挖礦平台NiceHash遭駭, 6400 萬美元比特幣被盜

斯洛維尼亞的數位加密貨幣採礦市集「NiceHash」 已確認其網站和支付系統皆遭駭客入侵,其比特幣錢包內的貨幣已被偷走。根據報導,此次總共損失了 4,700比特幣(Bitcoin),約合 6,400 萬美元

挖礦平台NiceHash遭駭, 6400 萬美元比特幣被盜

NiceHash 已在其網站發表一份聲明來說明此次事件:「很不幸地,NiceHash 的網站發生了駭客入侵事件,我們目前正著手調查整起事件,因此未來 24 小時將暫停所有營運。」

NiceHash 是一個讓使用者購買或銷售數位加密貨幣開採效能的市集,此外,會員還可將開採出來的貨幣儲存在外部錢包或本地端 BitGo 錢包。此事件的效應和影響範圍目前仍有待釐清,但這已意味著該市集的會員們將損失其經由 NiceHash 開採或累積的數位加密貨幣。

[資安基礎觀念:數位加密貨幣開採惡意程式的負面影響]

NiceHash 遭駭事件正好發生在數位加密貨幣流通量和價值達到巔峰之際 (比特幣價格目前已突破 14,000 美元)。目前的情勢對開採者、礦池業者以及投資人都是絕佳機會,因為數位加密貨幣已逐漸獲得企業機關和公家機構的青睞。 Continue reading “挖礦平台NiceHash遭駭, 6400 萬美元比特幣被盜”

< 雙重攻擊 >這兩隻勒索病毒只是煙霧彈!以聲東擊西策略,讓企業措手不及

Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動

NotPetya看起來像勒索病毒,其實真正意圖是破壞受害者系統

 

雙重攻擊:當一起攻擊掩蓋另外一起攻擊

 

< 雙重攻擊 >這兩隻勒索病毒只是煙霧彈!以聲東擊西策略,讓企業措手不及

 

有時候雙重出現可能是件好事:像是你最喜歡的球隊連勝兩場比賽,或是販賣機一次掉出兩包零食等都是。不過當提到網路安全,雙重攻擊指的是面對一起威脅的影響時又遭受到另外一起攻擊。

在網路安全方面,許多組織都關注在解決單一弱點或是會遭受攻擊的漏洞,認為這樣就足夠阻止攻擊。雖然有時這是真的,但今日的駭客手法更加複雜,也比過去的網路犯罪份子更加執著。如果一條路走不通,駭客會繼續改變戰略直到能夠成功入侵系統。

 

在最近出現了一種新型態的攻擊,它利用了兩起獨立的惡意軟體攻擊。這做法是用一起攻擊來吸引注意力,好掩蓋另一起惡意軟體的活動,讓它不被注意到 – 提供另一條途徑來進行感染,或是竊取資料及其他知識產權。駭客通常會利用特別明顯的勒索病毒 Ransomware (勒索軟體/綁架病毒)作為第一起攻擊,這是雙重攻擊模式理想的吸引注意力工具。這種做法將會越來越頻繁,持續到2018年。

不過這種攻擊究竟看起來如何?當網路安全面臨這類雙重攻擊時,組織該如何保護自己?讓我們來看看當一個攻擊掩飾另一起攻擊時是什麼樣子:

 

Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動

最近用一起攻擊掩飾另一起更具破壞性駭客活動的例子用的是Bad Rabbit(壞兔

子)。這勒索病毒在2017年秋天首次出現,跟據Hacker News的報導,它在俄羅斯和烏克蘭感染了超過200個組織。Bad Rabbit利用了NSA被Shadow Brokers駭客集團外流的漏洞攻擊碼,迅速地滲透受害者的網路並進行擴散。

