關於此次 wxid->phone 的洩漏,個人想提的問題主要是 wxid 性質的方面。
目前有證實的傳言簡而言之:有可出 wxid->phone 即時綁定的 api 接口。
wxid 是小寫英文和數字組成的長度 14 的獨一 id,若沒有 phone->wxid 接口,那麼窮舉 36^14 的數量級是不現實的。這種情況下, wxid-phone 無法被做成 database 形式,只要 api 缺陷被堵,事件就完全告終。沒成 db 一般不會賤賣查詢,但目前顯然是已經有在賤賣的了。
那麼理應也會有 phone->wxid 反向的方法並有拖出 db。但若產生了 db 形式,那就盈利而言,拍賣通常優先於提供查詢(收益高,參考上海公安等),而拍賣必然會有其規模大小的公開。
想象若 phone->wxid 的 api 不存在,那麼產生 db 的前提是蒐集足夠多的 wxid。什麼樣的渠道可以獲取到數億 wxid 呢?是有很多的,可以自行想象一下。
phone->wxid 之 api 的存在性我不做過多猜測,但我個人暫時傾向於認為:db 尚未成型、api 與某些中國官方機構有關、普通用戶可考慮改綁至非 +86 手機號、EU/US 會開罰。
目前有證實的傳言簡而言之:有可出 wxid->phone 即時綁定的 api 接口。
wxid 是小寫英文和數字組成的長度 14 的獨一 id,若沒有 phone->wxid 接口,那麼窮舉 36^14 的數量級是不現實的。這種情況下, wxid-phone 無法被做成 database 形式,只要 api 缺陷被堵,事件就完全告終。沒成 db 一般不會賤賣查詢,但目前顯然是已經有在賤賣的了。
那麼理應也會有 phone->wxid 反向的方法並有拖出 db。但若產生了 db 形式,那就盈利而言,拍賣通常優先於提供查詢(收益高,參考上海公安等),而拍賣必然會有其規模大小的公開。
想象若 phone->wxid 的 api 不存在,那麼產生 db 的前提是蒐集足夠多的 wxid。什麼樣的渠道可以獲取到數億 wxid 呢?是有很多的,可以自行想象一下。
phone->wxid 之 api 的存在性我不做過多猜測,但我個人暫時傾向於認為:db 尚未成型、api 與某些中國官方機構有關、普通用戶可考慮改綁至非 +86 手機號、EU/US 會開罰。
Forwarded from MatsuriNano 杂谈
SagerNet 等软件的“安全建议”,就是那个红色的叹号,实际上是非常鸡肋的功能。下面我简单喵几句。
一、节点安全 不等于 不会被发现翻墙/不会被阻断
反例:1.你使用了全加密的ss,墙判断为随机流量,有概率被阻断。
2.你使用了 TLS 并设置好证书校验,但你服务器/客户端程序有特征,被扫描/识别了,有概率被阻断。
3. 今天刚好是6月4日,有概率被戒严部队指挥部阻断。
4. 你在国产系统上安装了 Clash For Android,这是诈骗软件,系统会建议你接受反炸教育。
二、节点安全 不等于 流量不会被解密/不会泄露任何信息
反例:1. ss vmess这种没有前向安全性的协议,一旦同时拥有抓包文件和密码,就能解密。但是安全建议没说。
2. TLS这种协议握手期间包含特别多的信息,比如sni alpn和证书。但是安全建议没说。
3. 你使用的机场/VPS提供商/手机系统/app都非常爱国,实时记录你访问的网站并上报国家反炸中心。但显然不可能有人告诉你。
三、节点不安全 不等于 流量会被解密
虽然存在可能性,但目前没有GFW实时解密的报导。在国际出口上部署解密是不现实的,倒是要注意某些商业防火墙可能有这种小动作。
四、节点不安全 不等于 会被封
除去流量特征,这也是一个运气问题。
综上,安全建议不仅不能阻止用户作死,而且有误导的嫌疑。实属无用的功能。
一、节点安全 不等于 不会被发现翻墙/不会被阻断
反例:
2.你使用了 TLS 并设置好证书校验,但你服务器/客户端程序有特征,被扫描/识别了,有概率被阻断。
3. 今天刚好是6月4日,有概率被戒严部队指挥部阻断。
4. 你在国产系统上安装了 Clash For Android,这是诈骗软件,系统会建议你接受反炸教育。
二、节点安全 不等于 流量不会被解密/不会泄露任何信息
反例:
2. TLS这种协议握手期间包含特别多的信息,比如sni alpn和证书。但是安全建议没说。
3. 你使用的机场/VPS提供商/手机系统/app都非常爱国,实时记录你访问的网站并上报国家反炸中心。但显然不可能有人告诉你。
