2007年9月1日 星期六

資訊科技保安顧問的意見

多個立法會議員和政府的電郵密碼被一個瑞典網站公開,蘋果日報有如下報導。

藍天蔚從朋友傳來的電郵中,看到瑞典網站的資料,從網頁上的資料判斷,黑客明顯是進入了這些人的電郵server內取得login account同密碼,而不是憑猜測估中密碼再公開,也不應是hack了入個人電腦。因為,百多個電郵中,很多屬於同一個ip address,有很多機構,一次過被公開了多個電郵的密碼,而要在網上找到這些人使用的個人電腦去hack,其實不容易。

如果藍天蔚的估計不錯,那麼藍天蔚便要質疑這個自由黨的保安顧問馮先生的智商及IT的知識。打個比喻,現在是竊匪拿電鑽鑽壞了門鎖入了屋偷野,但這位「保安顧問」,卻告訴大家鎖匙不要四圍放!Come on,就算我將鎖匙吊在條頸,個竊匪都實入到黎,因為他拿電鑽。我們要做的,是要問樓下保安,為什麼他日夜坐在那裡,也會被可疑人入到大廈,還拿著電鑽鑽壞了鎖。

密碼也一樣,馮先生叫我們定密碼用大楷的英文字母,配合標點符號等組成密碼,增加黑客入侵電郵時的難度」但那是email server被入侵。email server被入侵,無論你個密碼幾長、包括幾複雜的符號和數字,黑客都能從web server裡的database拿到。改複雜的密碼,根本不是辦法。不要忘記,密碼改得太複雜,你會忘記。為免忘記,你要寫下,這樣反而增加危險性。

馮先生負責自由黨的server,正是樓下那個看更。他是最應該為這事負責的人之一,現在這樣混淆視聽,抵賴什麼「密碼只包括數字」,不知是否要騙過自由黨的高層不懂IT,將責任推卸給其他人。



立 會 議 員 電 郵 遭 入 侵
譚 香 文 : 可 能 想 睇 有 無 選 舉 黑 材 料
【 本 報 訊 】 多 名 泛 民 主 派 立 法 會 議 員 和 民 間 團 體 , 昨 日 發 現 電 郵 被 黑 客 入 侵 , 部 份 受 害 人 的 登 入 名 稱 和 密 碼 , 更 被 公 然 放 在 網 上 任 人 瀏 覽 。 有 泛 民 主 派 議 員 認 為 , 黑 客 入 侵 發 生 在 區 議 會 和 港 島 區 補 選 前 夕 , 可 能 是 有 人 想 透 過 入 侵 電 郵 , 索 取 資 料 進 行 政 治 抹 黑 。 專 家 指 要 提 高 電 郵 的 保 安 性 , 用 戶 可 用 大 楷 英 文 字 母 , 配 合 標 點 符 號 等 組 成 密 碼 , 增 加 黑 客 入 侵 的 難 度 。   記 者 : 林 俊 謙

近 日 一 個 網 站 , 出 現 100 個 聲 稱 是 政 府 部 門 和 駐 港 總 領 事 館 的 電 郵 密 碼 , 當 中 包 括 來 自 政 府 新 聞 處 職 員 、 民 主 黨 資 訊 科 技 界 議 員 單 仲 偕 、 公 民 黨 立 法 會 議 員 吳 靄 儀 , 以 及 該 黨 譚 香 文 、 湯 家 驊 的 職 員 、 自 由 黨 劉 健 儀 和 該 黨 4 名 職 員 、 民 協 、 香 港 人 權 監 察 、 民 陣 、 一 國 兩 制 研 究 中 心 , 以 及 印 度 、 塔 吉 克 和 哈 薩 克 駐 中 國 領 事 館 的 電 郵 登 入 名 稱 和 密 碼 。
政 府 新 聞 處 回 應 表 示 , 上 述 「 職 員 」 的 電 郵 戶 口 並 不 存 在 。 政 府 資 訊 科 技 總 監 辦 公 室 表 示 , 近 日 並 無 收 到 任 何 有 關 黑 客 入 侵 政 府 網 頁 的 報 告 , 又 指 政 府 部 門 一 直 都 有 適 當 的 網 上 保 安 。
民 協 昨 日 透 過 傳 真 表 示 , 昨 日 收 到 政 府 資 訊 科 技 總 監 辦 公 室 的 通 知 , 指 該 會 的 電 郵 疑 遭 黑 客 入 侵 , 並 將 電 腦 的 密 碼 在 互 聯 網 上 公 開 。 民 協 強 烈 譴 責 有 關 行 為 , 決 定 向 警 方 備 案 , 及 全 線 暫 停 使 用 電 郵 通 訊 。

