• 邮件反馈
  • 支持 TK
  • 那年今日

  • 微博

    • 看看最新
    • 那年今日
    • 随便看看
    • 过去一年

  • 文章

    • 皮相专栏
    • 百度空间
    • 焦点博客

  • 探索

    • TK猴子

  • 支持
上个页面皮相专栏
下个页面焦点博客

点右侧微博标记去微博订阅真爱粉群👉

加入tk真爱粉群
http://hi.baidu.com/tombkeeper - 选录

百度空间

共 164 篇文章

关于信息安全和安全漏洞的一些科普——从支付宝控件漏洞谈起

2007-02-11

关于信息安全和安全漏洞的一些科普——从支付宝控件漏洞谈起 文档维护:tombkeeper[Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")] 文档出处: http://hi.baidu.com/tombkeeper 文档创建:2007年02月10日 最后更改:2007年02月10日 支付宝漏洞事件出现后,我看到了很多网友对这件事情的评论。看了这些评论,我明白了一件事情:虽然谁都不希望自己成为病毒木马的受害者,谁都不希望自己的QQ号被偷走,不希望自己网游里的装备消失,不希望自己银行里的存款消失,不希望自己的聊天记录被人窃取,不希望自己的私生活被别人通过摄像头窥探甚至公布到互联网上成为“真人秀”,但是,很多人并不明白上面这些到底是怎么发生的,不明白安全漏洞意味着什么,不知道安全漏洞和自己有什么关系。所以我觉得有必要写这样一篇科普文章,作为 《支付宝控件漏洞——到底是谁在撒谎?》 一文的补充。 大多数人对自己所使用的计算机并不了解——当然,这并不重要,大多数人也不知道是电子跃迁让灯泡发光。但是人们都知道电的危险,都知道如何安全用电。而知道计算机安全知识的人就少而又少了。 很多人都认为 《地心末日》 是一部烂片,不过其中有一段对白的确很有意思: H:你能说多少种语言? A:5种。 H:是吗?我只会一种。一、零、一、零、零。就靠这个,我可以窃取你的金钱,你的秘密,你的性取向,甚至你的一生。只要我想,不论何时何地都能做到。我们的力量是你所无法想象的。即使我努力,也无法做到象你那么迟钝的思考。 上面说的略显夸张,却基本属实。可惜很多人并不知道这种危险,就像很多人都不知道牛皮癣和白癜风其实都不传染一样。 我是学医出身,以前经常给病人家属发健康宣传册。也希望自己写的这些文章能起到健康宣传册的作用。 1、安全漏洞是怎么回事?木马是怎么回事? 从理论上说,安全漏洞就是软件中存在的意外功能分枝,通过安全漏洞,可以让软件做软件设计人员意想不到的事情。譬如Windows 2000里的mrinfo程序,原本是一个网络小工具,但是由于存在溢出,所以我们可以利用它来锁屏,或者其它任何事: http://blog.xfocus.net/index.php?op=ViewArticle&articleId=1772&blogId=9 支付宝控件原本的设计功能是加密通信,保护用户的通信安全,但是由于存在安全漏洞,也可以被利用来执行任何功能,譬如运行一个盗取银行帐号的木马。 “木马”是特洛伊木马的简称,英文是Trojan Horse。有兴趣可以翻翻希腊神话中特洛伊战争这一段。现在我们通常用“木马”这个词来指那些不怀好意的软件。譬如那些盗号程序、后门程序等等。 木马要想在用户的计算机上运行,一个主要的手段就是利用安全漏洞。 通俗地说,有安全漏洞的软件就好比窗户上没插销的房子,而木马就好比小偷。如果你装了一扇没有插销的窗户,小偷就很容易进来。 2、支付宝控件现在到底有没有漏洞,安不安全? 1.0.0.7版,也就是2007年2月8日之前安装的支付宝控件是有漏洞的,不安全的,可以被人利用来控制你的系统的。 而2007年2月8日支付宝升级了控件,修复了上述漏洞。如果你不能确定自己的支付宝是否升级到了最新,请下载安装这个最新版本: http://img.alipay.com/download/1009/aliedit.exe 3、支付宝控件漏洞对我有什么影响?