TOTOLINK 路由器被爆後門

xup6bjo45j4

272分

11樓

xup6bjo45j4

個人積分：272分

文章編號：56778221

es4241 wrote:
由路由器下手的都是...(恕刪)

你怎麼知道博通.高通都沒有??

fedora

12885分

12樓

fedora

個人積分：12885分

文章編號：56778550

es4241 wrote:
美國菱鏡計畫還要靠路由器就掉漆了....(恕刪)

看了下 WIKI

>>稜鏡計畫（英語：PRISM）是一項由美國國家安全局自2007年起開始實施的絕密級電子監聽計劃。

>>數家科技公司參與了PRISM 計劃，包括（按加入項目的時間）微軟（2007年）、雅虎（2008年）、Google（2009年）、Facebook（2009年）、Paltalk（2009年）、YouTube（2010年）、Skype（2011年）、美國線上（2011年）以及蘋果公司（2012年）。

那意思就是：Windows 本身就自帶後門了

Google、蘋果也在其中....

那根本全世界都在美國的菱鏡掌控之下，除非都不要用電腦/手機/平板，或者改用自由作業系統 Linux/BSD/FirfoxOS 之類的。

es4241

86分

13樓

es4241

個人積分：86分

文章編號：56778570

xup6bjo45j4 wrote:
你怎麼知道博通.高...(恕刪)

你的理解能力有問題,
我有說博通與高通沒有嗎?

Rayearth

12分

14樓

Rayearth

個人積分：12分

文章編號：56811792

fedora wrote:
那些自由軟體（開放原始碼）的 ROM，原始碼公佈的，全世界有人會去看、監督。有後門或漏洞，立即會被反應出來並修正，很安全的...(恕刪)

其實，自由軟體（開源）不見得比較安全喔！

自由軟體的原始碼是公開給所有人看，每個人都可以監督，所以一般認為是十分安全的。

但真的有人在監督嗎？

其實很多開源軟體並沒有很多人關注，甚至是關鍵核心部分只有一人兼差在撰寫、維護。

像幾年前被發現的Shellshock超級大漏洞（幾乎影響網際網路），在被發現前它已經存在27年之久。

而它的維護人只是一間大學的MIS；用他的業餘時間來維護這支程式。

如果在過去20幾年間，真的有很多人會去看、監督這支程式，這個漏洞不可能這麼長時間不被發現。

fedora

12885分

15樓

fedora

個人積分：12885分

文章編號：56813748

查了一下 Shellshock 漏洞，它是 bash 下的一個指令程式，由於一般遠端登入，並不會隨便給人登入 bash，影響範圍只有使用 cgi 的網頁（而且估計是網頁碼設計本身就有問題，才會被注入攻擊）

php 出現之後，現在根本沒人再用 cgi 了，說影響全世界網際網路，這種說法太過誇大了。

即便它影響了大部分 Linux 系統，BSD/Windows 因為預設 shell 不是 bash 也不受影響。

之所以存在 27年都沒被發現，估計是因為很少人在用的關係，或者被認為是非常不重要的老古董程式，幾乎淘汰那種的。

自由軟體除了原始碼公開，能被任何人檢閱之外，商業軟體也很喜歡視其為敵人，經常驗證它的安全性。

因為免費所以很多人使用，也算商業軟體的競爭對手，所以商業軟體就很喜歡攻擊它，找出它的弱點、漏洞，當作自己本身產品優勢的宣傳手段。

舉例比如：微軟以前就很喜歡攻擊 Linux。說它哪邊有漏洞，授權有問題什麼的。換句話說，這不就是在幫忙驗證安全性，挺好。

像 TOTOLINK 路由器被爆後門，無風不起浪的，這個多半也有隱藏勢力，在背後攻擊、吐槽的。

思科怎就沒有被吐槽，RouterOS 怎沒被吐槽。一個產品如果太過便宜，太多人購買或使用，就會變成眾之矢的，安全性會被放大檢視。

小米就是個例子，爆出偷傳資料，便是因為它賣太好了，惹紅了對手的眼。可到底上傳了什麼資料，造謠的人也說不出個所以然，搞不好人家只是雲端網路，同步電話簿什麼的。

Rayearth

12分

16樓

Rayearth

個人積分：12分

文章編號：56815431

fedora wrote:
php 出現之後，現在根本沒人再用 cgi 了，說影響全世界網際網路，這種說法太過誇大了...(恕刪)

Bash是一個shell工具，是一個在圖形用戶界面出現前用於與電腦進行交流的指令行鍵入工具，有點像Windows下的命令提示字元（cmd）。

並不是只有網站會用到它，很多嵌入式設備也用到它，包含大大您在用的防火牆、IP分享器。Shellshock震驚全球：思科、瞻博等供應商發佈緊急安全更新

這東西當初設計並不是針對網際網路，甚至根本沒有考慮受到網路攻擊。（撰寫時網路根本不發達）

我提出這問題並不是要說開源還是閉源哪個好，而是程式只要是人寫的，就一定會有BUG。

不需要認為開源還是閉源軟體就一定沒問題，而忽略其安全性。

fedora wrote:
之所以存在 27年都沒被發現，估計是因為很少人在用的關係，或者被認為是非常不重要的老古董程式，幾乎淘汰那種的。

幾年前發現的有問題的Bash（Shellshock）、OpenSSL（心臟流血）都是現在還很常在使用的老古董程式，目前並沒有沒被淘汰喔。

像OpenSSL，全世界約有2/3的網站會用到它，也當然包含大大您在用的防火牆、IP分享器。“心臟流血”漏洞波及思科產品

人們總是認為「常常在用的程式一定已經被檢查了很多次了」。所以大家都在偷懶，希望其他人去做檢測工作，結果沒有人認真做完所有的安全檢查工作。（三個和尚沒水喝）