英 文 符 號 密 碼 較 保 險
公 民 黨 立 法 會 議 員 譚 香 文 表 示 , 每 逢 選 舉 前 夕 , 該 黨 電 郵 被 黑 客 入 侵 情 況 就 特 別 嚴 重 , 估 計 是 有 人 想 在 區 議 會 和 港 島 區 補 選 前 夕 , 透 過 入 侵 電 郵 索 取 資 料 , 在 選 舉 進 行 政 治 抹 黑 , 「 可 能 有 人 係 想 睇 電 郵 當 中 , 有 冇 選 舉 黑 材 料 。 」
單 仲 偕 表 示 , 對 黑 客 入 侵 不 感 意 外 , 「 就 算 黑 客 睇 唔 到 , 共 產 黨 都 一 定 hack ( 入 侵 ) 到 ! 」 他 每 日 均 會 使 用 上 述 電 郵 , 並 不 時 改 變 電 郵 密 碼 , 以 加 強 保 安 性 ; 他 在 得 悉 事 件 後 , 已 即 時 改 變 電 郵 密 碼 。

目 前 為 自 由 黨 處 理 網 上 保 安 、 資 訊 工 房 有 限 公 司 資 訊 科 技 總 監 馮 德 聰 分 析 , 以 是 次 黑 客 入 侵 多 名 立 法 會 議 員 的 情 況 評 估 , 假 如 有 關 電 郵 有 提 及 港 島 區 補 選 協 調 資 料 , 「 好 可 能 已 經 畀 人 睇 晒 」 。 他 指 今 次 被 入 侵 的 電 郵 , 不 少 密 碼 都 只 用 數 字 組 成 , 如 果 市 民 要 提 高 電 郵 的 保 安 性 , 可 以 用 大 楷 的 英 文 字 母 , 配 合 標 點 符 號 等 組 成 密 碼 , 增 加 黑 客 入 侵 電 郵 時 的 難 度 。

13 則留言:

匿名 提到...

個黑客有冇咁勁呀

藍天蔚 提到...

Michael:

你「有無咁勁」的意思是什麼? hack入web server? 香港的IT Security其實做得唔太好。hack到入去,一點也不出奇。同埋,hacking有好多工具可以用...唔使自己寫program.

藍天蔚

匿名 提到...

其實佢提供既意見都唔係無用,因為email server內儲既並唔係密碼既明碼,而係密碼既hash碼,login既時候就將輸入既密碼既hash同儲起既hash作一比較。

由於唔能夠由hash取得密碼,亦唔能較直接輸入hash黎login,所以呢種方法能夠阻止server輕易被人hack走密碼既機會。

要破解呢種密碼既方法唯有用brute force(即係用盡所有字母組合,aaa, aab, aac咁去試)破解,但若果字母組合足夠複雜(大細階字母,數字及符號),用brute force法所需既時間可以無限咁耐。但若果用簡單細階單詞組合作密碼,黑客就可以用字典法(即係用字典內既單字作組合)輕易破解。

藍天蔚 提到...

匿名:

真的那麼難嗎?如果那不是unix server,而是window server呢?

這兩個只是我隨便在google上search得來的,hash 的密碼也能輕易地轉回看得明的密碼
http://www.5ihack.com/article/hacker/aggress/2007010125347.html
http://lasecwww.epfl.ch/~oechslin/projects/ophcrack/index.php?hash=aad3b435b52504eeaad3b435b51404ee%3A341a5fc73d7ea5980a028094afc0eaa0#Demo

如果我也找到的工具,我相信hacker也一定找到。能譯hash碼,密碼多長也沒有意思了。

藍天蔚

匿名 提到...