三、节点不安全 不等于 流量会被解密
四、节点不安全 不等于 会被封
综上,安全建议不仅不能阻止用户作死,而且有误导的嫌疑。实属无用的功能。
https://gfw.report/publications/usenixsecurity23/zh/
建議閱讀全文。
重點並不在於此時用怎樣的方案可以實現如上的「Shadowsocks 直連」,而在於 GFW 策略的演進。
不變的是檢測方案依舊簡單高效。
變化的是,比先前的主動探測機制更允許了誤判誤殺,但也透過不同 IP Range 的區別處理以補正這一不良影響。
這一變化已經生效了超過一年(文中稱 2021.11),判定對象也遠非(偽)隨機流。我們需要考慮更加在意偽裝能力的實作,已是不爭的事實。在流行 WebSocket/grpc/kcp 並更多地使用 (D)TLS 的當下,IV 開頭且通常並行的(偽)隨機流是否將成為對抗 GFW 的歷史,答案似乎已經很明確了。
題外話是,我認為將激進方案作為保守目的之方法,這樣的思維方式的轉變對於某國來說,應是不僅限體現於網路審查上。
話再說回來。這一判定邏輯是一種流氓式的「小聰明」,針對其的暫時繞過方案亦是如此。這不會是終點,只是車輪戰,而預計會以 GFW 的某種「智慧」告終。目前而言確實全盤否定了危言聳聽中的「GFW 機器學習論」(真是太瞧不起機器學習了)。但,基於 IP Range 的區別處理,也符合我在 GitHub 443 L4 劫持事件時就提出的路由表 & 處理層的模型(當然實際方案應該是更緊湊優秀的),這一模型是一定可以擴展至比「小聰明」走得更遠、實現更複雜可靠。當我們考慮長期開放的方案,我們應當考慮可能有效的複雜分析,包括但不限於早就存在於理論中的長度、時序、擁塞控制方式和並行特徵分析,以及研究其錯殺率。
近期我可能會釋出一批針對對抗 GFW 常用的 proxy/tunneling 相關工具鏈的簡易探測 PoC。
建議閱讀全文。
重點並不在於此時用怎樣的方案可以實現如上的「Shadowsocks 直連」,而在於 GFW 策略的演進。
不變的是檢測方案依舊簡單高效。
變化的是,比先前的主動探測機制更允許了誤判誤殺,但也透過不同 IP Range 的區別處理以補正這一不良影響。
這一變化已經生效了超過一年(文中稱 2021.11),判定對象也遠非(偽)隨機流。我們需要考慮更加在意偽裝能力的實作,已是不爭的事實。在流行 WebSocket/grpc/kcp 並更多地使用 (D)TLS 的當下,IV 開頭且通常並行的(偽)隨機流是否將成為對抗 GFW 的歷史,答案似乎已經很明確了。
題外話是,我認為將激進方案作為保守目的之方法,這樣的思維方式的轉變對於某國來說,應是不僅限體現於網路審查上。
話再說回來。這一判定邏輯是一種流氓式的「小聰明」,針對其的暫時繞過方案亦是如此。這不會是終點,只是車輪戰,而預計會以 GFW 的某種「智慧」告終。目前而言確實全盤否定了危言聳聽中的「GFW 機器學習論」
近期我可能會釋出一批針對對抗 GFW 常用的 proxy/tunneling 相關工具鏈的簡易探測 PoC。
今天倉促寫了兩個稱不上 PoC 的主動探測特徵匹配器,分別針對 gost 和 ehco 的默認配置,也是被閑蛋轉發面板以及不少 shell script 提供的默認配置。
https://github.com/QChWnd/relay_detectors
我想表達的意思是,使用各類不含 Fallback 的「默認配置」偽裝 HTTP(S) 服務是一種「此地無銀三百兩」的行為。
兩個匹配器的主動探測甚至暫時沒有涉及協議細節的利用(打算稍晚一些的時候去做)。而且除了主動探測,被動探測和 MITM 針對這二者也是非常可用的。
https://github.com/QChWnd/relay_detectors
我想表達的意思是,使用各類不含 Fallback 的「默認配置」偽裝 HTTP(S) 服務是一種「此地無銀三百兩」的行為。
兩個匹配器的主動探測甚至暫時沒有涉及協議細節的利用(打算稍晚一些的時候去做)。而且除了主動探測,被動探測和 MITM 針對這二者也是非常可用的。
GitHub
GitHub - QChWnd/relay_detectors
Contribute to QChWnd/relay_detectors development by creating an account on GitHub.
