-
-
[汇总]4 月安全资讯(更新至2018.5.9)英特尔面临着10nm量产延期和又一批安全漏洞的双重麻烦
-
发表于: 2018-2-24 11:23
-
2018.5.9 周三
1、英特尔面临着10nm量产延期和又一批安全漏洞的双重麻烦
尽管 2018 年 1 季度业绩良好,但英特尔还是遇到了制造工艺上的问题,且不仅是 10nm 的延期。10nm 节点的首次亮相,已经成为了一个特殊的痛点。英特尔在财报期间披露,10nm 芯片的量产已推迟到 2019 年。即将到来的 Whiskey Lake,将是基于 14nm 制程的第五个新架构。在此之前,英特尔一直维持着“tick-tock”的双架构战略。
所谓“tick-tock”,前者表示采用新的制程节点、辅以较小的 架构更新,而后者表示随着工艺的成熟、带来更显著的架构演进。
10nm 延期的理由很多,英特尔 CEO Brian Krzanich 解释称,该制程的某些功能,需要多达 5-6 个多模式步骤。相比之下,竞争对手的 10nm 或 7nm 工艺只需四个步骤。
尴尬的是,竞争对手已经抢先转入了 7nm 节点,这让该公司的颜面有些挂不住。财报期间,英特尔承认了这一点,意识到 AMD 大获成功的 Zen 架构,已经缩小了两家公司 CPU 之间的性能差距。
更重要的,此前一直依靠格罗方德制造处理器的 AMD,有望依靠台积电、在 2019 年推出消费级 7nm 芯片。
英特尔芯片新制程的跳票,对苹果 Mac 产品线的影响也很明显。近年来,其处理器的更新变得更少,代际之间的性能提升也变得微乎其微。
多年以前,苹果曾因产品停滞和性能差距,而放弃 PowerPC 并转投英特尔。如果类似的历史重演,那苹果也可能撇开英特尔,在全线 Mac 产品中使用自己的处理器。
雪上加霜的是,这还影响到了苹果的iPhone和 iPad 产品线。因为英特尔支持 CDMA 的吉比特(gigabit)调制解调器(XMM 7560),将依赖于自家的 14nm 制程,而它预计会被苹果下一代移动产品广泛采用。
最后,英特尔可能面临又一波 CPU 漏洞。AnandTech 原因 c't 杂志的报道称,当前安全社区正在研究更多的漏洞。英特尔也发布了自家的数据安全声明,似乎在期待这一信息的披露。
这些漏洞的规模,与最初曝光的 Spectre 和 Meltdown 缺陷相当,据说该公司已经在为新发现的漏洞做准备,预计 ARM 和 AMD 也会受到波及。
来源:cnbeta
1、攻击者正利用已修复的 Drupal 漏洞挖掘数字货币
安全研究人员报告,攻击者正利用一个已修复的 Drupal 高危漏洞入侵网站植入挖矿脚本用访问者的计算机挖掘数字货币。被入侵的网站属于联想、UCLA 和美国全国劳资关系委员会等企业、大学和机构所有。
美国网站最多,其次是法国、加拿大、德国和俄罗斯。攻击者利用的是今年三月公布的被称为 Drupalgeddon2 的 Drupal 内容管理系统高危漏洞,植入的 JavaScript 文件托管在 vuuwd.com 上,挖矿脚本会使用访问者计算机 80% 的 CPU 资源挖掘门罗币。
安全研究员建议使用 Drupal 的网站尽可能快的更新到最新版本。
2、阿根廷一黑客发现能轻易攻破监控摄像头的漏洞
据Bleeping Computer报道,一位来自阿根廷的研究人员发现了一个能让他登录数万个DVR摄像头并观看直播的漏洞。获悉,该名研究员最先在由西班牙摄像头制造商TBK Vision的摄像头中发现了这一漏洞,之后他发现全球其他几个知名品牌也都在影响范围内。
包括CeNova、Night Owl、Nova、Pulnix、Q-See、Securus。这个漏洞可以让黑客接收到纯文本的摄像头用户名和密码。
对此,TBK Vision 、Oulnix、Q-See、Securus都未对此事立即置评。CeNova、Night Owl、Novo则暂时没法联系上。而发现该漏洞的研究员Ezequiel Fernandez拒绝回应Bleeping Computer的提问,不过其他看了这个研究结果的专家门则表示,这一攻击代码确实可以成功攻破Fernandez列出的这些品牌的摄像头。
当联网监控系统使用默认密码时尤其容易遭到黑客攻击。黑客们会通过Google、Shodan等搜索引擎查找目标摄像头相关信息然后尝试登录。如果设备的用户名和密码都是admin的话,那么黑客就可以轻易地访问该设备了。而当黑客寻找到快速访问大量摄像头的时候情况则变得更加糟糕。
来源:cnBeta.COM
2018.5.8 周二
1、“二手号码”能登录原来应用 不是小问题
二手号码被启用越来越普遍,手机号码的注册应用逐渐普及,对“二手号码”问题,是该作系统性的漏洞来解决了。据报道,新办的手机号,本想拿来注册一个微博账户,没承想却用一条验证码登录上了别人的账户。最近,互联网专家刘兴亮就遇到了这样一件怪事。原来,他购买的号码是一个“二手手机号”,原来的号主在注销号码的同时,并没将绑定的相关业务注销,他用二手号码登上了前号主的微博。
类似他这样的遭遇,并非个案。中国联通相关负责人曾透露,仅2016年全年,中国联通二次号码投诉量就达到16855起,平均每月1400起。这还不包括一些未投诉的情况以及其他平台的数据。
电信入网用户基数越来越大,“二手号码”重新被启用有其必然性。但其衍生的问题却不容忽视。像二手号主用号码注册互联网应用受限制,或仍可登录原号主的互联网应用,一方面是二手号主的权利受到限制,另一方面则是原号主的隐私面临威胁。应该说,无论是哪一个方面,都非小问题。
按照《电信网码号资源管理办法》的规定,未办理停机保号业务且停机超过3个月以上的手机号码,监管部门需要回收并再次利用,可该号码此前在移动互联网上的使用行为,却不能被同时清除,这就使得“二手号码”问题成了大概率事件。
虽说个人在停用号码前,应有意识对个人互联网应用进行及时解绑和注销,但一来,在手机注册普遍化的今天,指望个人完全解绑或注销所有的注册信息,并不现实;二来,一些互联网应用至今连注销都还是难题,也在客观上令“二手号码”风险增大。
因此,继续完善互联网应用的注销功能,很有必要。但破解“二手号码”问题最根本的办法,还是得推进电信、互联网、金融等领域的信息共享。比如,一旦电信号码进入回收系统,其在其他平台的注册信息,也该一并启动关联失效程序。或者,互联网应用平台也像电信平台一样,对注册账号设置一定的静默期,静默期过后,再次登录需增加电话号码以外的验证,堵住二手号码照样登录原应用的漏洞。
这方面,其实已有相关行动。去年5月,工信部旗下的中国信息通信研究院就牵头发起码号服务推进组,并成立了码号资源共享平台,计划通过推动移动互联网、金融、电信运营商等领域电话号码应用、资源的信息共享,来解决困扰各个行业和消费者很久的“二次号码”等难题。不过,这其中的难度不可低估,除了倡导性行动,恐怕还需要通过立规甚至立法作统一要求,打通各行业间的信息壁垒。
一个号码被重新启用,电信企业就有责任确保号码的“唯一性”。二手号码被启用越来越普遍,手机号码的注册应用逐渐普及,对“二手号码”问题,是该作系统性的漏洞来解决了。这也是互联网时代,个人信息安全的重要一环。
来源:新京报
2、曝光1年多的上网隐私漏洞终于要在Android P上修复了
