安全開機： 用戶棄權， 微軟集權， 世界變得更不安全

安全開機 (secure boot) 是什麼? 微軟的這篇簡概觀介很值得讀。 安全開機要確認的是 「作業系統載入之前， 只有獲得授權的程式碼可以執行」。 但是它說的是 誰的 授權? 微軟沒告訴你的是： 安全開機真實的目的是 叫使用者棄權、 讓微軟可以集權。 最近的資安事件也證實了： 「安全開機」 對於用戶的安全並沒有幫助， 只是助長了微軟的集權， 甚至因為權力過度集中而傷害了電腦生態系整體的安全。

chrome 版的 line 無法登入? 因為它跟 [保護你隱私的] privacy badger 衝突

[6/26 再測試： 現在已經沒有衝突， 啟用 privacy badger 時， 一樣可以登入 line。]

五月底六月初開始， chrome 版的 line 沒有辦法登入。 即使帳號密碼明明完全正確， 它還是出現 "Unable to log in at this time. Please try again in a moment." 登入畫面右邊的 QR code 登入功能， 雖然我從來沒在用， 但是很明顯地也是同一時間開始， 一打開 line 擴充套件就出現錯誤訊息。 Chrome store 上面看到其他人也有相同問題。 原來是因為 privacy badger 把 line 用到的某些函式庫判定為侵犯隱私的程式碼。 停用 privacy badger， 就又可以登入 line 了。

sshd/xz 後門事件閱讀連結

蒐集了一些關於 sshd/xz 後門事件 的連結。 如何測試自己的系統有沒有中鏢？ strings `which xz` | grep '5\.6\.[01]' 如果沒有印出任何東西， 應該就是安全的。 Kali linux 教你 以身試火。 圖解後門事件時程與機制 (右圖出處)。 測試： 自己扮演壞人。 Bash 階段解說 之一 / 之二。 黑帽駭客 Jia Tan 奪權詳細編年史。 想讀更多？ 大推 wired 的文章： "The XZ Backdoor: Everything You Need to Know"、 arstechnica 的文章： "What we know about the xz Utils backdoor that almost infected the world"、 jfrog 的文章： "XZ Backdoor Attack CVE-2024-3094: All You Need To Know" 這幾篇裡面各有許多連結。 (上述檢查指令出自 jfrog 的文章。)

為什麼一直都還沒有出現令人信任的電子投票系統？

2020年美國總統選舉，川普連任失敗。 在他的言詞鼓勵之下，隔年一月支持者衝進國會山莊，造成流血衝突。 煽動和執行暴力行為固然應該受到譴責； 引發川普支持者不滿的制度面根本弊病更需要拿出來放大檢視。 否則以後不論哪一黨勝選，都很可能會重複發生類似的不滿與抗爭 -- 就像2017修法之前我國的 「數學不及格公投法」 一樣： 制度的缺失導致每一次的公投都被操作成 「要投票vs不要投票」， 而主要的議題永遠被棄置一旁。

不懷好意的 app 內嵌瀏覽器

當你在手機或者平板的某個 app 裡面點下一個超連結的時候， 這個 app 應該要把你帶到手機預設的瀏覽器。 從工程 (運算思維：模組化) 和善用手機資源 (減少重複的程式碼) 的角度來說， 這才是最正確的做法； 相反地， 每個 app 自己內嵌一個瀏覽器 (開發者稱之為 webview 的技術)， 在絕大多數情況下是很爛的設計。 [一些可能的例外狀況：這個 app 並沒有要提供任意上網功能， 只是要離線顯示幾個 html 文件。 或是這個 app 有 webapp 版， 當手機版要顯示某些「登入帳號才可以看的頁面」時， 採用 webview/內嵌瀏覽器技術也是合理的。 例如銀行/金融相關 apps。]

遠距監考的代價：隱私、數位機會均等、電腦自主權

如果被大環境所逼迫， 學生們必須在游泳池裡上體育課， 田徑老師應該要求學生像在陸地上一樣地正常跑步嗎？ 如果賣教學輔具的廠商已經成功地把 「錨定延長雙腿組」 推銷給校方， 讓學生戴上後可以穩穩地踩在兩公尺深的池底走路， 又可保持頭在水面上正常呼吸， 身為田徑老師的你， 會要求學生採用嗎？ 瘟疫蔓延下， 線上考試防弊成為老師們的一大挑戰； 美國許多大學幫老師們 採購了監考軟體以便防止學生作弊， 這類的 「教學輔具」 卻帶來更嚴重的副作用與新的頭痛問題。

關於 1922 簡訊實聯制的一堂通識課

我一直覺得資訊科普知識的普及遠比全民寫程式更重要許多。 唐鳳政委的 1922 簡訊實聯制 獲得各界好評； 卻也還是遭到 淡江大學包正豪院長的扭曲批評。 作為一位 「資訊科技與社會」 的通識教師， 我覺得有必要看得比一般人感受到的 「方便」 更深入， 馬後炮來解說一下 1922 簡訊實聯制的美妙之處。