其他最近知名的勒索病毒像NotPetya用的是EternalBlue。Bad Rabbit使用EternalRomance RCE來進行惡意活動。它所攻擊的是微軟Windows 伺服器訊息區塊(SMB)的漏洞,標識為CVE-2017-0145。這個漏洞會影響Windows端點間的資料傳輸,並且讓駭客可以繞過安全協定來進行遠端程式碼執行。

 

當攻擊出現時,研究人員發現感染始於中毒俄羅斯媒體網站的偷渡式下載(drive-by download),利用假Flash播放程式來安裝惡意軟體。

不過研究人員很快地從感染案例中發現Bad Rabbit並不只是一般的勒索病毒:這病毒還隱藏了一起強大的魚叉式網路釣魚活動

“當Bad Rabbit散播時,一些烏克蘭的機構也同時被網路釣魚攻擊所鎖定”KnowBe4的作者Stu Sjouwerman寫道。“這些攻擊活動的目標是金融資訊和其他敏感資料。”

 

Bad Rabbit(壞兔子)勒索病毒只是煙霧彈,它覬覦的是珍貴的商務機密 

這樣一來,最初的Bad Rabbit勒索病毒只是個煙霧彈,用來掩飾鎖定特定對象的針對性攻擊。

烏克蘭國家網路警察主管Serhiy·Demedyuk稱這為 “混合攻擊”,並指出第一波攻擊吸引了大部分的關注,讓第二次攻擊能夠成功取得“災難性的結果”。

Brown rabbit sitting in the grass.

不要被愚弄:Bad Rabbit一開始出現是利用Windows漏洞,但它實際上掩飾了一起強大的魚叉式網路釣魚攻擊。 Continue reading “< 雙重攻擊 >這兩隻勒索病毒只是煙霧彈!以聲東擊西策略,讓企業措手不及”

挖礦劫持(Cryptojacking)攻擊影響近1,500個網站

一名安全研究人員在分析數百個網站的程式碼後發現一波巨大挖礦劫持(cryptojacking)攻擊活動的源頭。在LiveHelpNow所用的JavaScript檔案內發現Coinhive用於瀏覽器的數位貨幣挖礦程式,LiveHelpNow是在網站提供即時對話和支援的軟體平台。

挖礦劫持(Cryptojacking)攻擊影響近1,500個網站

挖礦劫持(Cryptojacking)指的是在未經使用者同意下就利用瀏覽器挖掘數位貨幣的方式。這方式利用網頁內的JavaScript挖掘數位貨幣。負責利用瀏覽器挖礦的JavaScript程式碼不需要安裝。只要載入有問題的網頁就會在瀏覽器內執行挖礦程式碼。 Continue reading “挖礦劫持(Cryptojacking)攻擊影響近1,500個網站”

專感染 Microsoft Word 的 Normal 範本的勒索病毒: qkG

可自我繁殖的文件加密勒索病毒

最近趨勢科技發現了幾個相當有趣的檔案加密勒索病毒 Ransomware (勒索軟體/綁架病毒)樣本,純粹以 VBA 巨集所撰寫,這就是「qkG」病毒 (趨勢科技命名為 RANSOM_CRYPTOQKG.A)。這是一個典型的巨集惡意程式,會感染 Microsoft Word 的 Normal 範本 (normal.dot),也就是所有新增空白 Word 文件所使用的範本。

從進一步的分析可看出 qkG 比較像是個實驗性計畫或概念驗證 (PoC),而非在外活躍的惡意程式。但儘管如此,qkG 仍是個相當危險的威脅。因為從 qkG 的樣本可看出,其作者或其他駭客可能對其行為和技巧做進一步的調校改進。例如,當我們在 11 月 12 日首次於 VirusTotal 看到它的樣本時,它還沒有比特幣(Bitcoin)位址。但短短兩天之後就有了,而且還增加了一個會在特定日期和時間加密文件的行為。隔天,我們又看到一個行為不同的 qkG 樣本 (不會加密某些檔名格式的文件)。