關於與 TLS in * 有關的長度問題:
我在一個公用設施上抓取了 3166 個完整 TLS 連接。以上兩圖是根據抓取連接繪製的 TCP 握手後 Client 的首個請求長度(前者)和 Server 的首個回覆長度的分佈圖(後者)。
可以認為對於約 50% 的請求,是可以符合某種簡單粗略的統計特徵的。
我在一個公用設施上抓取了 3166 個完整 TLS 連接。以上兩圖是根據抓取連接繪製的 TCP 握手後 Client 的首個請求長度(前者)和 Server 的首個回覆長度的分佈圖(後者)。
可以認為對於約 50% 的請求,是可以符合某種簡單粗略的統計特徵的。
Forwarded from 蓝点网订阅频道
#科技资讯 #安全资讯 重要提醒!黑客通过软件破解站分发带毒软件专门攻击 Mac 用户,请下载过 Mac 破解软件的用户立即自查。
查看全文:https://ourl.co/101996
据国内安全公司安天发布的消息,安天监测到 Mac 破解软件站 MACYY 分发多款带毒破解软件。
这些破解软件全部与开发和运维相关,专门针对运维人士,试图通过运维人士入侵企业内网。
值得注意的是,背后的黑产团伙此前收购了 LNMP[.]org 一键安装包和 Oneinstack,并且通过这两个集成 Web 环境投毒,本质上也是针对运维人士。
被投毒的软件目前检测到的包括 SecureCRT、FinalShell、Navicat、UltraEdit、微软远程桌面。
请下载过破解软件的 Mac 用户以及 IT 运维人员对 Mac 和 Linux 服务器进行排查,排查方法见链接。
相关内容:
1. 知名 Web 集成环境 Lnmp.org 一键安装包被投毒 请各位站长立即检查服务器
2. 继 LNMP 后 oneinstack 也被金华矜贵收购 该公司还试图买下 LAMP
3. 继 LNMP 后 oneinstack 也被添加了后门程序 建议用户不要使用这类脚本
因重要性较高,本条消息置顶 24 小时。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
查看全文:https://ourl.co/101996
据国内安全公司安天发布的消息,安天监测到 Mac 破解软件站 MACYY 分发多款带毒破解软件。
这些破解软件全部与开发和运维相关,专门针对运维人士,试图通过运维人士入侵企业内网。
值得注意的是,背后的黑产团伙此前收购了 LNMP[.]org 一键安装包和 Oneinstack,并且通过这两个集成 Web 环境投毒,本质上也是针对运维人士。
被投毒的软件目前检测到的包括 SecureCRT、FinalShell、Navicat、UltraEdit、微软远程桌面。
请下载过破解软件的 Mac 用户以及 IT 运维人员对 Mac 和 Linux 服务器进行排查,排查方法见链接。
相关内容:
1. 知名 Web 集成环境 Lnmp.org 一键安装包被投毒 请各位站长立即检查服务器
2. 继 LNMP 后 oneinstack 也被金华矜贵收购 该公司还试图买下 LAMP
3. 继 LNMP 后 oneinstack 也被添加了后门程序 建议用户不要使用这类脚本
因重要性较高,本条消息置顶 24 小时。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
Forwarded from The Stryker Project [🫣]
Turn off automatic media downloading now! Code execution starts after image/video downloading, automatically
No patch available yet.
Update 1: Originally a warning will popup "exe file can be harmful..", without user confirmation nothing will happen (at least as we know)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 我和我的朋友们 (kris | Never Gonna Give You Up)
www.54yt.net
供应链投毒后,我们的选择还剩下哪些? - 神楽坂 玉兔
前言从早前的LNMP、OneinStack到XZ Utils,再到现在的Staticfile、BootCDN;供应链攻击总是让人猝不及防。纵观这些被攻击的项目,往往都是无处不在,经常被大家所使用...