一年多前曝光的Android隐私漏洞终于要被修复了。目前Android端的APP能够在不咨询任何敏感全新的情况下获得完整的网络链接功能。这些APP虽然无法检测到网络呼叫的内容,但可以通过TCP/UDP来嗅探传入和传出的连接,以确定你是否连接到某个特定的服务器上。例如,一款应用程序可以检测设备中的其他应用是否连接到金融机构的服务器。
任意APP不仅可以检测设备中的其他APP是否连接到网络中,而且能够知道其他APP何时连接到哪个服务器上。有消息称,一些Play应用称会利用这种方法来检测是否连接到服务器上,包括Facebook、Twitter和其他社交应用都可以在你不知情的情况下来追踪你的上网行为。
AOSP上的新Commit-“start the process of locking down proc/net”,其中 /proc/net包含了一系列来自内核中关于网络活动的输出设置。目前并没有对访问 /proc/net的APP进行限制,这意味着任何APP都可以通过这里读取(尤其是TCP/UDP)以解析设备的网络活动。
不过Android的SELinux规则中对其进行了调整,访问某些信息会受到限制。在Android P中,SELinux规则只有指定的VPN应用程序能够访问部分文件。其他申请访问的APP会被系统进行审查。出于兼容的目的,那些API levels小于28的依然可以访问这些文件。这意味着大部分应用依然可以获得这个文件。
来源:cnBeta.COM
3、央行整治App代查征信乱象:泄漏征信信息考核直接零分
所谓征信App,或为一些线上信贷的信息获取入口。其要求获取智能手机多项隐私权限,包括GPS位置、电话号码、录制音视频、访问摄像头,甚至包括读取短信和通讯记录等。
一边是设立个人征信机构,一边继续严厉整顿征信市场。
近日,央行下发《关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号文,简称“102号文”),进一步加强对企业和个人征信系统运行机构和接入机构征信信息安全管理。
此前存在已久的App代查征信乱象将得到抑制。102号文要求,严格授权查询机制,未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的App接入征信系统。
5月4日,央行征信工作会议强调,以零容忍态度严肃查处征信领域违法违规行为。此外,加快建立覆盖全社会的征信系统,积极构建互联网信用体系,合理引导市场化机构规范发展。
封杀App代查征信乱象
102号文提出,运行机构和接入机构要健全征信信息查询管理。从严管理批量数据,按照合法、正当、必要的原则,严格按流程和保密要求办理批量数据的抽取、留存、流转、应用和销毁,确保各环节数据安全。
实际上,监管早已注意到市场上的App代查征信乱象。
2018年1月,央行征信中心声明称:“近期,我们发现智能手机部分第三方应用程序(App)可以链接到征信中心个人信用报告查询网站查询个人信用报告。特别声明,征信中心未授权任何第三方应用程序(App)提供个人信用报告查询服务,敬请广大用户注意。”
“央行不允许App随便扒取央行的征信报告,虽然这种报告也是真实的,但没经过用户授权是不合法的。”一位征信行业人士表示。
根据央行征信中心公告,只提供了两种正规渠道查询个人信用报告:一是用户所在地人民银行分支机构现场查询,二是登陆征信中心官方网站申请查询。
但目前多个提供个人征信查询的App仍在运行。在智能手机各大App应用市场上,以“提供个人征信查询服务”为名的App仍有十个之多。例如,一款名为“信用管家”的App宣称“对接人民银行征信中心,随时查看个人信用报告”;一款名为“征信-个人征信查询”的App宣称“直连央行征信,线上直接获取央行征信报告”。
但这些App要求获取智能手机多项隐私权限,包括GPS位置、电话号码、录制音视频、访问摄像头,甚至包括读取短信和通讯记录等。这些所谓征信App,或为一些线上信贷的信息获取入口,该类App的用户评价中,有多人指出,在用手机号注册后,第二天就接到各种贷款电话。
重罚征信信息泄露
根据102号文,央行将对企业和个人征信系统的接入机构实行考核、评级管理。
具体为:依据考核计分情况,人民银行及其分支机构将接入机构评为A、B、C、D四个等级。接入机构的考核评级结果作为央行征信管理工作的重要参考,探索作为衔接宏观审慎、金融稳定等其他有关政策的参考依据之一。此外,对接入机构的考核评级结果,将作为实施征信现场执法检查、中央银行对金融机构内部评级、对征信查询服务费用实行优惠、调整对征信系统的查询权限、确定金融机构存款保险评级结果和核定金融机构存款保险费率等的重要依据。
其中,央行将亲自负责对21家全国性银行业金融机构考核,包括国开行、口行、农发行等三家开发性或政策性金融机构;工农中建交等五大行;中信、光大等十二家全国性股份制银行;邮储银行。全国性接入机构以外的其他接入机构均归为地方性接入机构。
根据央行征信中心数据,目前,企业和个人征信系统已接入商业银行、农村信用社、信托公司、财务公司、汽车金融公司、小额贷款公司等各类放贷机构。征信信息以银行信贷信息为核心,还包括社保、公积金、环保、欠税、民事裁决与执行等公共信息。
21世纪经济报道记者采访获悉,对个人征信而言,央行征信系统采取金融机构主动申报的方式,各家机构上报情况不同。其中,个人信贷信息会先由业务发生行汇总上报给总行,总行按月定期将信息报送征信中心。
根据102号文附件《金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级管理办法》,若存在以下情况,评级将下调一级:因征信违规案件导致多起投诉、诉讼,或者引发社会群体性事件;在新闻媒体、网络引发持续性重大负面舆情;瞒报、迟报、漏报重大风险事件或者违规事件;自评时存在重大隐瞒情形,报送存在虚假记载、误导性陈述或者重大遗漏的文件、资料等。
值得注意的是,央行将严厉处罚征信信息泄露等情况。
102号文规定,接入机构存在下列任一情形的考核评级结果直接定为0分。包括:发生涉及征信信息犯罪的案件,相关机构或者人员被依法追究刑事责任;发生征信信息泄露、买卖征信信息等事件,相关人员被依法采取刑事强制措施;发生征信信息泄露、非法查询等违规案件等;未经批准擅自开展征信机构业务的。
来源:21世纪经济报
2018.5.7 周一
1、这个不起眼的“黑点”表情:让所有安卓机秒崩溃
几乎每过一段时间,iOS上就会出现一些神秘消息“代码”,发送相关文本将导致系统或者聊天APP崩溃。笔者还记得去年在微信上还出现了,发送“15个句号”导致某些品牌的手机卡死的BUG。其中这些多与系统或者程序的文本渲染器有关,而Youtube UP主Tom Scott发现,安卓上也中招了。
简单来说,如图所示的这个“黑点”表情,发送和接收都没有问题,但当点击它的时候,就会造成当前程序卡死崩溃,老外反馈主要是Whatsapp。
Tom Scott分析后发现,这又是一次Unicode的把戏。Unicode是计算机之间传输文本的国际标准,包含数以万计的字符,并且支持N种语言。
不过,在Unicode之中也有一些隐形的字符,比如定义宽度、定义从左向右(从右向左,阿拉伯/希伯来语使用)、定义连接词、定义高低音的代码。这个黑点的“诡计”就在于,使用OBJ编码后发现,我们看到的黑点之后其实还有一长串字符,编造者使用宽度为0、且定义左右顺序的字符进行了隐藏。
