問:Mozilla最近表示,有可能會對中國的WoSign,以及以色列的StartCom所簽的數碼證書不作承認,一如當年對付CNNIC數碼證書的做法。倘若Mozilla決定真的以CNNIC的做法,對付WoSign和Startcom的數碼證書,將有什麼結果?
李建軍:一旦Mozilla決定以處理CNNIC數碼證書的方式,處理WoSign和Startcom的數碼證書,那在若干日期後發出的Wosign和Startcom數碼證書就一概無法在Mozilla上使用,由於Chrome以及Safari都會跟隨相關決定,換言之,WoSign和Startcom所發出的數碼證書,將會成為廢物,必須尋求其他替代的數碼證書簽署人。
問:為何Mozilla要以對付CNNIC數碼證書的方法,對付WoSign和Startcom的數碼證書?
李建軍:首先,WoSign在處理SHA-1證書上不老實,現時主流瀏覽器,都不再承認在特定日期後簽發的SHA-1證書,因為SHA-1的安全度不足,應予被淘汰,由安全得多的SHA-256所取代。但WoSign竟然將新發出的SHA-1證書改為禁令生效前的日子,導致相當大的保安問題,因此被Mozilla組織認為有問題。
而WoSign並無表明自己是Startcom的大股東,但Startcom和Wosign共用同一套軟件,同一套基建,被認為這種行為相當不老實。因此,Mozilla組織商量採取行動,而為WoSign作資訊科技安全審計的安永會計師行香港辦事處,亦在這次事件上,受到嚴厲的批評。
問:那現代是否就應不信任WoSign和Startcom的證書?
李建軍:由於WoSign的作為,有相當大的欺騙成份,因此,無論Startcom還是WoSign都不應再信任。如果你需要免費的SSL證書,亦不應再用WoSign或Startcom的免費證書,而是應改用其他的免費證書,以免惹來不必要的麻煩。
而這次翻牆問答,會有視頻示範,如何設定不再信任Startcom以及WoSign的證書,歡迎聽眾瀏覽本台網站,收看有關視頻。
問:最近,法國公司OVH,受到極嚴重的DDoS攻擊,而攻擊的來源,並非一般變成了僵屍電腦的智能手機,或長期被黑客控制的桌面電腦,而是大量廉價的網絡保安鏡頭,到底是怎樣一回事?
李建軍:由於物聯網概念興起,越來越多保安視像鏡頭可以連接互聯網,這些可以連上互聯網的鏡頭,實際上都是一部小電腦,但這些保安鏡頭的作業系統,並不像智能手機,或電腦般複雜,黑客很容易有機可乘,取得保安鏡頭的實質控制,並利用這些鏡頭發動DDoS攻擊。
黑客控制保安鏡頭作業系統,所帶來的問題不只DDoS攻擊這樣簡單,黑客既然可以利用鏡頭發動DDoS攻擊,那意味著可以做其他事,例如指揮鏡頭拍攝特定位置,或將鏡頭所拍的影像下載到一部主機上,實際上會造成相當大的私隱困擾,因為保安鏡頭所拍的內容,本來應用作保安用途,包括防止罪案,以及一旦罪案發生時可以作目擊證據之用,而不是被不法分子作犯罪工具之用。
要避免自己的保安鏡頭變成黑客玩具,首先你的保安鏡頭,不應使用系統內置的使用者名稱和密碼,全世界很多保安鏡頭落入黑客手中,都是因為鏡頭的使用者名稱和密碼,使用預設設定。你自己用的鏡頭,就應用獨一無二,黑客不易猜到的使用者名稱和密碼,畢竟黑客會優先向容易落手的目標埋手。
如果你的保安鏡頭連上Wi-Fi的話,那你的Wi-Fi至少是WPA2標準,因為WPA2加密標準,才能夠提供足夠保護,避免黑客有機可乘。如果你連上Wi-Fi是沒有加密或保安可言的話,實際上等於邀請黑客控制你家的系統一樣,這是相當不智的做法。
0:00 / 0:00