第一條連結己經去唔倒,第二條連結裡面既ophcrack,其實係以一種叫Rainbow Table既方法為基礎係一種time-memory tradeoff既方法。

簡而言之,就係先計算出所有可能既password組合相對應既hash值,然後儲存起黎使用既方法。好處係可以非常快既速度搵倒某個長度以內,某特定字符組合(例如純小寫英文)組合而成既密碼。

但係當你將密碼長度稍微加長(例如8-9個位),或同時加入數字或標點符號,所組合而成既rainbow table就會大至不切實際(試想像,一個小寫8位英文的密碼所需的rainbow table,考慮到就要比8位密碼要大26倍,9位rainbow table就要比7位大26 x 26 = 676倍)。

以下摘自wikipedia內對rainbow table的解釋:

"Also, Rainbow tables tend to have little or no success when extrapolating outside the range of symbols or password length computed into the table. So, choosing a password that is longer or contains symbols not accounted for inside a Rainbow table can be very effective. Because of the sizable investment in computing processing, Rainbow tables beyond 8 places in length are not yet common. However, certain intensive efforts focused on LM hash, an older hash algorithm used by Microsoft, exist in the public domain; for example, the rainbow table available from the Shmoo Group."

http://en.wikipedia.org/wiki/Rainbow_table

Unknown 提到...

有時,報紙只會節錄他們認為重要的東西,我這個被訪者吹鬚碌眼都無符。

那天的訪問超過半小時,我給他們的資料極多,但他們都無用到。那個記者林俊謙根本就唔明......「捉到鹿唔識脫角」。

最後,我唯有千叮萬矚叫他寫出密碼的重要性。 你估我想草草了事!

幾日後和單仲楷午飯,提到他的e-mail是host在udomain,使用Window Server,行 Ipswitch-IMail/7.15 ,他自己都未知乜事,莫乃光也在場,還告訴我單仲楷密碼中的Yvonne正是單的妻子,0328是不是生日就唔清楚啦.......

udomain 的server 肯定無上patch,2007-03-07 http://secunia.com/advisories/24422/ 已公佈Ipswitch-IMail/7.15有漏洞,可以觸發棧溢出,導致執行任意代碼。

我連呢點都查出了,但報紙唔寫,奈何?

比你話無料到的「馮德聰」
http://www.mindfarm.com

Unknown 提到...

p.s. : 敝公司管的,是自由黨的server

由2004年初至今差不多四年了,和hacker「開大片」十數次了,今次終於衰在"123456" 和 "12345678" 的密碼身上,我都無話可說啦。但我就肯定密碼表無洩露,但人家用「字典檔」24小時掃20000多次的掃出密碼來,我都要認輸啦。

而家,我們連維修用的ssh port都閘埋,算暫時無事啦,plan緊up grade 啦,政黨錢,你估易搵?

藍天蔚 提到...

多謝馮生大駕光臨,不過你沒有解答我的煩惱。原來IT公司,包括閣下果間,係容許D黑客不停咁做 Dictionary Attack,咁我用123456和電話號碼 (一如閣下所管的自由黨server的好幾個用戶),還是用@^%$#&@%$,其實分別根本不大,因為server任人試密碼,總有一日試得到。

而且,就筆者所見,其他好幾個政黨的人,用的密碼大多又數字,又英文字母,已經符合一般的要求,反而自由黨的人,就好幾個人都用數字, 閣下沒有好好指點自由黨成員,還有面接受記者訪問,批評人家的密碼,都算面皮厚,也算讓筆者大開眼界。

老實說,在一般的民間機構,將web server 外判有什麼出奇,黑客要拿密碼,我們使用者就是靠你們這些人把關。無論用Window server也好、用unix還是linus都好,如果你地D人唔「做好你份工」,我地改咩密碼都無用。而家 使用者無唔見密碼,閣下係IT人,負責看門口,自已任人地企係門口通宵試密碼,就賴人地個密碼太簡單,24小時試到。等於樓下個看更,睇住有人係咁試百合匙,你係咪都expect佢趕個人走或者報警? 你而家賴人地裝個鎖太容易有百合匙? 唔係卦?馮生。

政黨的錢唔易賺.......唔通唔使做,就比你咩,我返工夠辛苦咯!不過你呢個意見,我會想辦法幫你轉告自由黨中人,多謝你咁坦白!

