因為種種原因,原先管理 @futagg 頻道的帳號被 Telegram 「惡意」刪除後失去了控制權。
因此在這邊重新創立一個新的頻道,管理員為 @kachowlife
這個頻道會一如既往的分享如何保持隱私、分享好文、分享 FutaGuard 底下產品服務更新...等等。
然後我還是要說一句。
杜叔叔,快還我帳號。
因此在這邊重新創立一個新的頻道,管理員為 @kachowlife
這個頻道會一如既往的分享如何保持隱私、分享好文、分享 FutaGuard 底下產品服務更新...等等。
然後我還是要說一句。
杜叔叔,快還我帳號。
👍17
#物流機器人 #服務
🐛 物流機器人修正兩個臭蟲
1. 在上次 OK 超商超商後將後端 IP 改去日本,結果導致嘉里大榮無法查詢
2. 特定物流無法正常顯示詳細物流狀態
✨ 新增一個功能
在物流機器人查詢失敗後會自動跳出回饋訊息,如果你覺得這是一整團錯誤可以直接將訊息轉貼給 @kachowlife 回報
🐛 物流機器人修正兩個臭蟲
1. 在上次 OK 超商超商後將後端 IP 改去日本,結果導致嘉里大榮無法查詢
2. 特定物流無法正常顯示詳細物流狀態
✨ 新增一個功能
在物流機器人查詢失敗後會自動跳出回饋訊息,如果你覺得這是一整團錯誤可以直接將訊息轉貼給 @kachowlife 回報
👍8
👍14😢2
#隱私建議
現在生活中有許多服務,其中不乏打著加密與隱私的服務出現。
今天要繼續講的是一家位於瑞士的公司 Proton,而先前在舊頻道 https://t.me/futagg/41 揭露過 Proton 其中一位董事在 Tesonet 廣告公司任職 CEO,且意外被發現 App 電子簽章為 Tesonet 公司。
「Proton 是一家總部位於瑞士的科技公司,提供安全且隱私保護的通訊和數據存儲解決方案。旗下產品包括郵件服務 ProtonMail,VPN 服務 ProtonVPN,以及數據存儲和分享平台 ProtonDrive 等。」(介紹由 ChatGPT 提供)
案例一:
Proton 把早期使用者當盤子敲,不說你們可能不知道 Proton 已經漲價數次,且早期付款的使用者根本就是上好美盤,現有的使用者被迫只能訂閱較高的層級,而新註冊使用者可以訂購較便宜的方案,且這似乎不是首次發生類似的案例。
Ref. https://www.reddit.com/r/tutanota/comments/zbefjw/want_to_move_from_proton_to_tutanota/
案例二:
在法國有一場名為「青年氣候行動」的公開活動,且此成員是法國反資本主義組織的成員,該組織在法國持續對抗當地的高檔消費、房地產投機與高級餐廳,已成為法國警方眼中的亂源,由於他們經常使用 ProtonMail 進行聯繫,使得法國警方透過歐洲刑警組織(Europol)與瑞士警方交涉,由瑞士警方取得法院的搜索票,要求 ProtonMail 提供特定使用者的連線 IP 位址。
使得法國警方順利逮捕了一些氣候活動家。總部位於瑞士的ProtonMail出面澄清,該公司遵循的是瑞士警方發出的法院搜索票,而非法國。
但原本 ProtonMail 服務在首頁大大寫著「 we do not keep any IP logs which can be linked to your anonymous email account. 」
http://web.archive.org/web/20210101053052/https://protonmail.com/
接著就是 CEO 滅火發文才說是受到「當地政府」的法律請求才給予連線位址的,還提到說在網頁上沒有清楚標示是他們的問題「We will be making updates to our website to better clarify Proton Mail’s obligations in cases of criminal prosecution and we apologize if this was not clear. 」
最後還說想要真正安全使我們的服務你們應該自己用 Tor 連線這種鬼話,想想還真的是蠻好笑的。
https://proton.me/blog/climate-activist-arrest
案例三:
Proton 的「廣告營銷」文章散播不實的內容,受害者則是 Tutanota 一個提供與 Proton 相似但更安全的 Email 託管商。一個由 CyberNews 的介紹中比較了 Proton 與 Tutanota 的服務,其中不乏一些過時或者應該說不實的內容,Tutanota 自己在推特主動提及 Proton 內容翻譯如下。