是不是用支付宝有危险? 举个例子,就在刚才,就在我写这篇文章的过程中,一个朋友找到我,说他的网站被“挂马”了,让我帮助清除。 所谓“挂马”,就是入侵网站,修改网站的页面,在页面里放置恶意代码。凡是访问了该网站的用户,就可能被安装上木马。这种可以入侵网站访问者的恶意代码通常就是利用了某种漏洞。譬如,刚才清除的这个“挂马”利用的就是微软新出的 VML控件漏洞 。漏洞类型和支付宝控件漏洞是一样的。如果你的机器存在这个VML漏洞,那么就会被这个“挂马”装上灰鸽子后门、网游盗号工具等等一堆的木马。 只要你的机器有VML控件漏洞,那么只要访问了这种“挂马”的网站就被被入侵,而不论这个“挂马”的网站是微软的,还是新浪的。 同样道理,只要安装了有漏洞的控件,不管你用不用支付宝,是否登陆支付宝,都会受到漏洞的威胁。因为任何网页都可以通过放置特殊的代码来调用这个控件。但是用支付宝服务本身反而并不会有危险——因为我相信支付宝网站本身并不会包含这种恶意代码。 4、支付宝出了这么严重的安全漏洞,我还应该继续用它么? 每个软件都会有安全漏洞,上面提到的 VML漏洞 就是Windows的漏洞,你是否会因此而不用Windows呢?我也是支付宝用户,我会继续用下去。 5、最新版本的支付宝控件是不是就没有漏洞了? 可以肯定地说:最新版本的支付宝控件没有上面提到的这个漏洞。如果你升级到最新版本的支付宝控件,就不受这个漏洞的影响。但是任何人都不可能保证某个软件完全没有任何漏洞。不管是软件作者,还是某个权威机构。 我在 《支付宝控件漏洞——到底是谁在撒谎?》 提到最新版本支付宝控件仍然存在问题,不过那个只能引起IE崩溃,不能利用来入侵用户的电脑。 6、既然每个软件都可能有漏洞,那怎么防止中木马和病毒呢? 说实话,这不是几句话能说清楚的,甚至我把这篇文章所有的篇幅都用来说这个问题也不行。 不过有个简单而又有效的建议:尽量不用IE浏览器,改用 firefox 或者 opera (声明:我不是firefox或者opera的托儿)。只在必须用IE的时候才用。譬如登陆网上银行。还有一点:尽可能不要从国内的软件下载站点下载软件。 7、病毒木马我都不怕,装杀毒软件不就行了么? 目前所有杀毒软件主要的工作原理都是基于特征识别。什么叫特征识别呢?通俗来说,就是掌握一份坏人的花名册,根据花名册去找。如果这个病毒或者木马刚刚被写出来,还没有“案底”,不在花名册上,杀毒软件就识别不出来。 某些杀毒软件虽然也有些不依赖于花名册的高级识别功能,但是这种功能并不百分之百可靠。更何况,现在的病毒木马作者,在写完程序后,都会先用杀毒软件测试一下,确认不会被检测出来才放出去。 那么杀毒软件岂不是没用了么?不是。各种杀毒软件就像各种避孕措施一样,能帮你解决大多数的麻烦,但不能指望它百分之百可靠。 8、那些人为什么要写木马?为什么要利用漏洞“挂马”? 是为了钱。这一点,我在“木秀于林,风必摧之”一文中说的很清楚,大家看看里面那张图就明白了: http://hi.baidu.com/tombkeeper/blog/item/f6576a31e20f0319ebc4af94.htm 9、你是不是腾讯的托儿? 我在 《支付宝控件漏洞——到底是谁在撒谎?》 中提到“除了腾讯,国内的公司我还没见到几家愿意诚实地发布自己产品安全公告的”,于是有人就认为我是腾讯的托儿。记得鲁迅先生当年曾被人诬陷“拿卢布”,今天如果有人说我“拿Q币”其实还真是件挺荣幸的事情。可惜我不但没有拿,而且每个月还给腾讯贡献10块钱的会员费。由于中国人“家丑不可外扬”的传统,能做到“诚实地发布自己产品安全公告”的企业在国内就真的是凤毛鳞角,而腾讯是其中之一,这个事实是无法否认的: http://security.qq.com/affiche/ 10、漏洞这么有害,为什么要公布,为什么要发公告?这不是害人么? 这一点是安全研究人员最容易被人误解的地方。 漏洞并不因为不公布就不存在。如果漏洞没有被一个正直的安全研究人员发现,而是被那些“挂马”的人发现,他们的确不会公布,他们会偷偷用来往用户的机器上安装木马,盗取账号。如果真的发生这种事,无论对支付宝用户,还是对阿里巴巴,都是灾难性的。 