值得注意的行為: 少數使用巨集來撰寫惡意程式碼的病毒

qkG 檔案加密病毒特別之處在於它是第一個一次加密一個檔案 (以及一種檔案) 的勒索病毒,而且是純粹採用 Visual Basic for Applications (VBA) 巨集撰寫的檔案加密惡意程式之一。除此之外,它也是少數使用巨集來撰寫惡意程式碼的病毒之一,其他絕大多數惡意程式家族都是將巨集用來下載勒索病毒。

qkG 採用巨集撰寫惡意程式碼的作法,類似  .lukitus 勒索病毒 (Locky 勒索病毒變種之一),後者運用的是 VBA 的 Auto Close 巨集。兩者都是在使用者關閉檔案時會執行惡意巨集。不過,qkG 只會將文件加密,但 .lukitus  的巨集卻會下載並協助執行勒索病毒,被下載的勒索病毒才會將感染系統上的目標檔案加密。

其他 qkG 值得注意的行為還有會將文件內容加密,但檔案結構及檔案名稱卻維持不變。此外,也不會在系統上產生勒索訊息檔案,因為訊息已經插在文件內容前面。而且它只會加密「使用中」的文件 (ActiveDocument),換句話說,只有已開啟的文件才會被加密。


圖 1:qkG 內容中的字串顯示其名稱和作者。 Continue reading “專感染 Microsoft Word 的 Normal 範本的勒索病毒: qkG”

中國無人機大廠大疆創新 (DJI) 竟將 SSL 金鑰公開存放在 Github 儲存庫

全球最大無人機製造商之一大疆創新 (DJI) 被資安研究人員發現其 HTTPS 憑證竟大剌剌地存放在 GitHub 開放原始碼儲存庫 (Repository) 上長達四年。

研究人員 Kevin Finisterre 在一個公開的 GitHub 儲存庫上發現 DJI 的金鑰。該儲存庫中包含了 AWS 帳號登入憑證、AES 加密金鑰,以及公開的 AWS S3 儲存貯體 (Bucket)。Finisterre 指出,儲存庫內甚至還有個人身分識別資訊 (PII)。

中國無人機大廠大疆創新 (DJI) 竟將 SSL 金鑰公開存放在 Github 儲存庫

DJI 已公開承認此事,並表示將評估及解決此問題,而受影響的 HTTPS 憑證也已在 9 月撤銷。該公司幾個月前公布了一項臭蟲懸賞計畫,不論個人或團隊,只要能夠找到 DJI 軟體的問題,就能獲得獎賞。Finisterre 也參加了這項懸賞計畫,並且原本有機會獲得 3 萬美元的獎金,但因不認同該計畫的某些條款而決定將發現的結果公開,並撰寫了一份長達 18 頁的報告 (PDF)

這已經不是第一次因為雲端服務組態設定不當而導致資料可能遭到外洩。許多使用雲端的企業皆未徹底做好安全措施,甚至犯了一些明顯錯誤,因而使得資料暴露在外。所以可見,像雲端服務組態設定這麼簡單的問題,都可能導致資料外洩。

企業須了解,雲端基礎架構的安全,不單只是服務供應商的責任,雙方都必須共同分擔,因此企業與供應商應共同配合,這包括所有存放在雲端的一切在內。企業若能落實這份共同安全責任,就能避免發生前述的尷尬情況及相關損失。

趨勢科技 Hybrid Cloud Security 雲端解決方案,融合了跨世代的威脅防禦技巧,專為保護實體、虛擬及雲端工作負載而設計,能協助企業履行其共同分攤的安全責任。此外,更內含趨勢科技Deep Security這套領先市場的伺服器防護,隨時隨地保護著全球數以百萬計的實體、虛擬及雲端伺服器。

 