当你点击时,安卓的文本渲染器需要判断你点击的是哪个,这个过程存在BUG,导致程序崩溃。
所以,严格来讲,这是安卓系统的BUG,理论上对于任何安卓消息应用都有效,不仅仅是Whatsapp;第二,其实黑点只是创造者利用的一个表情而已,如果掌握了原理,这个表情可以任意替换。
来源:快科技
2、Gmail“自毁”功能引担忧 或被政府利用摧毁纪录
据外媒报道,Gmail在最近的一次更新中推出了“自毁”功能,它允许用户为发送的邮件设定“自毁”日期。虽然这听起来对于个人用户来说是件好事,但活动人士担心这会遭到政府机构的滥用,他们可以利用该功能删掉公共记录,这样就可以将记者等人对政府透明度感兴趣的内容隐藏起来。通常情况下,记者、研究人员和公民可以根据《信息自由法案》向政府索要他们的电子邮件。
国家信息自由联盟(NFOIC)在写给谷歌CEO皮查伊的信件中指出,由于越来越多的地方、州政府及其各机构开始使用Gmail,“自毁”功能将让他们可以在一段时间之后让一些电子邮件“消失掉”,“公众对政府的透明度以及公开性的基础权利将受到损害。”
该组织补充称:“我们敦促你采取措施,以确保政府Gmail账户上的‘自毁’功能被禁用并将邮件直接发给政府实体机构。”
据了解,“自毁”功能是谷歌针对保密模式在上个月25日推出的一项新功能。除了这个,保密模式还允许用户在发送邮件后删除信息并限制收件人与邮件之间的互动。这次更新是Gmail自2011年以来迎来的最大一次更新。
NFOIC执行董事Daniel Beavarly则在新闻发布会上表示,科技公司需要为政府解决方案,但同时要把透明法考虑在内,这样才能保证政府程序的可靠性。
对此,谷歌并未作出回应。
来源:cnBeta.COM
3、支付宝修改隐私权政策时间
中国在线支付平台支付宝修改了隐私权政策,将于 6 月 3 日正式生效。
通过与搜索引擎保存的快照进行对比,新的政策删除了部分内容,不清楚这是否代表着阿里巴巴或支付宝改变做法。在隐私政策的最新版本中,支付宝称,“为了提高您使用我们服务的安全性,防止您的资金、个人信息被不法分子获取,我们需要记录您使用的支付宝服务类别、方式及相关操作信息,例如: 设备型号、IP 地址、设备软件版本信息、设备识别码、设备标识符、所在位置、网络使用习惯以及其他与支付宝服务相关的日志信息。如您不同意提供前述信息,可能无法完成风控验证。”
而在上一个版本中,支付宝还收集“为更准确地预防钓鱼网站、欺诈和木马病毒,我们可能会通过了解一些您的网络使用习惯、您常用的软件信息来判断风险,并可能会记录一些我们认为有风险的 URL、APP 或软件。您可以关闭收集位置功能,这样我们会停止对您的位置信息的收集,这样做不会影响您进行支付,但可能会影响我们判断是否安全的效果。”新版还删除了与查询信用评分和信用报告相关的内容。
来源:solidot
2018.5.4 周五
1、2017 年勒索软件活跃度有所下降,攻击目标从用户转向企业
对待勒索软件可谓是深恶痛绝。一旦你的系统被它感染,那么你关键的工作资料、珍贵的家庭照片都将被锁定,并且要求支付相应的费用来赎回这些资料。幸运的是,总部位于芬兰的安全公司F-Secure表示这种攻击方式开始走下坡路了。
F-Secure最新发布的《Changing State of Ransomware》报告中表示,勒索软件在2017年大规模爆发,归因于WannaCry去年勒索软件案件数量增长了400%。
F-Secure安全顾问Sean Sullivan在声明中解释道:“自去年夏季开始,我们可以看到勒索软件的活动发现了明显的改变。”
他表示目前勒索软件的攻击目标已经从普通消费者转向企业环境,这说明攻击者希望在攻击中获取更多的金钱回报。以最近毁坏亚特兰大IT基础设备的勒索软件为例,主要是通过存在缺陷的RDP端口进行传播的。而攻击者要求支付5万美元的赎金,这远远超过普通家庭用户可以支付的上限。
Sullivan说道:“最近几年,网络犯罪分子开发了大量新型勒索软件,但这一种活动迹象在去年夏季开始就逐渐减少。看起来利用勒索软件赚钱的心态已经结束,但是我们也注意这些攻击者将目标瞄准了企业和组织,这是因为WannaCry已经向所有人证明了企业安全的脆弱。”
来源:Cnbeta
2、推特建议所有用户修改密码:故障导致用户密码在公司内部曝光
腾讯证券讯 据外媒报道,美国社交媒体公司推特(Twitter, NASDAQ:TWTR)周三告知其数亿用户需修改密码,原因是此前发生的一个故障导致部分用户的账号密码以纯文本的形式出现在了该公司的内部网络上。
推特称,经内部调查发现,并无迹象表明这些密码已被公司内部人员盗取或滥用。尽管如此,推特仍敦促所有用户“出于高度谨慎之目的”而考虑更改密码。
该公司并未透露总共有多少用户的账号密码受到了影响。
外媒报道称,正常情况下,密码等敏感的个人数据应以散列的形式进行存储,利用字母和数字的组合来保护密码本身的内容。但推特的故障则导致用户密码以纯文本形式公开存储在公司内部的一个日志上,没有进行任何散列处理。
所谓“散列”(hash),就是把任意长度的输入(又叫做预映射, pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
推特在周四发布推文称:“我们近日发现了一个bug,该bug导致密码无遮掩地被存储在一个内部日志上。我们已经修复了这个bug,没有迹象表明密码被任何人盗取或滥用。作为预防措施,用户应考虑在所有使用过同一密码的服务上更改密码。”
该公司指出,目前“并无理由认为这些密码信息离开过推特的系统”,也并无理由认为这些无保护的密码已被黑客获取,但未知的风险仍旧存在。推特建议用户更改密码以作为一种预防措施。
推特对此事件的解释如下:“我们利用一种所谓‘bcrypt’(注:这是专门为密码存储而设计的一种算法)的功能,通过所谓的‘散列’进程来掩蔽密码,这种程序会用存储在推特系统内部的一系列随机数字和字母来替代真实的密码,从而使得我们的系统能在不暴露用户密码的情况下验证账号身份凭证,这是一种行业标准。由于受到一个bug的影响,密码在散列进程完成之前被写入了一个内部日志。我们自己发现了这个错误,并已实施了计划来防止这个bug再次发生。”
消息传出后,推特盘后股价一度下挫逾2%。
以下是推特官方账号发布的内容:
来源:腾讯证券
3、Windows 10熔断漏洞补丁曝致命缺陷:仅Win10.5幸免
Meltdown熔断、Spectre幽灵两大处理器安全漏洞今年初曝光后,无论是Intel、AMD这些处理器厂商,还是Windows、Linux这些操作系统,抑或各大主板和整机、服务器厂商,都在马不停蹄地打补丁修复,现在已经基本告一段落。
但这么大的篓子不可能完美补上,时不时仍然会泛起一些波澜。安全研究人员Alex Ionescu就宣称在Windows 10熔断漏洞补丁内发现了一个致命缺陷,而只有刚刚推送的Windows 10 4月更新修复了它。
缺陷的具体技术细节没有公开,只是说调用NtCallEnclave将其返回到带有完整内核页表目录的用户空间,使得修复补丁彻底失效。
但值得玩味的是,Windows 10 4月更新(Version 1803)是唯一对此缺陷免疫的Windows版本,而微软对此并没有做任何说明和解释。——难道是在刺激大家升级最新版?