而如果软件提供者不发布安全公告而只是偷偷升级,那么会有很多用户不知道自己正在用的软件有问题,而并不去注意自己是否升级了。 大家可以想象一下如果微软从不发布安全公告会是怎样的情况。 这次支付宝控件的漏洞并不是什么太难发现的问题,而是非常容易被找出来的。居然在接近一年的时间里没有被坏人首先发现并利用(这一点我并不确定),实在是不幸中的万幸。 11、你为什么要写这些文章?你和阿里巴巴有仇么?是为了出名么? 完全没有。我既是腾讯的用户,也是支付宝的用户。我对阿里巴巴取得的成功十分敬仰,对马云先生的智慧和商业才能十分敬佩。 虽然我是一个民族主义者,但实事求是地说,日本人有一大优点,就是人人都有很强的职业荣誉感。即使只是一个看锅炉的,也会努力做最好的锅炉工,并且因为自己的工作让大家得到了温暖,会很自豪。并且不容这种职业尊严受到冒犯。 作为安全研究人员,我们也有自己的荣誉和尊严。这一点,并不指望所有人都能理解。但是我们既没有去黑站挂马,也没有写病毒偷帐号,而是用无数个不眠之夜去探索未知,去帮助完善这个未来大家都会生活在其中CyberSpace,我们不怕孤独和默默无闻,但所得到的至少不应该是诬蔑和责难。虽然阿里巴巴在这件事情的处理上一直采取不正确的态度,但是如果没有搞出“专家检测结果显示支付宝安全”那一套,赤裸裸地向安全研究社区挑衅,我也许不会用这种激烈的方式来表达我的态度。 以前看X档案,Fox Mulder说的“The truth is out there.”这句话给我留下了十分深刻的印象。也成为我的一个重要处世原则。我想,既然我们这些人凑巧懂点技术,那么揭穿那些谎言和伪装,让不明就里的人们看到事实真相,就是我们的责任和义务,这也是hacker精神中很重要的一部分。 所以早在2004年7月20日,我曾经署名“2f4f587a80c2dbbd870a46481b2b1882”,写了“ 谁控制了我们的浏览器? ”一文(这篇文章流传甚广,用google搜上面这串值就能找到),揭露当时刚刚出现的运营商级别的浏览器劫持行为。(文章末尾有5个MD5,第一个对应的MyName是hellokitty,MyCount是1999。)如果为了出名,当时就不会匿名了。 安全研究的圈子很小,大伙基本上互相都认识,不存在出名不出名这回事。如果要在安全圈子之外出名,最好的办法是在长安街裸奔,搞行为艺术,保证上新浪首页。写这种文章是出不了名的。 12、什么是黑客?你说的hacker精神是什么? 就像天主教和洪秀全的“拜上帝会”一样,很多东西到了中国之后都会变味儿。所以我宁可认为hacker和黑客是两个意义完全不同的词,就像我认为Expert和“专家”是两个完全不同的词一样。 在中国媒体和老百姓的概念里,黑客这个词指的是那些修改别人主页的人,是偷QQ号的人,是“少年黑客”,“天才少年黑客”,“17岁天才少年黑客”,“硕士黑客”等等这些可笑的,充满噱头的东西。 本来“小姐”是个挺好的词儿,譬如说“莺莺小姐”、“香港小姐”,这些都是很美好的事物。后来人们把一些跟“小姐”两个字完全扯不上关系的的人也称为“小姐”,渐渐小姐就变味了。以前我们去饭店吃饭,吃完了,就喊“服务员,结帐”,后来喊“小姐,买单”,而现在又变回了喊“服务员”。为什么不喊“小姐”了呢,因为小姐的词义变化了。要尊重别人,不能喊“小姐”。 所以,要尊重别人,不能乱喊人黑客。 如果你想知道什么是hacker,想了解hacker的历史,我推荐这三份文档: http://www.aka.org.cn/Docs/hacker-howto_2001.html http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/zh_cn/security-guide/ch-sgs-ov.html http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/zh_cn/security-guide/ch-risk.html (再次声明:我不是redhat的托儿,没有推销Red Hat Enterprise Linux的意思。)
阅读全文

