒把超大隻魔物 boss 當成 spam 切了
[06/17 1:40 AM] 客服已經恢復一半紀錄了,剛好也離開學園了
[06/17 1:45 AM] NS 已經轉換了
[06/17 1:59 AM] 客服申請了四次 support code.
[06/17 2:02 AM] 客服已全數新增完成
所以有人猜得到我在看什麼嗎?
🤣10👍7🦄4❤1
#物流機器人
🐛 便利袋官網 SSL 更新有問題,他中繼憑證沒塞好,新的 OpenSSL 當他不安全,已經去信跟他們說在那之前物流機器人將降級不驗證憑證安全
https://www.ssllabs.com/ssltest/analyze.html?d=www.25431010.tw
https://www.sslshopper.com/ssl-checker.html#hostname=www.25431010.tw
[已結案]
[2023/06/21 09:55AM] - 客服回信將排查問題所在,我是不知道要排查什麼,我已經跟他說是憑證問題了
[2023/06/21 01:52PM] - 客服來電確認問題細節,並轉交與工程師確認
[2023/07/04 09:16AM] - 因為都沒有後續剛剛去看了一下他修好了。
🐛 便利袋官網 SSL 更新有問題,他中繼憑證沒塞好,新的 OpenSSL 當他不安全,已經去信跟他們說在那之前物流機器人將降級不驗證憑證安全
https://www.ssllabs.com/ssltest/analyze.html?d=www.25431010.tw
https://www.sslshopper.com/ssl-checker.html#hostname=www.25431010.tw
[已結案]
[2023/06/21 09:55AM] - 客服回信將排查問題所在,我是不知道要排查什麼,我已經跟他說是憑證問題了
[2023/06/21 01:52PM] - 客服來電確認問題細節,並轉交與工程師確認
[2023/07/04 09:16AM] - 因為都沒有後續剛剛去看了一下他修好了。
👏5
FutaGuard
#物流機器人 🐛 便利袋官網 SSL 更新有問題,他中繼憑證沒塞好,新的 OpenSSL 當他不安全,已經去信跟他們說在那之前物流機器人將降級不驗證憑證安全 https://www.ssllabs.com/ssltest/analyze.html?d=www.25431010.tw https://www.sslshopper.com/ssl-checker.html#hostname=www.25431010.tw [已結案] [2023/06/21 09:55AM] - 客服回信將排查問題所在,我…
618 看起來大家有買一堆東西,我看應該做一個 Grafana 的
👍14🦄1
⚠️ 先前在 StackSocial 購買過 ControlD 並透過升級以每年 10$ USD 訂閱的訂戶請避免誤觸升級方案
目前確認網頁的確在顯示頁面上不太清楚,如果不小心戳到升級可以請客服協助,但需要花很多時間處理
可以的話請避免打擾到人家唷~
目前確認網頁的確在顯示頁面上不太清楚,如果不小心戳到升級可以請客服協助,但需要花很多時間處理
可以的話請避免打擾到人家唷~
👍6🤔3❤1
✨ 新玩具發布
又一個機器人 🤖
這個機器人可以幫助你快速查 UDP, DoH, DoQ 紀錄,同時帶有其他特點:
1. 查詢時帶有時間功能,提供直覺的方式了解節點品質
2. 可快速批量查詢,可對單一節點連續高達 30 次查詢並統計平均速度
3. 更多功能敬請期待
@FutaGuard_bot
又一個機器人 🤖
這個機器人可以幫助你快速查 UDP, DoH, DoQ 紀錄,同時帶有其他特點:
1. 查詢時帶有時間功能,提供直覺的方式了解節點品質
2. 可快速批量查詢,可對單一節點連續高達 30 次查詢並統計平均速度
3. 更多功能敬請期待
@FutaGuard_bot
👍11🥰1🦄1
FutaGuard
#物流機器人 🐛 便利袋官網 SSL 更新有問題,他中繼憑證沒塞好,新的 OpenSSL 當他不安全,已經去信跟他們說在那之前物流機器人將降級不驗證憑證安全 https://www.ssllabs.com/ssltest/analyze.html?d=www.25431010.tw https://www.sslshopper.com/ssl-checker.html#hostname=www.25431010.tw [已結案] [2023/06/21 09:55AM] - 客服回信將排查問題所在,我…
✨ 已結案
因為他們都沒有後續回應剛剛去檢查已經修正了,還蠻不錯的至少有反應他們工程師會去修,但是客服沒回應給我讓我知道進度有點扣分
但扔有 POODLE 安全漏洞,已經將相關資訊再次去信給對方~
因為他們都沒有後續回應剛剛去檢查已經修正了,還蠻不錯的至少有反應他們工程師會去修,但是客服沒回應給我讓我知道進度有點扣分
但扔有 POODLE 安全漏洞,已經將相關資訊再次去信給對方~
🦄3
📢 近期郵局 i郵箱 特價,小格只需要 45$
可以理解為你可以用 45$ 體驗到郵局快捷的速度,什麼概念
早上在台北寄件,隔天一早就到台南ㄌ
可以理解為你可以用 45$ 體驗到郵局快捷的速度,什麼概念
早上在台北寄件,隔天一早就到台南ㄌ
❤10👍1
👌 感謝大家的努力不懈
165 已釋出大部分名單出來,目前已經寫腳本讓他每天執行更新一次,並使用hosts 格式釋出
訂閱網址 https://filter.futa.gg/TW165.txt
文章
資料來源
165 已釋出大部分名單出來,目前已經寫腳本讓他每天執行更新一次,並使用hosts 格式釋出
訂閱網址 https://filter.futa.gg/TW165.txt
文章
資料來源
👍29
FutaGuard
👌 感謝大家的努力不懈 165 已釋出大部分名單出來,目前已經寫腳本讓他每天執行更新一次,並使用hosts 格式釋出 訂閱網址 https://filter.futa.gg/TW165.txt 文章 資料來源
⚡️ 更新一下狀況
先前由群友提供資訊 CSV 資料較為齊全,因此目前是將 CSV 與 JSON 兩種格式合併,並去除重複資料,目前資料量為 5356 筆,且每日自動更新。
目前提供兩種格式:
1. 常見 adblock 的 hosts
https://filter.futa.gg/TW165.txt
2. 純 domain
https://filter.futa.gg/TW165-domains.txt
先前由群友提供資訊 CSV 資料較為齊全,因此目前是將 CSV 與 JSON 兩種格式合併,並去除重複資料,目前資料量為 5356 筆,且每日自動更新。
目前提供兩種格式:
1. 常見 adblock 的 hosts
https://filter.futa.gg/TW165.txt
2. 純 domain
https://filter.futa.gg/TW165-domains.txt
👍3