http://web.archive.org/web/20201205002432/https://cybernews.com/secure-email-providers/tutanota-vs-protonmail/
現在生活中有許多服務,其中不乏打著加密與隱私的服務出現。
今天要繼續講的是一家位於瑞士的公司 Proton,而先前在舊頻道 https://t.me/futagg/41 揭露過 Proton 其中一位董事在 Tesonet 廣告公司任職 CEO,且意外被發現 App 電子簽章為 Tesonet 公司。
「Proton 是一家總部位於瑞士的科技公司,提供安全且隱私保護的通訊和數據存儲解決方案。旗下產品包括郵件服務 ProtonMail,VPN 服務 ProtonVPN,以及數據存儲和分享平台 ProtonDrive 等。」(介紹由 ChatGPT 提供)
案例一:
Proton 把早期使用者當盤子敲,不說你們可能不知道 Proton 已經漲價數次,且早期付款的使用者根本就是上好美盤,現有的使用者被迫只能訂閱較高的層級,而新註冊使用者可以訂購較便宜的方案,且這似乎不是首次發生類似的案例。
Ref. https://www.reddit.com/r/tutanota/comments/zbefjw/want_to_move_from_proton_to_tutanota/
案例二:
在法國有一場名為「青年氣候行動」的公開活動,且此成員是法國反資本主義組織的成員,該組織在法國持續對抗當地的高檔消費、房地產投機與高級餐廳,已成為法國警方眼中的亂源,由於他們經常使用 ProtonMail 進行聯繫,使得法國警方透過歐洲刑警組織(Europol)與瑞士警方交涉,由瑞士警方取得法院的搜索票,要求 ProtonMail 提供特定使用者的連線 IP 位址。
使得法國警方順利逮捕了一些氣候活動家。總部位於瑞士的ProtonMail出面澄清,該公司遵循的是瑞士警方發出的法院搜索票,而非法國。
但原本 ProtonMail 服務在首頁大大寫著「 we do not keep any IP logs which can be linked to your anonymous email account. 」
http://web.archive.org/web/20210101053052/https://protonmail.com/
接著就是 CEO 滅火發文才說是受到「當地政府」的法律請求才給予連線位址的,還提到說在網頁上沒有清楚標示是他們的問題「We will be making updates to our website to better clarify Proton Mail’s obligations in cases of criminal prosecution and we apologize if this was not clear. 」
最後還說想要真正安全使我們的服務你們應該自己用 Tor 連線這種鬼話,想想還真的是蠻好笑的。
https://proton.me/blog/climate-activist-arrest
案例三:
Proton 的「廣告營銷」文章散播不實的內容,受害者則是 Tutanota 一個提供與 Proton 相似但更安全的 Email 託管商。一個由 CyberNews 的介紹中比較了 Proton 與 Tutanota 的服務,其中不乏一些過時或者應該說不實的內容,Tutanota 自己在推特主動提及 Proton 內容翻譯如下。
嘿, @ProtonPrivacy 我們知道你們使用聯盟營銷手段,且很難注意每個合作夥伴的行為,但你們是否知道這篇文章: https://cybernews.com/secure-email-providers/tutanota-vs-protonmail/ ?最後 Proton 給予的回應更是只能用可笑且毫無邏輯來回應。
雖然這篇文章偽裝成客觀比較,但他們導向你們網站的連結含有追蹤 UTM 碼,所以能夠龜段事是未公開的贊助文章,而他們對我們做了錯誤的描述,像是我們的價格更高。
在我們的價格中,免費帳號的儲存容量與你們的是一樣的,最糟糕的是,該網站說我們沒有開源 Windows 和 macOS 版本的程式碼,我們是「絕大多數」是開源的。
你們能把這個問題解決好嗎,拜託?