不过可以放心的是,有报道称,微软正在针对旧版Windows 10开发相应的修复补丁,具体何时发布尚不清楚,快的话应该会在5月8日的月度补丁日,到时候也会公布更多细节。
来源:驱动之家
2018.5.3 周四
1、工信部发布 IPv6 规模部署行动计划:2018 年用户规模不少于 5000 万户
工信部今日发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》(以下简称<行动计划>)的通知。《行动计划》要求:到 2018 年末,基础电信运营商要完成 LTE 网络端到端 IPv6 改造并开启 IPv6 业务承载功能;IPv6 用户规模不少于 5000 万户(三大运营商分别不少于 1000 万用户);移动终端全面支持 IPv6,基础电信企业定制和集中采购的移动终端应全面支持 IPv6。
同时,要求到 2019 年第一季度末,各基础电信企业均完成 LTE 网络与其他基础电信企业用户规模排名前 10 位的移动互联网应用系统服务器互通。同时,基础电信运营商要加快固定网络基础设施 IPv6 改造,包括:骨干网 IPv6 互联互通;城域网和接入网 IPv6 改造;固定终端全面支持 IPv6;推进应用基础设施 IPv6 改造。包括:数据中心IPv6改造,内容分发网络(CDN)IPv6 改造,云服务平台 IPv6 改造以及域名系统 IPv6 改造。并开展政府网站 IPv6 改造与工业互联网 IPv6 应用,最后要求要落实配套保障措施。
据悉,目前全球基于 IPv4(约四十三亿个)的IP地址已基本分配殆尽。根据 CNNIC 近期发布的《2017 年 IPv6 地址资源分配及应用情况报告》显示,截至去年 12 月 31 日,我国 IPv6 地址分配总数在全球排名居于第二位,但目前国内 IPv6 的实际应用程度较低。
中国工程院院士邬贺铨曾在公开场合表示,中国是全球最需要 IPv6 的国家,也是全球最早开展 IPv6 以及下一代互联网技术研究标准制订的国家,也建设了当时最大的纯 IPv6 网络;但最新的数据显示,截止到 2017 年 7 月份,我国IPv6用户占网络用户还不到 0.3%,而美国已经达到了 30%,比利时则达到了 56%。可以说,我国的 IPv6 是“起了个大早,赶了个晚集。”
在他看来,原因是多方面造成的。因为中国很早就没有地址了,很多运营商、互联网内容服务商就用了私有地址, IPv4 的地址转换,暂时应对地址的不足,“进去了,不那么容易出来”。
同时,他表示,政府缺乏明确的市场导向和政府应用的先行意识,发达国家一般是军方和政府先转到 IPv6,我国政府网站没有起到应有的带头作用。第三是对内容服务的瓶颈重视不够,缺乏有利的政策,整个 IPv6 的端口迟迟没有开放,国际的带宽也不够,国外 IPv6 服务也没有在中国落地,应用和网站向 IPv6 的迁移严重滞后,拖了产业发展的后腿。
而此次工信部发布了《行动计划》可以说是为我国 IPv6 的发展制定了明确的目标,为加快网络基础设施和应用基础设施升级步伐,促进下一代互联网与经济社会各领域的融合创新奠定了基础。
来源:cnbeta
2、Google Chrome 开始对无记录 SSL 证书弹出警告
Google Chrome 浏览器从五月一日起开始对在 Certificate Transparency (CT) 系统日志中没有记录的 SSL 证书弹出警告。
Chrome 是第一个实现支持 Certificate Transparency Log Policy 的浏览器,其它浏览器开发商也都同意未来支持这一机制。
这一政策是 Google 工程师在 2016 年提出的,2018 年生效。该政策要求所有证书签发机构在 CT 中公开它们每天签发的证书。绝大多数 CA 都已经支持公开记录证书的政策。
来源:solidot.org
3、关键基础设施软件的缺陷可能意味着灾难
网络安全公司Tenable周三表示,研究人员发现了两个用于控制生产基地,发电厂,供水系统和太阳能设施的软件程序存在安全漏洞。Tenable首席产品官David Cole表示,这些漏洞会让潜在的黑客完全获得工业控制权,远程允许他们在最坏的情况下关闭关键基础设施工厂。
这些瑕疵还为攻击者打开了一扇门,让他们在整个网络中移动,不仅瘫痪了被感染的机器,还瘫痪了连接到被感染机器的每台设备。
这些安全漏洞存在于法国施耐德电气公司的2款软件程序当中,该公司为关键基础设施开发数字工具。根据其投资者关系指出,该公司的软件在中国,澳大利亚,美国和西欧很受欢迎。施耐德电气于4月6日发布了针对这些问题的补丁,并敦促工厂经理更新其系统。该公司认为这个问题是一个严重的漏洞。
考虑到这些影响会导致停电和潜在的生死场景,因为医院和城市更多地依赖于技术,针对关键基础设施的黑客攻击比典型的网络攻击承载更多的重量。今年3月,美国国土安全部和联邦调查局发布警告称,自2016年3月以来,俄罗斯黑客一直试图劫持美国电网,目标是能源,水,核能和制造公司。
来源:cnBeta.COM
2018.5.2 周三
1、上百万台光纤路由器爆认证旁路漏洞,可被远程访问攻击
外媒近日消息,安全研究人员发现通过一个认证旁路漏洞能够远程访问超过一百万台光纤路由器。研究表明,该漏洞很容易通过修改浏览器地址栏中的 URL 来利用,可让任何人绕过路由器的登录页面和访问页面,只需在路由器的任何配置页面上的网址末尾添加 “?images /”,就能够完全访问路由器。由于设备诊断页面上的 ping 和 traceroute 命令以 “ root ” 级别运行,因此其他命令也可以在设备上远程运行。
这些路由器是将高速光纤互联网带入人们家庭的核心。根据周一发布的调查结果表明,该漏洞在用于光纤连接的路由器中发现。目前 Shodan 上列出了约 106 万个标记的路由器 ,其中一半易受攻击的路由器位于墨西哥的 Telmex 网络上,其余的则在哈萨克斯坦和越南被发现。
研究人员表示已经联系了建立路由器的韩国技术公司 Dasan Networks,但并没有立即收到回复。此外,他还联系了易受攻击设备数量最多的互联网提供商 Telmex,也没有任何回音。
发现该错误的匿名安全研究人员认为漏洞带来的损害远远大于受影响的路由器。因为由于该设备是一个路由器,这意味着它能控制着自己的网络,并且能够将整个网络(不仅仅是这个设备)作为僵尸网络。他补充道,路由器可能很容易被篡改,修改其 DNS 设置,以重定向用户访问恶意版本的网站,从而窃取用户的凭证。
最近的研究表明,路由器是黑客滥用的主要目标,因为它们是大多数网络的中心点。当受到攻击时,攻击者可以进一步立足于网络。路由器也是一个很容易利用的目标,它们可以轻易地被黑客攻击,被僵尸网络劫持,并且通过互联网流量入侵目标,将它们置于离线状态。这些分布式拒绝服务(DDoS)攻击可以在精确瞄准时摧毁大量网络。
例如本月早些时候,英国和美国当局都警告说,俄罗斯黑客正在使用受损的路由器为未来的攻击奠定基础。
研究人员表示,随着路由器安全性变得越来越好, DDoS 攻击只会越来越强大。
2、挫败勒索软件:Windows Defender迎来OneDrive文件恢复功能
