Re: [新聞] 唐鳳提新招破解中國網攻

KOFXI 發表於 2022/8/12 下午8:01:18

看板Gossiping標題Re: [新聞] 唐鳳提新招破解中國網攻作者

KOFXI

( )時間Aug 12 20:01:18 2022推噓 8 推:8 噓:0 →:12

PTT評價

最近也多虧這件事情開始研究 IPFS，但目前感覺以靜態跟分散式的特性來說的
確有機會抵擋DDoS，但撇除到時候有網頁會有動態邏輯部分要怎麼套用之外

我個人倒是比較擔心安全存取上的問題

舉例來說，目前 Brave 瀏覽器本身是可以解析 ipns:// 這種協定
假如安裝完後再該瀏覽器輸入數位發展部網站 ipns://moda.gov.tw/

一開始會跳出選擇使用本機 IPFS 節點
https://i.imgur.com/db3uhtz.jpg

進入該網頁，透過 F12 看回傳的回應，可以拿到網站根節點的 CID
https://i.imgur.com/r4wqMNl.jpg

因為在本機會開一個IPFS節點，所以可以輸入 http://localhost:45005/webui 連到本機介面
https://i.imgur.com/WelOcTH.jpg

接著把剛剛 F12 看到的目錄根節點貼進去，按下瀏覽
https://i.imgur.com/5dEYit0.jpg

就會把整個網站的資料拉出來
https://i.imgur.com/XhxBcwC.jpg

那現在問題就來了，萬一不小心把一些機敏性資料亂上到IPFS上怎麼辦呢?
比方說現在的 assets 底下就莫名被塞了一個影片檔
https://i.imgur.com/PrMyNZ6.jpg