特別是在你的 /partners 頁面上,你有一個 FAQ 部分說:「作為我們對用戶透明的努力的一部分,我們要求我們的合作夥伴向他們的讀者披露他們與 Proton 的合作關係。」
你還說「我們鼓勵所有合作夥伴在評論中保持客觀和準確」。 - 要求你的合作夥伴同意行為準則會更好。 😉
我們希望我們能繼續一起為 #privacy 而奮鬥,並保持健康和公平的競爭!
嗨!我們的聯盟夥伴對他們所製作的內容負完全責任,我們僅提供我們自身服務的資訊給他們。因此,我們鼓勵您聯繫 @CyberNews ,讓他們知道哪裡錯了。接著 Tutanota 又回應。
謝謝你的回覆。但這篇文章與你要求合作夥伴「向讀者公開他們與 Proton 公司的合作關係」,並做到「客觀」與「準確」的要求相矛盾,不是嗎?然後就沒有然後了。事後調查了一下 CyberNews 已經是被廣為人知的「舔狗」,誰給比較多錢就舔誰了。且該比較最早從 2020 就已經存在。
引用自你的 /partners 頁面
http://web.archive.org/web/20201205002432/https://cybernews.com/secure-email-providers/tutanota-vs-protonmail/
😁6🤯2👍1
FutaGuard
#隱私建議 現在生活中有許多服務,其中不乏打著加密與隱私的服務出現。 今天要繼續講的是一家位於瑞士的公司 Proton,而先前在舊頻道 https://t.me/futagg/41 揭露過 Proton 其中一位董事在 Tesonet 廣告公司任職 CEO,且意外被發現 App 電子簽章為 Tesonet 公司。 「Proton 是一家總部位於瑞士的科技公司,提供安全且隱私保護的通訊和數據存儲解決方案。旗下產品包括郵件服務 ProtonMail,VPN 服務 ProtonVPN,以及數據存儲和分享平台…
比起 Proton 說不到最不到的嘴臉,如果要推薦出類似的郵件託管服務我目前只會推薦 Tutanota,而 VPN 我只會用 Windscribe 以及 Mullvad
順帶一提 ,上面那篇最後一條 Windscribe 也有回 Tutanota ,而且蠻靠北的。
https://twitter.com/windscribecom/status/1638239684701609985
上述三家軟體觀點僅代表個人看法,如果與你的觀點或認知或想法有衝突,皆以你的看法為主,如有不便你自己憋著不關我的事
順帶一提 ,上面那篇最後一條 Windscribe 也有回 Tutanota ,而且蠻靠北的。
https://twitter.com/windscribecom/status/1638239684701609985
上述三家軟體觀點僅代表個人看法,如果與你的觀點或認知或想法有衝突,皆以你的看法為主,如有不便你自己憋著不關我的事
😁13👍2
我們一直堅信,人類有權享受生命、享受自由,而隱私亦是。
因此,我創立了 FutaGuard,旨在保護大眾的基本隱私權。在這條路上,我們遇到了理念相合的夥伴 Tutanota。
他們提供安全且重視隱私的電子郵件服務,並有著卓越的開發團隊。感謝 Tutanota 的支持,感謝所有一同在保護隱私這條路上的你我。
I have always firmly believed that people have the right to enjoy life and freedom, and privacy is also among these rights.
Therefore, I founded FutaGuard with the aim of protecting the basic privacy rights of the public. Along this journey, we have encountered like-minded partners like Tutanota.
They provide a secure email service that values privacy and they have an excellent development team. I'm grateful for Tutanota's support, and for everyone who is with us on this journey of privacy protection.
Together we will bring privacy to the world!