近年来,勒索软件成为了许多企业和 PC 用户头上挥之不去的一片阴霾。有鉴于此,微软在本月早些时候,为 Office 365 家庭和专业版用户带来了 OneDrive 文件恢复功能,以便将文件恢复到未售勒索软件影响的早期状态。不过,微软并未止步于此,而是决定将之拓展到 Windows Defender 。从现在起,Windows Defender 将能够检测和阻止这类攻击,然后推荐用户通过 OneDrive.com 恢复他们的文件。
勒索软件的运作方式,就是通过各种途径感染用户 PC 并加密文件,然后索取一笔赎金(通常以加密货币的形式)。
而微软试图向大家证明,将文件托管于云端、会是一种更加安全的解决方案,因为它可以保存文件的多个版本。毕竟在拥有了文件的早期版本之后,用户就不用再向网络犯罪分子做出任何的让步了。
微软表示,这项功能将于即日起向 Windows Insider 测试用户推出,并将于几周后通过 Windows 10(2018 年 4 月份)更新向所有用户推送。
来源:cnbeta
3、Verizon:2018年数据泄露调查报告
美国电信巨头 Verizon 于本周二在其 2018 年数据泄露调查报告 (DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍,成为最流行的恶意软件,这是因为黑客组织想通过锁定关键的业务系统来要求支付赎金,从而获取巨大的利益。
Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示:“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加,因为现在企业仍然没有投资合适的安全策略来打击勒索软件,这意味着他们在面对勒索攻击时别无选择,只能向网络犯罪分子支付赎金”。
Verizon 在分析了 53,000 多起安全事件(其中包括 2,215 起违规事件)后表示,勒索软件攻击占特定恶意软件事件的 39%。
推动勒索软件攻击的一个趋势是针对关键业务系统(非台式机)的能力,这些系统可能对公司造成更多损害,并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移,勒索软件事件中的资产类别已经从用户设备走向服务器,Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。
Verizon 表示,横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力,因为黑客本身几乎不需要承担任何风险或成本,并且也不需要违反保密条款来实现其目标。
Verizon 在其报告中称,目前许多黑客已将钱财视为其首要任务,根据调查,有 76% 的违规行为都是出于财务动机。
例如 2017 年勒索软件最突出的例子 — 5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统,要求支付 300 美元的赎金才能解密密钥。与此同时,NotPetya 加密了主引导记录,并要求以比特币作为赎金支付的主要形式。
10 月份,另一宗勒索软件活动 BadRabbit 震动了安全行业 ,这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中,攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害,其中乌克兰遭受了关键网络资产和基础设施的最大破坏。
最近,在 2018 年 3 月,亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门,并瘫痪了处理付款和传递法院信息的政府网站。随后,亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。
为减轻勒索软件攻击的可能性,Verizon 在其报告中建议用户应确保有常规备份,并且隔离那些很重要的资产,以及将其放在业务连续性的优先级上。
Verizon 发现,总体而言,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。
除此之外,分布式拒绝服务(DDoS)攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示:“ DDoS 攻击可能会对任何人造成影响,因为它经常会被用作伪装启动或者停止后重新启动,以隐藏正在进行的其他违规行为。
目前来说,大多数网络犯罪分子具有经济动机,因此,他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100% 正常运行的在线公司而言,实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。
原文链接(含英文报告原文):http://www.199it.com/archives/719048.html
来源:199IT
2018.4.28 周六
1、MongoDB 服务器漏洞泄露加密货币 Bezop 用户信息
据外媒 4 月 26 日报道,网络安全公司 Kromtech 偶然发现了一个MongoDB数据库,其中包含了超过 25,000 名投资或得到 Bezop(加密货币)的用户的个人信息,涉及姓名、家庭住址、电子邮件地址、加密密码、钱包信息以及扫描的护照、驾驶执照或身份证等数据。
Bezop 是去年年底推出的一个新的加密货币,最近它的团队举办了一次首次发行代币(ICO),以筹集资金来创建一个由区块链驱动的电子商务网络。让该加密货币声名大噪的是, 网络安全专家约翰迈克菲将 Bezop 列入其“每周 ICO ”推荐信中加入了 Bezop ,不过后来 Bezop 团队承认向 McAfee 支付了费用来进行促销。 目前,该货币在 CoinMarketCap 网站上排名第 728 位,其交易价格为每股 0.06 美元。
据悉,该数据库存储了的数据与 Bezop 团队年初开始运行的“ 赏金计划 ” 有关,在项目期间,该团队将 Bezop 代币分发给在其社交媒体帐户上宣传货币的用户。
Bezop 发言人表示,该数据库包含约 6,500 名 ICO 投资者的详细信息,其余部分则是针对参与公众赏金计划并收到 Bezop 代币的用户。
直到 3 月 30 日,Kromtech 的研究人员在谷歌云服务器上发现了 MongoDB 数据库之后,数据似乎一直保持在线,并且该数据库没有适当的身份验证系统,允许任何连接到它的人访问存储的信息。
Bezop 发言人承认了这一违规行为,声称数据库是无意中在网上曝光的,但并没有用户资金因此遭受损失。另外投资者身份卡也没有存储在数据库上,而是直接链接到他们的 URL ,目前这也是处于脱机状态的。
Bezop 团队本周表示该数据库已经安全关闭了,并且也及时通知了其用户这一泄露事件。其实这并不是唯一 影响 Bezop 用户的安全相关事件。今年早些时候,Steemit 博客指责该公司通过电子邮件以明文发送 ICO 注册密码,以至于不必要地在线暴露用户。
2、西部数据(WD)的 My Cloud EX2 存储设备默认配置泄露文件信息
据外媒 4 月 26 日报道,安全公司 Trustwave 的研究人员发现 ,西部数据(Western Digital:简称 WD)的My Cloud EX2存储设备默认情况下会在本地网络上泄漏文件,无论用户设置的权限如何。并且如果用户配置设备进行远程访问并使其联机,则情况会变得更糟。因为在这种情况下,My Cloud EX2 存储设备也会通过端口 9000 上的 HTTP 请求泄漏文件。