掌控你的蘋果電腦？ [騙你安心的 VPN 及防火牆]

蘋果最近推出的 macOS Big Sur (macOS 11) 默默地讓蘋果本身的應用程式繞過用戶的 VPN 與防火牆設定。 採用 VPN 的效果之一， 就是可以讓遠方的網站不知道你真實的 IP/地理位置； 而防火牆則可以進一步用來完全阻斷電腦內的軟體與遠方網站的訊息傳遞。 蘋果讓用戶使用這兩個功能、 讓用戶以為自己的隱私受到保護， 就像是拉上了窗簾或關上了大門一樣安全； 卻又令人費解地 授予蘋果自身的應用軟體特權， 可以繞過用戶已關上的窗簾與大門。 更奇怪的是， 蘋果從未向用戶公告此事； 研究人員早早向蘋果反應此事， 蘋果也置之不理。 iThome 的報導有更多的技術關鍵詞； Whose computer is it 一文提供了麻煩且不完整的解決方案 (例如會導致 iMessage 無法傳遞附加檔案)； 不過本文想探討的不是技術細節， 而是蘋果電腦長期以來的神秘態度。

惡意產品資安事件記事本

2013 年 Edward Snowden 爆料美國國安局的全面電子監控， 我也在部落格上接連著摘要了幾年的相關新聞。 後來沒力寫部落格了， 於是大部分的資安相關新聞都以噗浪簡短摘要， 留下了了很多事件的報導連結。 現在我想把這些超連結整理成表格， 方便大家及我自己查詢。 所以我建了一頁 惡意產品資安事件記事本， 邀請大家一起來幫忙填寫。 為了避免惡意塗鴉， 並沒有採用唐鳳所撰寫的 (無政府主義試算表) ethercalc 而是採用需要登入的 google sheet。 想參與協助的朋友， 請 e-mail 給我 (ckhung 在 朝陽科大 點 教育 點 臺灣)， 讓我把你加入編輯群。

由中國發金鑰的 Zoom、 臉腫的教育部、 很政治的技術物

[4/14 略更正] 根據 公民實驗室 4/13 的最新說明 做了一些更正。 重點： 「偷傳金鑰」 => 「即使與會各方都不在中國境內，金鑰仍可能是由中國發的」。 中國握有某些會議的金鑰是事實； 但這件事說是「偷」過於嚴重， 應說是「隱匿」。 總之， 造成的後果是一樣嚴重的。

因應武漢肺炎疫情， 前一陣子許多老師緊急地學會操作 (教育部所推薦的) 遠端視訊會議軟體 zoom。 不料加拿大多倫多大學的公民實驗室研究發現： 部分會議的 密鑰竟是由中國北京的伺服器所派送的 (即使與會各方都不在中國境內)。 ( 原始報告) 立委質詢之後， 教育部又緊急地禁止老師使用 zoom。 這引發許多老師抗議， 包含葉丙成教授： Zoom 好危險、好可怕？！

其實我應該可以算是半個外圍邊緣丙成粉， 雖然沒有特別追蹤葉老師的 FB， 但也不時會從噗友等處看到他的文章， 覺得他能夠兼顧學術研究及社會關懷， 令人敬佩。 不過這件事正好踩到我的雷， 針對上面那篇文章以及整件事， 我必須從幾個層次與角度提出反駁及建議。

讓 iPhone 與 iPad 數秒內淪陷的 62078 蘋果後門

「如果微軟像胖虎一樣惡霸， 那麼蘋果比小夫陰險一百倍。」 我經常用這句話及 指紋解鎖 一事來簡短評論蘋果電腦。 最近特別推薦兩組搜尋關鍵詞： 「生物辨識 國家機器」、 fingerprints usernames not passwords。 其他蘋果後門案例比較難以三言兩語解釋給麻瓜聽， 例如 Operation Triangulation、 airdrop、 假的「關閉隱私資訊傳送」、 騙人的 VPN 與防火牆、 finfisher、 MDM、 iMessage、 iCloud 的 金鑰、 VPN+OCSP、 Find my iPhone、 與 FBI 的曖昧、... 等等。 今天要談的蘋果 usb + wifi 後門也是如此。

為什麼你的 usb 充電線應該要戴保險套？ (為麻瓜寫的 BadUSB 原理與防護)