因此,我創立了 FutaGuard,旨在保護大眾的基本隱私權。在這條路上,我們遇到了理念相合的夥伴 Tutanota。
他們提供安全且重視隱私的電子郵件服務,並有著卓越的開發團隊。感謝 Tutanota 的支持,感謝所有一同在保護隱私這條路上的你我。
I have always firmly believed that people have the right to enjoy life and freedom, and privacy is also among these rights.
Therefore, I founded FutaGuard with the aim of protecting the basic privacy rights of the public. Along this journey, we have encountered like-minded partners like Tutanota.
They provide a secure email service that values privacy and they have an excellent development team. I'm grateful for Tutanota's support, and for everyone who is with us on this journey of privacy protection.
Together we will bring privacy to the world!
👍20🤩4
差點忘記這禮拜份的觀點發送,有時候群友會發問說我會使用什麼 VPN 或是詢問使用什麼雲端儲存服務...等等。
與其我一一私下解答不如直接在這裡回應。
如果說想要快速了解手上有哪些服務可以獲得更佳合理或更尊重個人隱私的服務請參考,可以參考:
英文版 https://www.privacytools.io/
英文版 https://www.privacyguides.org/en/
中文版 https://privacytools.twngo.xyz/
在挑選服務的時候我個人會喜歡參考一些依據,至於什麼依據就是上面你們看的圖片了,以前我蠻喜歡去推薦人使用特定的服務的,但近幾年我反而不太喜歡去主動推薦,原因很簡單人們應該要去懷疑任何服務,簡單說就是「請動腦」,所以才會有這篇文簡短的文章,挑選服務時可以參考這張圖唷。
credit:
圖片由某小精靈提供技術支援
與其我一一私下解答不如直接在這裡回應。
如果說想要快速了解手上有哪些服務可以獲得更佳合理或更尊重個人隱私的服務請參考,可以參考:
中文版 https://privacytools.twngo.xyz/
在挑選服務的時候我個人會喜歡參考一些依據,至於什麼依據就是上面你們看的圖片了,以前我蠻喜歡去推薦人使用特定的服務的,但近幾年我反而不太喜歡去主動推薦,原因很簡單人們應該要去懷疑任何服務,簡單說就是「請動腦」,所以才會有這篇文簡短的文章,挑選服務時可以參考這張圖唷。
credit:
圖片由某小精靈提供技術支援
👍10👨💻1
隨著科技的發展,我們的生活越來越依賴於網路,無論是在社交網站上分享照片、在線上銀行進行轉帳,甚至是在家裡購物,我們都需要用到電腦與網路。然而,隨著網路使用量的增加,網路安全問題也日益嚴重。
就在最近幾年有多少台灣人少接過詐騙簡訊、詐騙電話?我想在看這篇文章的人多多少少都有接過或是聽過。在先前我也主動去信提醒數發部關於 6000 元普發的網址可能會被詐騙集團大量註冊類似的網址,部長也親自回覆告知我會開會時討論如何避免相關問題,而問題也確實得到了解答,就是將疑似仿冒 6000 元普發 .tw 結尾的網域直接停止解析,至今我也很感謝部長是直接在幾個小時內回覆我,並且在隔天就馬上有動作。
但最近聽到一些消息讓我產生了一些擔憂。
台灣網路是不是有可能演變成中國網路的高牆?