支付宝控件漏洞——到底是谁在撒谎?

2007-02-09

支付宝控件漏洞——到底是谁在撒谎?    文档维护:tombkeeper[Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")] 文档创建:2007年02月09日 最后更改:2007年02月09日 cocoruder去年底向阿里巴巴报了一个淘宝旺旺ActiveX控件溢出的漏洞: http://www.xfocus.net/articles/200701/901.html 结果阿里巴巴偷偷把漏洞补了,但是不肯发公告。 有了这个教训,前两天cocoruder发现支付宝登陆控件代码执行漏洞的时候就直接公布了: http://www.xfocus.net/articles/200702/906.html 阿里巴巴的态度还是一样:偷偷把漏洞补上了。有媒体问阿里巴巴是不是有这回事,阿里巴巴完全否定: http://tech.sina.com.cn/i/2007-02-08/06481375187.shtml 而且派人时刻盯着支付宝社区,凡出现相关主题的不利帖子立即删除,所以现在我们在支付宝社区能看到的都是“形势一片大好”的帖子: http://club.alipay.com/show_thread-20-1--5930514-.htm 如果事情到此为止也就算了,安全研究界要的也不过就是对自己工作的认可,你想藏着掖着,我们也可以理解。彼此间也没什么深仇大恨,你不承认也就不承认吧。除了腾讯,国内的公司我还没见到几家愿意诚实地发布自己产品安全公告的,我们早就习惯了。 但是事情没有结束。 昨天wlj在donew上发了一篇关于此事的文章,原来的链接是这个: http://home.donews.com/donews/article/1/110127.html 但是今天早晨我发现这篇文章已经不见了。 而且还针对这篇文章请“天威诚信数字认证中心”搞了一个“专家检测”: http://club.alipay.com/show_thread-79---5930928-.htm 最无耻的是,可能因为wlj在文章里引用了我说的“就在2月8号,支付宝控件升级了。如果没问题,升级什么呢。”,阿里巴巴来了这么一句:“为了用户更安全,我们加固了支付宝控件。如果您看到升级提示,请按要求操作。” 这种行为不但是对全体支付宝用户的愚弄,也是对我们这些信息安全研究者的侮辱。 阿里巴巴在这里表现最突出的不是欺骗,也不是邪恶,而是愚蠢。认为死不认账就叫作危机公关了,殊不知裤子是遮不住屎的。下面就让我们看看阿里巴巴屁股帘后面藏的东西。 有问题的文件是pta.dll,这个东西属于“ActiveX控件”,只要装了这个东西,你访问的任何网页都可以通过IE浏览器来调用这个控件。也就是说,如果这个控件有问题,你在访问任何网站的时候,都可能被该网站上的恶意网页攻击,在机器上安装木马。这种漏洞并不是什么稀罕东西,最近几年从Flash到微软的Media Player等都出过很多类似的。而这种漏洞也是目前国内木马最为流行的传播方式。 明白了漏洞是怎么回事,再让我们来看看阿里巴巴的登陆控件到底有没有这个漏洞。是不是像“专家检测”的那样:“并未发现上述问题及其它隐患”。 先让我们来访问淘宝的登陆页面: http://member1.taobao.com/member/login.jhtml 如果你以前没有安装过支付宝的控件,这时候就会看到一个安装的提示。在网页上点击右键,察看源代码,在其中搜索“aliedit”,你会看到类似这样的两行: https://img.alipay.com/download/1009/aliedit.cab http://img.alipay.com/download/1009/aliedit.exe 这两个都是支付宝的控件,前者是可以通过IE提示你安装的,后者是你可以手工下载安装的。控件的当前版本是1.0.0.9。 阿里巴巴在技术方面的愚蠢之处就是在事发后,仍然把各个版本的登陆控件保留在服务器上。