然後可以點開來看，是一個八秒的影片
https://i.imgur.com/Sfpz727.jpg

本來以IPFS的分散式檔案系統來說，放上去的東西都是公開的
但問題在於放上去的東西無法做存取的控管，而且也能夠看到用 https 連網站看不到的檔案

外加上到 IPFS 的檔案無法刪除，所以只要拿到這個影片的CID就會一直有效

所以個人研究結論覺得到底要怎麼控管網頁的上版，不要放到機密資訊
或是怎樣實踐認證授權機制，恐怕是導入這個技術也要思考的面向

要不然到時候防了 DDoS，結果演變成機密資料外洩，恐怕就不是原本所預期的效果~~

參考資料來源: https://www.samsonhoi.com/689/blockchain-ipfs-intro

※ 引述《gyGirl (妹)》之銘言：
: ※ 引述《TonyQ (得理饒人)》之銘言：
: : 來評論一下這件事情：
: : 1. 基本上其他的提問跟回答我覺得都中規中矩，
: : 除了看板那題的傷害有限，
: : 我還是沒看到更具體的報告可以說明傷害有限。
: : 2. ipfs 算是一種解法，但是只限於很少的使用場景，
: : 理由是目前 ipfs 只支援純靜態的網站(有 js 效果但無外連也算靜態)。
: : 所以拿 ipfs 說不卡，這個當玩笑可以，
: : 但實際上來說，政府要應付的問題遠比這複雜多了。
: : 我看起來比較算是個開玩笑。
: : 另外 ipfs 因為速度不夠快跟穩定，
: 這個想法在面對中國的駭客攻擊並不完全對
: 舉這陣子的台大教務處為例
: 就算台大教務處把所有的圖片存取連結都放在靜態網站
: 一樣可以做到圖片全部變成五星旗
: 原因是靜態網站雖然沒有受到攻擊也沒有受到阻斷
: 但是如果動態網頁伺服器被更改一樣可以把首頁圖的連結改成來自中國的連結
: 訪客看到的圖片一樣變成五星旗
: 靜態網站一樣好好的也沒有受到更動
: 但是靜態網站一般來說都可以應付較強的阻斷式攻擊ddos
: 也可以大量降低動態網頁伺服器被ddos時的負荷
: 這個幾乎所有架站人包括政府單位都必須考慮的事情
: : 所以 cdn 會提供快取伺服器來服務，
: : 這裡應該也隱含了會使用 cdn 的服務來使用的基礎。
: : (cdn 也會提供流量清洗的服務)
: cdn提供快取也只僅限於靜態網站
: 動態的個人資料是沒辦法cdn的
: 就算硬要cdn也沒有效益
: 而且cdn也會有延遲問題
: 像是大家都跑去看公路武嶺監視器的串流
: cdn去把武嶺的影像上傳
: 結果大家拿到的影像變成cdn上的備份影像但是已經延遲了
: 之類的問題
: 只是一個硬要舉的舉例但是希望你能觸類旁通
: 就是提示一件事
: cdn常常會提供錯誤的訊息這件事我常遇過
: 遇到一次就覺得對他們設計系統的人覺得很失望
: 還要想辦法繞掉cdn
: : 這裡的問題是，多數平台還是以 https 為主，
: : 要切換到 ipns 基本上需要很長的教育時間，
: : 且是不是有足夠的量能可以支撐國民使用也是問題。
: : 所以，用 ipfs 解題，
: : 我個人認為起碼在兩年內都是幹話。XD
: 公務單位使用ipfs處理這個我想不出有什麼好處
: 比特幣之所以區塊鏈是因為有提供給區塊鏈節點好處
: 就是挖礦的報酬
: 但是公務單位區塊鏈化
: 請問你報酬要怎麼給？
: 你要別人幫你架設節點總要給個好處吧
: 不然我開個主機電費算我的？
: 區塊鏈化後還有節點掛掉的問題
: 幾個主機掛了那就全部的政府網站都掰了
: 那我只能說推廣這個東西就只是跟風炒作區塊鏈的話題
: 為了創新而創新但事實上根本沒有搞清楚新的技術上有哪些缺失
: 這種問題在一些青年技術社群很常見
: 作業系統永遠都要用最新版、beta版
: 結果灌了最新版有bug
: 請問你要怎麼辦？
: 你要幫他修bug嗎？
: 微軟、ios、android的bug你修得了那你有辦法發佈嗎？
: 區塊鏈化真的不是一個好想法
: : 然後提到 web3 大家可能會想到的是區塊鏈，
: : 但 ipfs 其實沒有 block 哦，
: : 他技術上比較接近 bt 或驢子的協議，是 p2p 的檔案協議，
: : 所以一樣要有人當種子，要等供檔。XDDD
: : 3. 安全習慣的不良很多來至於莫名其妙的規定，
: : 比方說逼公務員取他們記不起來的規則的密碼，
: : 但是又不鼓勵或提供密碼管理器之類的服務。
: : 然後莫名其妙三個月還要更換一次，
: : 換到大家都不知道自己在記什麼了。
: : 各種矯枉過正違反人性的資安策略，本身就是傷害資安的做法。
: : 安全是相對的，不是絕對的。
: : 另外很多公務機關的服務都是以機關為帳號權限管理，
: : 而不是以人為目標的權限管理，
: : 導致很多單位一個單位只有一個帳號，大家得分批共用。
: : 一旦帳號共用就很難談資安跟管理了。
: 事實上並不是如此
: 以警政單位被駭為例
: 之前也有警察被抓到偷看拉拉隊隊員的資料
: 請問如果如你講的每個人都用一個帳號那為什麼抓得到？
: https://www.ettoday.net/news/20220710/2291301.htm
: 很多單位政風處私底下都會定期盤查哪些人員查看哪些資料
: 舉例像警政、戶政這些都會
: 如果櫃台亂查別人的東西也是抓得到
: 此外公家單位規範密碼的更新和避免過於簡單的密碼都是必要措施
: 你有架站經驗但是應該不會慘到不知道有人會用程式去暴力破解密碼
: 我們之去參加國內的駭客比賽
: 懶得解題直接用程式暴力破解出題電腦的登入
: 真的試出登入密碼但是一登入馬上就被踢出去
: 再登一次密碼又不同了
: 這種做法其實很常見也很基礎
: 就是為什麼規定root密碼不能用在遠端登入
: 我想密碼強制要求應該很基本的東西
: 你不規範每個人都設定為0000
: 這樣你們外包廠商最方便了不是嗎？
: 維修費也一定很驚人
: : 筆者有 15年軟體工程師經驗，
: : 曾開發基於 evm dapp 跟合約的應用系統。
: : 有興趣的可以推文繼續討論。
: : 時代力量三重蘆洲區議員參選人
: : 王景弘 TonyQ
: : -----
: : Sent from JPTT on my Samsung SM-G9980.

--