這段並不是危言聳聽,這邊我先大致上轉述一下發生了什麼事,如果有興趣觀看全文可以直接點這裡。
基本上原 Po 去信到 TWNIC(台灣網路資訊中心),提案公開 TWNIC RPZ 阻擋的網域,但最終是被否決了。雖說 TWNIC 有提供審核機制的流程圖,但審核機制基本上也是未公開,或只是草草檢查一下格式是否正確,且相關委員紀錄內容非常簡略,再者因為其審核機制還曾發生過人工誤擋的狀況,根據先前的紀錄在 2021 有 200 萬筆紀錄以上。否決提案的的單位是 警政署 刑事警察局,理由原封不動的節錄下來
「刑事警察局提出犯罪人員大部分都在國外,而在國外不易察覺自己的域名已被停止解析,若是公開屏蔽資料,反而會讓犯罪人員申請新域名以達到其目的。」
會議記錄:
https://rpz.twnic.tw/doc/nt10.pdf
就在最近幾年有多少台灣人少接過詐騙簡訊、詐騙電話?我想在看這篇文章的人多多少少都有接過或是聽過。在先前我也主動去信提醒數發部關於 6000 元普發的網址可能會被詐騙集團大量註冊類似的網址,部長也親自回覆告知我會開會時討論如何避免相關問題,而問題也確實得到了解答,就是將疑似仿冒 6000 元普發 .tw 結尾的網域直接停止解析,至今我也很感謝部長是直接在幾個小時內回覆我,並且在隔天就馬上有動作。
但最近聽到一些消息讓我產生了一些擔憂。
台灣網路是不是有可能演變成中國網路的高牆?
這段並不是危言聳聽,這邊我先大致上轉述一下發生了什麼事,如果有興趣觀看全文可以直接點這裡。
基本上原 Po 去信到 TWNIC(台灣網路資訊中心),提案公開 TWNIC RPZ 阻擋的網域,但最終是被否決了。雖說 TWNIC 有提供審核機制的流程圖,但審核機制基本上也是未公開,或只是草草檢查一下格式是否正確,且相關委員紀錄內容非常簡略,再者因為其審核機制還曾發生過人工誤擋的狀況,根據先前的紀錄在 2021 有 200 萬筆紀錄以上。否決提案的的單位是 警政署 刑事警察局,理由原封不動的節錄下來
「刑事警察局提出犯罪人員大部分都在國外,而在國外不易察覺自己的域名已被停止解析,若是公開屏蔽資料,反而會讓犯罪人員申請新域名以達到其目的。」
會議記錄:
https://rpz.twnic.tw/doc/nt10.pdf
😱4🥰2❤1👍1
FutaGuard
隨著科技的發展,我們的生活越來越依賴於網路,無論是在社交網站上分享照片、在線上銀行進行轉帳,甚至是在家裡購物,我們都需要用到電腦與網路。然而,隨著網路使用量的增加,網路安全問題也日益嚴重。 就在最近幾年有多少台灣人少接過詐騙簡訊、詐騙電話?我想在看這篇文章的人多多少少都有接過或是聽過。在先前我也主動去信提醒數發部關於 6000 元普發的網址可能會被詐騙集團大量註冊類似的網址,部長也親自回覆告知我會開會時討論如何避免相關問題,而問題也確實得到了解答,就是將疑似仿冒 6000 元普發 .tw 結尾的網域直接停…
轉述到這告一段落,這邊解釋一下什麼是 RPZ,簡單來說我們一般使用的網路舉凡「中華電信」、「遠傳電信」、「台灣大哥大」…等等。這類通稱為 ISP,而為了簡化操作,只要你連上了網路預設都會直接使用上述 ISP 自己的 DNS 伺服器,而 RPZ 你可以理解為封鎖清單的概念,即使上述 ISP 在根解析器可以查詢到 IP,但 RPZ 可以覆寫其回應,最終達到無法連線的目的。這邊先不說其中的流程是否有令人不解的部份,這邊直接提供一些我個人覺得可怕的地方。
1. 根據 TWNIC 自己官網的解釋「RPZ允許遞歸解析器(recursive resolver)以自定義的資訊修改解析的結果後,以避免使用者接取惡意或不當的網域名稱或IP位址。」
https://blog.twnic.tw/2020/09/23/15311/
基本上就是 TWNIC 完全是有能力做到實現中間人攻擊的可能性。
2. 民眾沒有檢視封鎖的情況,且不公開 RPZ 紀錄是否有政治力因素?是否有人為因素實現了類似美國大選遭俄羅斯操弄的可能?
3. 刑事警察局的回應讓人懷疑他們是不是根本沒有在用腦,他們都能用心架設釣魚網頁還沒有能力偵測網域是不是被停止解析嗎?