根据 Trustwave 发布的安全公告,My Cloud EX2 驱动器的默认配置允许任何未经身份验证的本地网络用户使用 HTTP 请求从设备获取任何文件。即使公共共享被禁用,也可以访问存储上的文件。也就是说,任何人都可以在端口 9000 上向 TMSContentDirectory / Control 发送 HTTP 请求来传递各种操作,例如浏览操作返回带有指向设备上单个文件 URL 的 XML 。
Trustwave 研究人员表示,泄露是由于设备的 UPnP 媒体服务器在设备开机时自动启动。在默认情况下,未经身份验证的用户可以完全绕过所有者或管理员设置的任何权限或限制,从设备上获取任何文件。
Trustwave 表示他们在 1 月 26 日就发现了这个漏洞问题,并且也报告给了西部数据公司。不过当时该公司只是建议其用户禁用 DLNA。目前 Trustwave 针对该漏洞发布了 POC, 并建议用户关闭 DLNA 以保护数据。
3、谷歌帐户获得新的验证功能 以防止网络钓鱼攻击
据外媒BGR报道,在其G Suite博客的更新的一篇博文中,谷歌宣布将为谷歌帐户持有者带来一项新的安全功能,这些帐户持有者也碰巧依靠Chrome浏览器进行其网页浏览活动。谷歌希望通过验证用户登录他们控制的谷歌帐户来提高安全性。
此举旨在防止任何人悄悄登录可能属于恶意第三方的谷歌帐户。但是,并非所有谷歌用户都会看到这个新界面,因为这专门针对的是第三方登录。谷歌表示,新的安全功能将于5月7日开始推出。
在SAML提供商网站上登录后,用户会从accounts.google.com中看到一个新界面,该界面会询问用户是否识别出他们要登录的谷歌帐户。如果谷歌帐户属于用户自己,那么他们可以继续登录。如果不是,那么用户可能需要对此事进行调查,因为这意味着有人可能试图欺骗用户登录另一个不应访问这些服务的谷歌帐户。
此举旨在阻止钓鱼攻击,这些攻击可能以试图欺骗用户悄悄登录恶意帐户为目标。新界面将只在每台设备显示一次,以最大限度地减少对用户的干扰。未来,谷歌表示用户应该越来越少地看到它,因为系统获得了“上下文感知”功能。
2018.4.27 周五
1、乌克兰能源部网站遭黑客攻击 被要求支付赎金解锁
乌克兰能源和煤炭工业部网站24日遭黑客攻击。网站瘫痪,主页被锁定为要求支付赎金的页面。
路透社报道,乌克兰能源和煤炭工业部网站受到勒索软件攻击,主页留下要求支付比特币赎金的英文信息,以此换取解锁文件。
乌克兰网络警察部门发言人尤利娅·克维特科说,就已知信息而言,能源和煤炭工业部受到攻击是一起孤立事件,不构成大规模网络攻击。乌克兰政府的其他部门和机构网站没有遭遇类似状况。
路透社援引克维特科的话报道:“这起事件并非大规模攻击。如果必要,我们会随时反应并施以援手。”
与此同时,能源和煤炭工业部女发言人证实,乌克兰能源企业网站正常,能源和煤炭工业部的电邮系统同样能够正常运作。
“我们的专家小组正在解决问题,”这名女发言人说,“乌克兰能源公司和乌克兰原子能公司网站都一切正常,只有我们的网站出现问题。”
勒索软件已多次袭击欧洲。2017年10月,一种名为“坏兔子”的新型勒索软件在欧洲多国蔓延,致使超过200多家政府机构和私营企业受到影响。同年5月,一款名为“想哭”的勒索软件利用从美国国安局泄露出来的部分工具,传播到上百个国家,锁定使用过时Windows软件的企业电脑系统,要求这些企业为解锁文件支付赎金,超过30万台机器受到影响。
来源:新华网
2、欧洲刑警组织捣毁大型付费DDoS服务网站
据外媒报道,当地时间周三上午,欧洲刑警组织宣布关闭了Webstresser.org--一个明码标价出售DDoS网络攻击的网站。据欧洲刑警披露,该网站总共有13.6多万名用户,截止到4月前总共发起了400万起网络攻击。
DDoS攻击通过向目标网站或服务器发出大量请求迫使后者被迫下线。2016年的Dyn攻击中就曾成功地让Twitter、Spotify、Reddit等大型网站被迫暂时关闭。黑客们如果想要发起这样的攻击则需要大量的设备--通常用的是被劫持的IoT设备--但像Webstresser.org等这样的网站却能为愿意付钱的人直接提供这种服务。这意味着犯罪分子不需要技术专家也能发起网络攻击。
联合网络犯罪行动特别工作组荷兰主席Jaap van Oss在一份声明中指出,Streeser等这样的网站让强有力的武器落入犯罪分子之中。
欧洲刑警称,Webstreeser曾是全球最大的DDoS服务供应商,在这个网站被捣毁之前它曾攻击过银行、警察局、政府以及游戏网站。去年7月,英国最大的7家银行就遭到了来自Webstresser的网络攻击并最终迫使整个系统关闭造成数十万美元的经济损失。
据《福布斯》披露,美国人是最主要的攻击对象和客户。
除了捣毁网站,警方还逮捕了该网站在英国、克罗地亚、加拿大以及塞尔维亚的四名管理者,另外位于荷兰、意大利、西班牙、澳大利亚等高级客户也被逮捕,而该网站设立在荷兰、美国、德国的基础设施也已被查封。
来源:cnBeta.COM
3、Drupal 出现第三个严重远程代码执行漏洞, Drupal 7、8 核心遭受影响
近日,Drupal发布了新版本的软件,以修补另一个影响其 Drupal 7 和 8 核心的严重远程代码执行(RCE)漏洞(CVE-2018-7602),这是过去 30 天以来 Drupal 被发现的第三个严重漏洞。
Drupal 是一个流行的开源内容管理系统(CMS)软件,为数百万个网站提供支持。但不幸的是,自从披露了一个高度关键的远程代码执行漏洞以来,其 CMS 一直处于被攻击状态。
这个新的漏洞是在探索先前暴露的 RCE 漏洞(名为 drupalddon2 (CVE-2018-7600))时被发现的。攻击者开发利用 Drupalgeddon2 漏洞将加密货币矿工、后门程序和其他恶意软件注入网站。据悉, drupalddon2 已在 3 月 28 日被修复。
除了这两个缺陷之外,该团队上周还修补了一个中等严重的跨站脚本(XSS)漏洞。该漏洞可能导致远程攻击者发起高级攻击,例如 cookie 盗窃、键盘记录、网络钓鱼和身份盗用等。
根据该团队发布的新报告,新的远程代码执行漏洞(CVE-2018-7602)可能会允许攻击者完全接管易受攻击的网站。由于之前披露的漏洞引起了很多关注,Drupal 敦促所有网站管理员尽快安装新的安全补丁。
如果您正在运行 7.x,请升级到 Drupal 7.59。
如果您正在运行 8.5.x,请升级到 Drupal 8.5.3。
如果您正在运行不再支持的 8.4.x 版本,则需要先将网站更新到 8.4.8 版本,然后尽快安装最新的 8.5.3 版本。
还应该注意的是,只有当您的站点已经为 Drupalgeddon2 漏洞应用了补丁时,新补丁才会生效。
有关该漏洞的技术细节被命名为 Drupalgeddon3,但并未对外公布。Drupal 发言人表示虽然该新漏洞较之前的更加复杂,但目前尚未发现有关该漏洞的任何攻击行为 。
来源:hackernews
2018.4.26 周四
1、iPhone 解锁设备制造商 Grayshift 遭遇短暂的数据泄露