很早以前就聽說過 名為 BadUSB 的攻擊， 直到最近又看到新聞： 「美政府籲勿使用公共USB充電站」 才認真爬文， 嚇到在電腦前面吃手手～

不必害怕中共政府獨享海康威視監視錄影機後門 因為全球潰客都進得來啊

你家、 你們公司/機關的監視錄影器是海康威視的嗎？ 你對 維吾爾族集中營 (以及他們的 大遷徙) 可能並不關心， 可能也不在乎美國打算以 「侵犯維吾爾族人權」 為理由 (還是為貿易戰找施力點？) 即將制裁海康威視； 但是資訊安全議題總該關心一下。 不確定廠牌嗎？ 快去檢查一下， 因為 海康威視打趴台灣整個安控產業， 有很高的機率你們買的可能就是海康威視的產品。

Line 不僅是高牆花園， 也是國安要害

許多網路服務被設計成 高牆花園 (Walled Garden) ( 維基百科)， 藏在便利美觀的介面底下的， 是綁架用戶資料的脅迫手段。 「深鎖在臉書裡的數位回憶」 一文解釋了個人一生數位生活回憶被 facebook 綁架的危險。 不過跟 line 比較起來， 就連封閉的 FB 都相對變成一個開放、 尊重用戶的平臺。 臺灣人對它的依賴程度卻比依賴 FB 更深， 甚至已到了危及國家安全的地步。

藏在 CPU 裡面的小小太上皇 CPU： Intel ME 跟 AMD PSP

多數自由軟體用戶 （包含我） 以為採用了 GNU/Linux 作業系統， 資訊安全就有了基本保障 -- 不敢說沒有 bugs， 但至少不會有後門。 有時我們被迫使用沒有原始碼的週邊裝置 （例如 wifi） 驅動程式， 不過至少作業系統主體是安全的。 但是如果後門藏在電腦最重要、 最核心的硬體裡面呢？ 如果廠商在你以為的 「（宿）主」 CPU 裡面藏一顆更小的崔順實太上皇 CPU、 上面跑的是不明的作業系統、 隨時監控著 「（宿）主」 CPU 和 「（宿）主」 作業系統的一舉一動呢？

臉書和 flash 教授表示： 你的電腦被勒贖， 干我屁事！

長期以來， Adobe 所展現的一直是 輕忽客戶資訊安全與隱私的文化。 2015 年潰客最愛的十七個安全漏洞， 其中十三個來自 adobe flash。 因此， 有安裝 flash 的電腦， 被勒贖軟體入侵的機會明顯大過沒有安裝 flash 的電腦。 但是當你不幸中鏢時， 只會悔恨自己不該手殘按下某個鍵， 卻從來不會想到是誰幫潰客舖好通往你家的入侵大道。

危物聯網

從技術的角度來看， 你可以說物聯網只不過是網際網路的延申， 只不過是讓更多內嵌了小電腦的家電、 公共設施、 交通工具、 無人載具連上了網際網路。 但是因為 「可以內嵌小電腦」 的這些東西， 彼此之間的差異性遠大於一般桌機或筆電之間的差異性， 所以它們帶來很不一樣的問題。 本文探討物聯網天生的資安挑戰。

你的網路攝影機更新韌體了嗎？

網路攝影機好方便。 透過它， 你可以從別處用手機連線檢視家裡或公司的影像。 但是既然這些裝置連上網路， 會不會有其他 「網路人甲」 也在偷窺你家， 甚至跟你家裡的小朋友互動呢？ 多起案例顯示： 它甚至可能成為潰客入侵你的家用網路的跳板。

FBI 要求蘋果開的， 算是後門嗎？ 自己的隱私自己顧

[2016/3/12 改寫及回應] FBI 要求蘋果解鎖殺人兇手的 iPhone， 蘋果拒絕。 T 客邦有一系列報導。 我想從用戶自主權 vs 廠商控制權的角度來看這個問題。 我沒用過 iPhone， 更完全談不上是 iPhone 專家。 但是就算不是很懂技術， 也應該要了解自主權 vs 控制權的問題。 對技術有興趣的朋友可以看文中連結指向真正的專業技術分析。

中國試運轉進擊的網路巨砲， 拿臺灣瀏覽器當砲彈； 人權網站覆滿砲灰

採取守勢的防火長城 （Great Firewall of China） 已經無法滿足中國政府對網路世界的掌控慾。 最近網路巨砲 （Great Cannon） 上線試運轉， 顯示中國已有能力對全球任何一個主張言論與資訊自由的網站 （或者其他任何 「中共看不爽」 的網站） 全面炮火猛攻。 三月下旬， 程式設計師交換程式碼的網站 github 上面兩個與言論/上網自由相關的帳號/專案遭到 DDOS （分散式 阻斷服務攻擊）。 原來是境外訪客造訪中國某些網站時， 位於防火長城附近的伺服器竄改百度的程式碼， 惡意地讓訪客變成不知情的共犯 -- 他們的瀏覽器會不斷地向 github 要求取得特定兩頁面的程式碼， 造成 github 流量驟增， 難以招架。 而臺灣訪客則佔了 「不知情共犯」 的最大宗。