雖然說這種方式一般民眾可透過 VPN 或是使用 DNS over HTTPS 這類的加密型 DNS 來連線,但這不是可以合理不公開紀錄的理由。
同時這邊提醒一下,這件事與先前的「中介法」性質完全不相同,請不要自己套進去自己高潮,這很蠢。那麼如果你也對這件事感到有疑慮的話歡迎前去原文按個 Like,同時轉貼給你所有的朋友讓他們知道這件事。
https://www.facebook.com/seadog007/posts/pfbid02K7KwLyrchHEoWEVbG4bxQCxnLq81Dj6f4ig9Qt5nbGWsgj3zsfXqc9EATgvwo8CUl
1. 根據 TWNIC 自己官網的解釋「RPZ允許遞歸解析器(recursive resolver)以自定義的資訊修改解析的結果後,以避免使用者接取惡意或不當的網域名稱或IP位址。」
https://blog.twnic.tw/2020/09/23/15311/
基本上就是 TWNIC 完全是有能力做到實現中間人攻擊的可能性。
2. 民眾沒有檢視封鎖的情況,且不公開 RPZ 紀錄是否有政治力因素?是否有人為因素實現了類似美國大選遭俄羅斯操弄的可能?
3. 刑事警察局的回應讓人懷疑他們是不是根本沒有在用腦,他們都能用心架設釣魚網頁還沒有能力偵測網域是不是被停止解析嗎?
雖然說這種方式一般民眾可透過 VPN 或是使用 DNS over HTTPS 這類的加密型 DNS 來連線,但這不是可以合理不公開紀錄的理由。
同時這邊提醒一下,這件事與先前的「中介法」性質完全不相同,請不要自己套進去自己高潮,這很蠢。那麼如果你也對這件事感到有疑慮的話歡迎前去原文按個 Like,同時轉貼給你所有的朋友讓他們知道這件事。
https://www.facebook.com/seadog007/posts/pfbid02K7KwLyrchHEoWEVbG4bxQCxnLq81Dj6f4ig9Qt5nbGWsgj3zsfXqc9EATgvwo8CUl
😢6
acme.sh RCE 漏洞
在台灣時間 2023/06/09 清晨五點時,有位外國使用者在 acme.sh 的官方 repo 裡發布了一條 issue。
簡要來說就是一個名為 HiCA 的聲稱提供免費憑證服務,但 HiCA 在憑證簽發過程中注入了執行指令,從而讓 acme.sh 在客戶端上執行指令。而 HiCA 利用此漏洞在簽發過程中安插出現 QRCode 提示要求付款來完成簽發作業。在 HiCA 的文件說明裡提到,它僅支援 acme.sh 完成簽發作業,同時他並不是遵循標準簽發流程作業。
而造成此原因最根本的問題是 acme.sh 在簽發過程有一個執行指令的過程,在程式語言的概念可以稱為 eval,而 eval 本身是一件非常危險的事情,他的概念相當於將輸入的任何字串當作指令來執行,以一般現代的安全掃描程式基本上會直接阻擋這種行為的,如果要使用 eval 則應該要實作白名單,僅允許特定行為,就是因為 acme.sh 沒有做到這點導致被 HiCA 濫用此行為。
對此 HiCA 負責人在 issue 內辯稱,他們曾向 acme.sh 捐贈 1000 美金,同時他們承認他們利用這點漏洞,但他們稱 HiCA 為「非營利項目」,並且可根據 Mohlt 的請求分析證明他們從未注入具有危害的攻擊性指令。
所以為什麼這件事情應該被正視?
1. HiCA 簽發作業流程非標準 ACME 挑戰,且其中過程不透明
2. HiCA 公司位在中國上海
3. HiCA 利用了 acme.sh RCE 漏洞,而不是通報,並且辯稱捐贈 1000 美金給 acme.sh 有種試圖掩蓋他們的行為
4. HiCA 甚至因此基於 ACME 流程上加上了付款流程在中國申請專利,令人費解的是他同時說自己是非營利項目 https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf
5. 第一時間的回應沒有說明利用範圍,而是關閉所有伺服器,顯得非常像在逃避
作為使用者該怎麼辦?