原文出處:Drone Manufacturer DJI Leaves SSL Key Exposed on Public Repository

《數位貨幣》採礦機不夠力? 礦工改用這些方法獲利

數位貨幣採礦是一項需要大量電力、強大顯示卡、專用處理器和其他硬體才能持續運作的密集性工作。比特幣仍然是最具價值的數位貨幣(在10月的第三週創下近6,000美元的高點),但是需要大量的投資才可能回本。

cryptominer

正如此報告中提到,不夠力的採礦機花在電力的花費比從 比特幣 Bitcoin) 上賺的還要多。而因為開採一個區塊的獎勵(這是支撐比特幣的交易)減少了,所以就更難獲取利潤。在2016年,比特幣採礦收益減半至12.5比特幣,預計大約每四年下降一次。而且開採比特幣的主力變成企業化的做法,因為需要用客制化的ASIC硬體開採才有利可圖。

面對這些狀況,很多人會將數位貨幣採礦計畫轉向被認為能夠防止ASIC開採的其他貨幣,讓使用普通硬體也能夠以合理的回報開採這些貨幣。網路犯罪分子似乎也朝著這個方向前進, 比特幣Bitcoin) 以前是地下市場內許多人的首選貨幣,但目前的數位貨幣採礦病毒大多是針對門羅幣(Monero)或Zcash

隨著數位貨幣價值的水漲船高,網路犯罪分子會不斷開發新方法和技術來有效地挖掘數位貨幣也就不足為奇了。

合法廣告的代替品: 要求訪問者捐贈電腦處理能力,透過採礦來贊助網站

CoinHive是特意開發來做為網站替代收入來源的合法採礦程式。網站所有者不需要讓廣告將網站弄亂,而是要求訪問者捐贈電腦處理能力,透過採礦來贊助網站。一個熱門種子網站是採用此作法的首波主要網站之一。但是訪客並沒有被告知或提供退出選項Continue reading “《數位貨幣》採礦機不夠力? 礦工改用這些方法獲利”

網路間諜集團以紐約恐攻事件當誘餌

Pawn Storm  攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面 ,資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件,並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。

根據報導指出,駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange,簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值,就進一步植入一個後門程式 (X-Agent 或 Sedreco)。

[TrendLabs 資訊安全情報部落格:REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]

DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗,或者執行惡意程式碼,不再仰賴巨集功能。雖然這並非什麼新的技巧,但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及 整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯  Necurs 殭屍網路 最近也開始使用這項技巧。

[延伸閱讀:網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]

然而除了 DDE 逐漸受到青睞之外,近期也出現了大量的網路間諜及網路宣傳活動。例如,美國外交關係協會 (Council on Foreign Relations,簡稱 CFR) 今年至目前為止就 遭遇了 26 次不同的攻擊行動。事實上,光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢,其中包括:

  • Keyboy:同樣也是利用 DDE 在系統植入資訊竊取程式。
  • Sowbug:專門攻擊南美和東南亞的外交使節團與外交政策機構。
  • OceanLotus/APT32:曾在東南亞國家協會 (ASEAN) 高峰會招開前夕展開攻擊行動。
  • ChessMaster:曾開發出新的工具和技巧來讓其活動更加隱密。
  • BlackOasis:使用一個 Adobe Flash 軟體的零時差漏洞來散發間諜程式,專門鎖定中東政治人物和聯合國官員。

[資安基礎觀念:越來越多利用 PowerShell 相關威脅該如何防範?]

對企業機構而言,這些案例都突顯出邊界防禦的重要:從閘道、網路、伺服器到端點裝置,因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施: Continue reading “網路間諜集團以紐約恐攻事件當誘餌”

Daserf 間諜集團以「心肺復甦術」、「防災計畫」主旨信件及日文加圖像隱碼術,騙倒日本企業

 

網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLERTick)專門鎖定日本企業機構,包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF,亦稱為 Muirim 和 Nioupale),主要具備四種功能:執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。

不過,根據趨勢科技最近的監控顯示,歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構,其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography),也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中),因此更不易被察覺。