因生产 iPhone 解锁设备GrayKey、并向美国多个执法机构销售,制造商 Grayshift 早已陷入舆论的风口浪尖。然而近日,该公司又遭遇了一起数据泄露,据说攻击者访问到了一小部分的 GrayKey 代码。外媒 Motherboard 报道称,上周,有不知名的黑客泄露了 GrayKey 的部分代码,并且向 Grayshift 勒索 2 枚比特币,不然就威胁进一步泄露其数据。
外媒称泄露的这部分数据“并不是特别敏感”,而 Grayshift 方面也证实发生了“短暂”的数据泄露:
本月早些时候,由于在客户站点上的一项网络配置错误,一款 GrayKey 装置的 UI 被短暂曝光到了互联网上。
在这段时间里,有人访问了构成 UI 的 HTML/Javascript 代码,但没有敏感的 IP 或数据被暴露,当时 GrayKey 进行了验证测试。
这项配置已完成变更,以帮助我们的客户阻止未经授权的访问。
尽管黑客以此为要挟,向 Grayshift 索取 2 比特币的封口费,但其提供的钱包地址到现在还没有得到任何资金。
不过 Motherboard 指出,在使用计算机搜索引擎 Shodan 的时候,还是能看到一款疑似暴露于互联网上的 GrayKey 设备和类似的代码:
要暴力破解复杂的字母数字密码,请上传自定义密码字典。如果字典没有上传,GrayKey将不会尝试暴力破解自定义的字母数字密码。
尽管基于 GrayKey 的技术可能会在未来某个时候被 iOS 系统更新给堵上,但据目前所知,其对最新款的 iOS 设备(包括 iPhone X)仍然有效。
2、亚马逊1300个IP地址被劫持2个小时用于窃取数字货币
3、天津警方破获重大电力盗窃案 没收600台比特币矿机
北京时间4月25日据新华社报道,中国北方城市天津市警方在收到当地电网运营商的异常用电报告后,没收了600台用于开采比特币的电脑。当地警方周二表示,在此次行动中还查获了8台高功率风扇,这是近年来破获的最大一起电力盗窃案。
天津市的电力公司监测到,近期一条电力线路的线路损耗突然增加,高峰时达到28%。这一现象通常与负载电流的增加密切相关。
经调查发现,一个可疑用户的电表接线盒被短接,这是避免计费的一种典型方法。
比特币挖掘是一个非常耗电的过程,主要依靠高性能的计算机。600台这样的计算机每月的电费据估计高达几十万元。
目前与此案相关的5个人正在接受调查,还有一人被拘留。
2018.4.25 周三
1、NVIDIA Tegra芯片存漏洞 任天堂Switch主机破解漏洞披露日临近
发售首年就大获成功的任天堂新主机Switch采用了NVIDIA Tegra X1芯片,这为Switch迅速被破解埋下了隐患。女性黑客Kate Temkin宣布她利用NVIDIA Tegra X1芯片中的漏洞破解了Switch主机,而且这一漏洞存在于芯片的Bootrom中,设备出厂后无法通过补丁封堵。不仅仅是任天堂,所有使用该芯片的设备都将受到影响,Temkin决定在反应周期结束后公布漏洞,并计划在夏季公布Fusée Gelée破解手段的Switch破解接口。
Fusée Gelée破解手段进入可加载cold/bootrom并且安装自制系统。另一支团队fail0verflow团队也公布了另一种硬件破解手段ShofEL2,并且演示了在Switch主机上运行自制Linux系统的概念证明。近日fail0verflow团队放出了用海豚模拟器运行《塞尔达传说风之杖》的画面。ShofEL2漏洞的反应时间截止日为4月25日,而Fusée Gelée也可能会在近期提前释出。
2、MyEtherWallet遭遇DNS攻击 用户报告丢失资金
似乎流行的加密货币钱包MyEtherWallet存在问题。一大批用户报告他们钱包当中资金被盗。 意外的提款导致很多网友怀疑MyEtherWallet已被黑客入侵。尽管有猜测,但这个问题似乎可能与Google域名系统(DNS)协议中的小故障有关。
目前,MyEtherWallets代表澄清说,这款受欢迎的应用程序“没有被黑客攻击”。相反,该公司声称这种不寻常的活动是和DNS服务器攻击有关。根据Ethereum区块链探险家Etherscan的统计数据,目前尚不清楚攻击的传播范围有多广泛,但是恶意攻击已经取得了更多的ETH货币。
外界要求MyEtherWallet进一步澄清用户资金是否安全,但该公司没有提供确凿的答复。不过,一位发言人告诉Hard Fork :“这取决于用户当时在使用哪个DNS服务器”。当攻击者改变公司网站和移动网站域名的DNS注册以使用户访问钓鱼网站时,就会发生DNS攻击,在那里他们可以窃取用户的登录凭证,进而盗取资金。
来源:cnbeta
3、打车应用Careem数据遭泄露 受影响用户达1400万
新浪科技讯 北京时间4月24日凌晨消息,本周一,位于迪拜的叫车公司Careem向媒体透露称该公司遭遇了网络攻击并造成了数据泄露。
黑客盗取的数据包括用户的姓名、电子邮箱地址、手机号、和行程数据,所有在今年1月14之前注册过Careem的用户都受到了影响。据Careem称,目前无迹象表明黑客有获取到用户的密码和信用卡号。
该数据泄露事件涉及到的用户包括55.8万名司机和1400万乘客。不过,该公司称还没发现这些数据被滥用或用于诈骗。
Careem表示最早是在今年1月份发现的此数据泄露事件,自那时起就开展了相关调查工作,并加强了其安全系统。
Careem在一篇博客文章中写道,之所以现在才将其公布出来是因为“想在告知用户前确保获取到有关此事件尽可能精准的信息”。
该公司写道:“我们十分重视用户的数据保护工作。我们有一支由网络安全专家组成的团队,他们与外部的安全公司一起来持续监控我们的系统,建立并升级我们的安全机制,并做到及时应对可能的威胁。另外,我们还在和执法部门进行合作。”
Careem目前在全球13个国家运营,覆盖90个城市。Careem曾宣布其在土耳其和巴基斯坦等国处于市场领先地位。
来源:新浪科技
2018.4.24 周二
1、微软:2017 年报告技术支持骗局超 15.3 万起 比去年增长 24%
近年来技术支持诈骗已经成为窃取用户个人信息的主要方式,除了传统的邮件、伪造的网站和各种错误警告之外,黑客还会利用各种恶意软件以及未经请求的电话方式来开展恶意活动。然而外媒 ZDNet 表示,这种情况在未来只会变得更加糟糕。
在刚刚过去的 2017 年,微软客户支付服务收到来自全球 183 个国家,总共超过 15.3 起关于技术支持诈骗的案件。Windows Defender 研究项目经理 Erik Wahlstrom 表示,案件数量比 2016 年多了 24%。
Wahlstrom 表示除了个人被窃取之外,在这些案件中还有15%的人会遭遇经济损失,平均损失在 200 美元至 400 美元之间。去年 12 月份,就有不少人被诈骗为伪装的安全软件支付 25 美元。同月,微软收到来自荷兰的技术支持诈骗,结果用户银行账户损失了 89000 欧元(约合 68.7 万人民币)。
2、中国黑客被指攻击日本国防承包商
3、垃圾邮件捆绑分发 XTRAT、Loki 多款恶意程序,美日澳等国受灾严重
近日,趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件,黑客组织能够分发与Adwind RAT捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例,其中美国、日本、澳大利亚等国家受影响较为严重。