所以我们可以通过访问下面这些链接取得所有版本的控件: http://img.alipay.com/download/1006/aliedit.cab http://img.alipay.com/download/1007/aliedit.cab http://img.alipay.com/download/1008/aliedit.cab http://img.alipay.com/download/1009/aliedit.cab http://img.alipay.com/download/1006/aliedit.exe http://img.alipay.com/download/1007/aliedit.exe http://img.alipay.com/download/1008/aliedit.exe http://img.alipay.com/download/1009/aliedit.exe 当然,本文发布后,阿里巴巴十有八九会把1.0.0.9之前的版本删除。不过我相信,在他们删除之前,已经有足够多的人看到了这篇文章,下载了这些文件。并且我已经把存在漏洞的1.0.0.7版文件传到了这里: http://tombkeeper.googlepages.com/1.0.0.7_aliedit.cab http://tombkeeper.googlepages.com/1.0.0.7_aliedit.exe (相信阿里巴巴的活动能力不至于能从googlepages上删除文件,所以本文涉及的所有文件一律放在googlepages上。) 那么上面这些文件会不会是我伪造的,用来陷害阿里巴巴的呢?ActiveX控件的一大特点是必须有数字签名来保证其身份。请大家在aliedit.cab或者aliedit.exe上单击右键,察看其属性。在属性窗口里有“数字签名”这一栏。任何人通过察看这里都可以确认该程序是由阿里巴巴发布的。 如果你不太懂为什么数字签名可以证明这个程序的确是由阿里巴巴发布的,请致电专业的数字认证公司“天威诚信数字认证中心”(010-84603568 转 708),问问他们,数字签名是不是能够认定这一点。 没考虑数字签名这个茬,这是阿里巴巴在这件事情上第三个愚蠢之处。 存在漏洞的pta.dll是从1.0.0.7版开始有的。这个1.0.0.7版的数字签名时间是2006年2月22日 23:00:31,也就是说差不多也就在这个时间之后不久发布。1.0.0.8版控件的签名时间是2007年2月7日 22:30:09,在这个版本中,pta.dll被修复。从2006年2月到2007年2月,这个危险在我们的计算机上差不多存在了一年。 那么这个1.0.0.7版的控件到底有没有安全漏洞呢?现在大家都升级了控件,怎么测试呢? 很简单,从这个地址下载1.0.0.7版控件,然后关闭IE等浏览器安装控件: http://img.alipay.com/download/1007/aliedit.exe 如果上面这个地址已经下载不到东西,那就是阿里巴巴已经动手删除了,大家可以从我这里下载: http://tombkeeper.googlepages.com/1.0.0.7_aliedit.exe 下载后请察看一下数字签名,确认是“ZHEJIANG ZHIFUBAO NETWORK TECHNOLOGY CO., LTD.”发布的,而不是我造的假。 安装时会提示“目标文件已存在,而且比源文件要新”,点击“是”确认安装。如果提示要重新启动,就重新启动,否则旧版本控件不会生效。 然后访问下面这个链接,这是cocoruder提供的一个测试代码,如果执行成功,会运行系统的“计算器”;即使不成功,也会让IE出错崩溃: http://tombkeeper.googlepages.com/alipay_1007_calc_poc.htm 现在任何人都可以确定无疑地知道,在2007年2月8日之前,阿里巴巴的支付宝控件的确是有极其严重的漏洞的。 事情到此结束了么?还没有。 我昨晚抽空看了一下修复了漏洞之后的1.0.0.9版本的pta.dll,发现这个文件仍然有问题,虽不至于导致入侵系统,但还是可以导致IE浏览器崩溃。 无论你的支付宝控件是什么版本,即使是最新的,访问下面这个URL都会导致IE崩溃: http://tombkeeper.googlepages.com/alipay_1009_crash_poc.htm 根据操作系统和IE版本的不同,你可能会看到类似这些的窗口: 那么作为普通用户,如何保护自己呢? 很简单,运行系统的“命令提示符”,在其中输入: regsvr32 /u %SystemRoot%\System32\aliedit\pta.dll 这样就解除了pta.dll在系统中的注册,任何网页都无法调用它。大家再访问上面的链接就不会崩溃了。
阅读全文