如同許多網路間諜行動一樣,REDBALDKNIGHT 集團的攻擊雖然斷斷續續,卻持續很久。事實上,REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構,至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定,這一點從其社交工程(social engineering )技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件,日文非常流利,而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。


圖 1:REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。


圖 2:REDBALDKNIGHT 所使用的誘餌文件樣本,歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。

以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌

REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊(SPEAR PHISHING)來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌,以便能夠在背後暗中執行惡意程式,他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。 Continue reading “Daserf 間諜集團以「心肺復甦術」、「防災計畫」主旨信件及日文加圖像隱碼術,騙倒日本企業”

採礦程式商 Coinhive 遭駭 ! DNS 伺服器帳號因密碼強度不足遭入侵

Coinhive 採礦程式公司是一家相當積極的公司,專門為網站開拓另一種收入來源:不必在網頁上夾帶大量廣告,只要在網頁內嵌開採 Monero (門羅幣) 的 JavaScript 程式碼即可。這些程式碼會使用訪客裝置的運算資源來開採門羅幣。Coinhive 會從開採出來的門羅幣中收取一定比例的傭金,其餘則歸網站所有。

10 月 24 日,Coinhive 公司發出聲明表示該公司所使用的 DNS 服務帳號於 10 月 23 日遭到駭客入侵。駭客篡改了 Coinhive 的 DNS 記錄,將所有連上 coinhive.min.js 的流量指向另一台非該公司所有的伺服器。

Coinhive 在聲明中表示:「這台第三方伺服器上使用了一個修改過的 JavaScript 檔案,將網站金鑰寫死在檔案內。這基本上等於讓駭客可以竊取我們用戶開採出來的成果。」

該公司已經針對該事件出面道歉,而該事件據稱是因為密碼強度不足而引起,且此密碼是在 2014 年 Kickstarter群眾募資網站資料外洩事件當中早已外流。這當然並非第一次因為重複使用相同密碼所導致的問題。Coinhive 表示他們公司已實施了雙重認證 (2FA) 且並不重複使用相同密碼,只是該 DNS 的帳號存在已久,因而忘了更新密碼。

聲明中強調,沒有任何帳號資訊遭到外流,且該公司的網站和資料庫伺服器都沒有遭到入侵。該公司已提出用戶補償計畫,每位用戶將可獲得其網站每天 12 小時平均開採金額的補償。

帳號安全小祕訣

此事件再次突顯出網路帳號安全的重要性。使用複雜且非重複的密碼絕對有其必要,而且,企業應該妥善運用服務供應商所提供的所有安全措施。除此之外,我們也在此提供一些額外的小祕訣:

  • 當您手上有多個網路帳號時,請務必主動勤勞更新帳戶的安全措施。因為服務供應商很可能會隨時新增一些可保護您帳號的功能或措施。
  • 針對第三方服務,企業務必實施嚴格的管制政策,尤其是負責處理敏感資料或營運關鍵的系統。企業務必深入了解自己所採用的廠商,並且妥善控管資料的存取權限。

除此之外,採用一套有效而完整的資安解決方案,也能協助您確保網路服務的安全。趨勢科技 PC-cillin 2018 雲端版可協助您管理密碼,防止像這類最常見的網路威脅。

 

原文出處:Coinhive’s DNS Server Compromised Thanks to Weak Password

PC-cillin 2018雲端版 防範勒索 保護個資 ☑手機 ☑電腦 ☑平板,跨平台防護3到位

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

深入檢視北韓的網際網路

北韓常被認為是單向的網際網路:駭客對外攻擊,沒有東西可以進去。各種事件如2014年的 Sony影業被駭以及一連串的全球性銀行網路劫案都被報導是來自北韓駭客所為。一部分的公開證據是因為網路連線來自北韓IP地址。該國被認為嚴格地掌控網際網路,所以有人可能認為這樣的網路內系統不會被入侵。但外國犯罪集團用來發送垃圾郵件的殭屍網路怎麼能夠在北韓活躍一年多呢?北韓電腦是否也可能遭受一般的惡意軟體感染?分配給北韓的IP地址空間是否都被用在該國?這些問題的答案對於將攻擊歸因給北韓駭客有什麼影響?