根據團隊檢視 acme.sh 似乎還是有其他類似的漏洞尚未被發現,同時建議簽發免費憑證請慎選來源商,這邊僅建議使用 Let’s Encrypt 簽發,或是 Google 簽發的憑證,同時有擔憂的話請使用 EEF 所提供的 certbot,或參考其他客戶端 https://letsencrypt.org/docs/client-options 。
後續個人在網頁上閒晃發現,當初 HiCA 也確實有提供簽發免費的憑證,但由於 acme.sh 後續更新預設簽發憑證為 ECC 格式,他們為此設計了 ECC 需要付款,但有人發現即使簽發時代入指定 RSA 格式依舊會彈出需要付款提示,原來是 key 的長度 2048 就要付款啊。
🔗 連結:
https://github.com/acmesh-official/acme.sh/issues/4659
https://www1.hi.cn/en/
https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf
在台灣時間 2023/06/09 清晨五點時,有位外國使用者在 acme.sh 的官方 repo 裡發布了一條 issue。
簡要來說就是一個名為 HiCA 的聲稱提供免費憑證服務,但 HiCA 在憑證簽發過程中注入了執行指令,從而讓 acme.sh 在客戶端上執行指令。而 HiCA 利用此漏洞在簽發過程中安插出現 QRCode 提示要求付款來完成簽發作業。在 HiCA 的文件說明裡提到,它僅支援 acme.sh 完成簽發作業,同時他並不是遵循標準簽發流程作業。
而造成此原因最根本的問題是 acme.sh 在簽發過程有一個執行指令的過程,在程式語言的概念可以稱為 eval,而 eval 本身是一件非常危險的事情,他的概念相當於將輸入的任何字串當作指令來執行,以一般現代的安全掃描程式基本上會直接阻擋這種行為的,如果要使用 eval 則應該要實作白名單,僅允許特定行為,就是因為 acme.sh 沒有做到這點導致被 HiCA 濫用此行為。
對此 HiCA 負責人在 issue 內辯稱,他們曾向 acme.sh 捐贈 1000 美金,同時他們承認他們利用這點漏洞,但他們稱 HiCA 為「非營利項目」,並且可根據 Mohlt 的請求分析證明他們從未注入具有危害的攻擊性指令。
所以為什麼這件事情應該被正視?
1. HiCA 簽發作業流程非標準 ACME 挑戰,且其中過程不透明
2. HiCA 公司位在中國上海
3. HiCA 利用了 acme.sh RCE 漏洞,而不是通報,並且辯稱捐贈 1000 美金給 acme.sh 有種試圖掩蓋他們的行為
4. HiCA 甚至因此基於 ACME 流程上加上了付款流程在中國申請專利,令人費解的是他同時說自己是非營利項目 https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf
5. 第一時間的回應沒有說明利用範圍,而是關閉所有伺服器,顯得非常像在逃避
作為使用者該怎麼辦?
根據團隊檢視 acme.sh 似乎還是有其他類似的漏洞尚未被發現,同時建議簽發免費憑證請慎選來源商,這邊僅建議使用 Let’s Encrypt 簽發,或是 Google 簽發的憑證,同時有擔憂的話請使用 EEF 所提供的 certbot,或參考其他客戶端 https://letsencrypt.org/docs/client-options 。
後續個人在網頁上閒晃發現,當初 HiCA 也確實有提供簽發免費的憑證,但由於 acme.sh 後續更新預設簽發憑證為 ECC 格式,他們為此設計了 ECC 需要付款,但有人發現即使簽發時代入指定 RSA 格式依舊會彈出需要付款提示,原來是 key 的長度 2048 就要付款啊。
🔗 連結:
https://github.com/acmesh-official/acme.sh/issues/4659
https://www1.hi.cn/en/
https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf
😱12🦄1