匿名 提到...

http://www.spidynamics.com/spilabs/education/articles/brute-force.html
請參考: Other Defensive Strategies – And Why They Don’t Work

大意係,若果每次遇到dictionary attack就停account,就等於將個account既控制權雙手奉送俾人。個hacker幾時想停個account,只要搵個字典機撞一撞佢就搞掂。

就算用到ip address去lock out account亦都冇用。hacker只會搵倒種左Trojan既彊屍撞入黎,一部lock左搵第二部。再甚就算你用subnet形式去lock(譬如要lock哂所有來自Netvigator network既機),呢啲機既地理位置來自全世界,又可以block得幾多個。

Unknown 提到...

多謝匿名君,至少你明白我們的難處。

至於改密碼方面,我們根本就無辦法完全控制User的決定,講幾o左千次啦,佢地又偷偷改翻做自己那幾個萬年密碼.....我地教那班尊貴議員? 比人鬧返轉頭都試過啦!

而家衰o左咪聽人講囉。

還有,據我們重log記錄估計,他們共使了超過一個月。 你唔知就唔好亂估啦。

那些「用的密碼大多又數字,又英文字母,已經符合一般的要求」的,據外國的專家估計,應該是整個password table被hack去了,所以才有那麼詳盡的資料。和你的估計正相反,他們的系統才是最不安全。

看一看匿名君的連結罷,批評容易,但真正懂的人一看問題,便會知到誰懂誰不懂,我多說也無用。

藍天蔚 提到...

匿名:

即使你quote的文章,也提到有delay strategy去應付。若說無法對付Dictionary attack,似乎說不過去。這是你提供的資料。

藍天蔚

藍天蔚 提到...

馮生:

如果你說技術理由,是令common sense不成立,便令我很驚訝。我不是programmer,也不需要是。有沒有管過server,不礙評論,因為地球上有件事情叫common sense。無論密碼是被整個表偷去,還是被黑客用Dictionary attack撞中,將其說成不關你們技術人的事,「無話可說」,都是不負責任。

我們使用者的責任,是確保自己沒有漏露密碼、自己的電腦沒有被hack。用123456或password做密碼,不用hacker tools都可以撞中,是弱智行為,關人鬼事,不可理喻。但有些密碼其實頗複雜,例如:9cxh6gpy, T5a*4V#K都不應該「撞中」。可是你們「識野人」又說
server內儲備的密碼是hash碼,偷了也還原不了,與閣下所說偷了密碼表不符。

如果使用者沒有失去密碼,無是被偷密碼表,還是被撞中,責任都歸於你們管理server的這些人士,不應怪罪使用者。你管理的server任由黑客撞密碼撞一個月的嗎?

如果你的東西鎖在銀行保險箱,而銀行說,因為有個賊,天天守在銀行門口,有一天找到機會,偷了保安員的鎖匙入到保險庫,偷了你的東西,所以「唔關佢事」,最衰你個保險箱內放的東西細件,容易比人拿走,你會不追究嗎?

可是,你的理由就如同那間銀行一樣荒謬。

再說,閣下管理的server,被「撞中」的,也不止是123456,還有一個密碼,是x105~10a,夠複雜了,到底是撞中,還是被偷了密碼呢?如果這個也是撞中,那麼閣下的建議,即是「配合標點符號等組成密碼,增加黑客入侵電郵時的難度」,豈不是廢話?

藍天蔚

匿名 提到...

I loved as much as you'll receive carried out right here. The sketch is attractive, your authored material stylish. nonetheless, you command get bought an impatience over that you wish be delivering the following. unwell unquestionably come more formerly again as exactly the same nearly very often inside case you shield this hike.

Feel free to surf to my web page funny nun pictures