本文會總結我們對進出北韓網路流量所進行研究的發現。它檢視了這包含1024個IP地址的網段。北韓也使用國外的基礎設施。我們同時發現註冊為北韓使用的一些IP地址實際是由虛擬專用網路(VPN)服務商所使用,顯然是想欺騙Geo IP服務將外國的網路基礎設施標記為北韓。

我們會介紹來自該國垃圾郵件殭屍網路的垃圾郵件活動,對北韓網站的DDoS攻擊和它們與真實世界事件的關連,以及北韓網站所經常出現的水坑攻擊。就像是我們之前關於北韓發動針對性攻擊的部落格文章,我們的目標是揭開常見迷思的真面貌。

 

北韓的網際網路

北韓網際網路空間是經由中國上游服務商連到網際網路的4組Class C IP範圍(總共1024個IP地址)。從2017年10月1日開始,一家俄羅斯公司提供相同IP範圍第二條路徑。因為某些歷史原因,北韓有額外使用一組分配給中國聯通的Class C IP地址(256個IP)。該國也可能透過衛星網路連到網際網路。許多電信商都有提供此服務,但我們不知道到底有誰被允許使用衛星網路。

有數個IP範圍看似由北韓使用,如果你相信Geo IP定位服務以及Whois註冊資料來的IP地址資料。

IP網段 IP數量 Whois註冊國家 GeoIP 真正國家 附註
175.45.176.0/22 1,024 北韓 北韓 北韓 分配給平壤的Star Joint Venture Co., Ltd.
210.52.109.0/24 256 中國 中國 中國 借自中國聯通
5.62.56.160/30 4 北韓 北韓 捷克 “PoP North Korea” – 由VPN服務商HMA使用
5.62.61.64/30 4 北韓 蒙古 捷克 “PoP North Korea”  – 由VPN服務商HMA使用
45.42.151.0/24 256 北韓 北韓 N/A Manpo ISP (Roya hosting)
46.36.203.81 1 北韓 北韓 荷蘭 VPN服務商 “IAPS Security Services”
46.36.203.82/30 4 北韓 北韓 荷蘭 VPN服務商 “IAPS Security Services”
57.73.224.0/19 8192 北韓 北韓 N/A SITA-Orange
88.151.117.0/24 256 北韓 俄羅斯 俄羅斯 LLC “Golden Internet”
172.97.82.128/25 128 北韓 北韓 美國 “North Korea Cloud”  – 由VPN服務商HMA使用
185.56.163.144/28 16 北韓 北韓 盧森堡 VPN服務

表1、與北韓有關的IP範圍

 

有些虛擬專用網路(VPN)服務商聲稱擁有在北韓的出口節點(如例1例2)。這表示這些VPN服務的客戶可以選擇經由北韓出口節點瀏覽。這看起來是讓願意嚐鮮的使用者從北韓角度來體驗網際網路的奇特機會。但據我們所知,VPN服務商的說法並不正確。“北韓”出口節點實體位置是位於像盧森堡、捷克和美國的西方國家。該VPN服務商讓Geo IP服務相信他們有一台電腦伺服器在北韓,可能是將北韓國家代碼輸入到特定IP地址範圍的公共Whois資料。雖然VPN服務商可能會覺得這是個無傷大雅的行銷噱頭,但會讓依賴Geo IP服務的系統管理員在檢視系統上攻擊相關日誌檔時下了錯誤的結論。

 Figure 1. HMA VPN service says it has an exit node in North Korea, but in reality the exit node is in Czech Republic.

圖1、HMA VPN服務表示它們有一個出口節點在北韓,但實際上這出口節點位在捷克。

Continue reading “深入檢視北韓的網際網路”