旧文收集(二)

2007-02-07

秋雁斜飞,寒月无辉。 瘦竹惹风,枯苔化灰。 揽枕欲眠,清酒来催。 思彼霏霏,云胡不归。 曾经写过一批相当风骚的东西。有些没什么毛病,但是也没什么意思,另一些恰恰相反。这就是恰恰相反那些里面的一个。之所以现在拎出来,主要是因为这段古风曾经得到曹biu和曹biu夫人的青睐。
阅读全文

旧文收集(一)

2007-02-06

铁笔插深潭 倒写文章天作纸 石钟悬幽洞 乱报时辰水当锤 上联据说是宋朝一吴姓书生看到车八岭的石笋时即兴所书,却想不出下联,后来韩愈(感谢云舒提醒,要不然我还没发现“韩愈”在这里穿越了时空隧道。此处保留不改,提醒自己网上找来的资料不可不推敲。)和苏东坡也尝试过,可惜也没有结果。2003年,一位朋友在当时的nsfocus论坛上贴出这个上联。我当时还比较有闲情逸致搞搞这些,于是对了两个下联。一是“石钟悬幽洞 乱报时辰水当锤”,写石钟乳;另一个是“石台坐平川 横走车炮山为盘”,写棋盘山。后来考虑还是前者较佳。以前思考过很多历史上的“绝对”,也对了一些,不过迄今为止还是觉得这个比较满意。
阅读全文

给iPAQ rx3715换屏

2007-02-03

Arrow的iPAQ rx3715不幸被弄碎了屏幕,开机之后就是这样: 因为已经过了保修期,在HP客服那里换个屏得1600。而现在买个二手3715也不过1300而已,这太黑了。 我让Arrow自己去买个屏,我来换。于是Arrow在淘宝上买了一个,三百多块。我拿到手看了一下,是拆机屏,不过肯定是原装货,这个价钱还可以。 一动手拆,这才感觉到HP的工业水平确很牛,无论是设计、做工还是用料都非常棒,无可挑剔。特别是外壳的设计,简直太用心了。卡榫既容易拆装,又牢固可靠。连一根小小的喇叭线都专门设计了支架来固定。虽然rx3700系列也是HTC带工的,但是和多普达手机的做工比起来,那就是中南海紫光阁和县文化站小礼堂的区别。 因为都是模块化设计,也不用焊接,换屏并不是什么困难的事。主要遇到的一点麻烦是在拆液晶屏的时候。上面这张图右下角和左下角这两部分把液晶屏夹在中间,而因为做工精细,所以看上去似乎是一体的,刚开始没想到这两部分能拆开,所以在放大镜下看了半天。只要拆开这两部分,液晶屏是很容易取下来的。全部装好后,戳一下底部的Reset,OK:
阅读全文
1...27282930313233