这场垃圾邮件活动主要被用来分发两种广告系列,其中一种是 XTRAT 后门(又称“ XtremeRAT ”, BKDR_XTRAT.SMM)与信息窃取者木马 Loki(TSPY_HPLOKI.SM1)一起提供跨平台远程访问木马 Adwind(由趋势科技检测为JAVA_ADWIND.WIL)。而另一个单独的 Adwind RAT 垃圾邮件活动中,研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。
研究人员表示,这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org,并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到,其他的恶意软件会继续完成感染工作。
Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞,以交付 Adwind、XTRAT 和 Loki 软件包。
攻击链
自 2013 年以来,Adwind 就可以在所有主流操作系统(Windows,Linux,MacOSX,Android)上运行,并且以其各种后门功能而闻名,如(但不限于):
-信息窃取
-文件和注册表管理
-远程桌面
-远程外壳
-流程管理
-上传,下载和执行文件
XTRAT 与 Adwind 具有类似的功能,例如信息窃取,文件和注册表管理,远程桌面等。它还具有以下功能:
-屏幕截图桌面
-通过网络摄像头或麦克风录制
-上传和下载文件
-注册表操作(读取,写入和操作)
-进程操作(执行和终止)
-服务操作(停止,启动,创建和修改)
-执行远程shell并控制受害者的系统
DUNIHI 具有以下后门功能:执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。
为了处理像 Adwind 这样的跨平台威胁,专家建议采取多层次的安全措施,IT 管理员应定期保持网络和系统的修补和更新,并且由于 Adwind 的两种变体都通过电子邮件发送,所以必须确保电子邮件网关的安全,以减轻滥用电子邮件作为系统和网络入口点的威胁。
2018.4.23 周一
1、维基解密网上商城账号遭Coinbase冻结 被指违反服务条款
据外媒报道,旧金山加密货币交易所Coinbase关闭了一个由告密者网站维基解密(Wikileaks)为其网上商城开设的账号,称后者违反了相关服务条款规定。据了解,Wikileaks Shop是告密者网站的一个商品销售平台,包括服装、电话、咖啡杯、海报以及其他随身用品。用户可以使用信用卡或加密货币来支付。
一位Coinbase的发言人拒绝就此事进行回应,仅表示他们不对个人账号做任何评价。Coinbase的TOS则表示,他们可以自行终止账号,不过从账号的关闭通知了解到,这项服务由美国财政部的金融犯罪执法网络监管--该机构主要工作为打击洗钱活动。
不过Coinbase的这一举动并不意味着Wikileaks Shop就不能再通过加密货币的方式展开交易,只是说不能再使用Coinbase这个支付渠道。不过此举却激怒了维基解密及其支持者。维基解密官推呼吁用户在下周展开一个抵制该交易所的运动。《Mastering Bitcoin and Internet of Money》的作者Andreas Antonopoulos则表示这是一个特别具有讽刺意味的举动:比特币自己是在Paypal、Visa、Mastercard在2010年切断该网站捐赠通道时获得了增长。Antonopoulos指出,考虑到Wikileaks Shop在Coinbase之外还有许多交易通道所以这次的动作并不会给这个网站带来太大的影响。
2、Twitter宣布封杀卡巴斯基实验室广告
网易科技讯4月21日消息,据路透社报道,推特(Twitter)公司周五宣布,它已经禁止总部位于莫斯科的卡巴斯基实验室在其社交平台上打广告,称这家网络安全公司的商业模式与其广告规则存在冲突,并援引美国政府的说法称卡巴斯基实验室与俄罗斯情报机构有关联。
推特通过电子邮件证实了这项封杀令。在此之前,卡巴斯基实验室联合创始人尤金·卡巴斯基(Eugene Kaspersky)周五在一篇博客文章中披露了事件的最新进展。他说,该公司早在今年1月初就获悉了这项封杀令。
在推特颁布这项封杀令之前,华盛顿指控卡巴斯基实验室与莫斯科的情报机构有密切联系,其软件可能被用于俄罗斯的间谍活动,这促使特朗普政府禁止该公司产品进入美国政府网络。
卡巴斯基实验室曾多次否认这些指控,称将开放其代码供第三方检查,以便专家找出其产品中可能被情报机构利用的漏洞,并上诉至美国联邦法院要求推翻特朗普政府的禁令。
尤金·卡巴斯基在周五的博客文章中表示,他对推特的封杀令感到惊讶,并要求该公司重新考虑这一决定。
他说:“我们没有违反任何书面或不成文的规定,我们的商业模式完全参照了整个网络安全行业所采用的商业模式:我们为用户提供产品和服务,他们向我们支付费用。”
美国国土安全部负责网络安全的助理部长珍妮特 ? 曼弗拉 (Jeanette Manfra)曾表示,美国国土安全部没有要求美国公司对卡巴斯基实验室采取惩罚举措。
在近日于美国旧金山举行的一年一度RSA信息安全大会上,曼弗拉在一个小组会议上称:“对于我们如何做出决定,我们制定了一个非常透明的程序。我尊重这些公司所做出的决定。”
虽然卡巴斯基实验室在一封电子邮件中称,推特是唯一禁止其做广告的社交媒体公司。但事实上,美国其他社交媒体公司也已经对卡巴斯基实验室采取了行动。
今年1月,Facebook宣布,该公司已将卡巴斯基实验室从一份反病毒产品供应商名单中删除。
推特在一封电子邮件中解释了出台这项封杀令的原因:“这一决定是基于我们的决心,即卡巴斯基实验室采用的商业模式,与可以接受的‘Twitter Ads’(推特广告)业务行为存在固有冲突。”
它还表示,它是在回应美国国土安全部发出的警告,称俄罗斯政府可以访问卡巴斯基实验室产品对国家安全构成了威胁。
对推特来说,向某个广告商发出封杀令是很少见的。今年10月,该公司宣布禁止RT(今日俄罗斯)和Sputnik(俄罗斯卫星通讯社)两家媒体旗下的任何账号在其社交平台上打广告,指责它们干扰了2016年的美国大选。上月,推特还封杀了有关加密货币的广告。
3、BEC合约出现重大漏洞,攻击者可无限生成代币
Bianews 4月22日消息,OKEx今日发布最新公告称,暂停BEC交易和提现。据了解,这是因为BEC美蜜合约出现重大漏洞,攻击者可以通过代币合约的批量转账方法无限生成代币。
美链今年2月在OKex上线BEC交易。美链和美图公司合作帮助美图旗下的BeautyPlus提升内容价值和市场占有率,同时Beautyplus作为美链的种子应用,协助美链的冷启动。美链发的Token叫做美蜜BEC。
2018.4.21 周六
1、细思极恐,麦克风窃取用户隐私背后技术是这个
据国外《连线》媒体报道,哪怕是已经确立的行业标准,如,蓝牙和WPA2 Wi-Fi安全协议,近几个月都曾被曝光存在漏洞和不完备之处,这已引发负面影响、甚至可能造成破坏性后果。由于缺乏统一的架构和执行标准,一些无线通信技术,如,超声波通信技术,存在着不容忽视的隐患。
设备跟踪这一用途让超声波技术坏了名声。在设备跟踪过程中,该技术让一些应用得以访问用户的智能手机,并收听广告、网站、甚至实体店中出现的无声“信标”。近日在旧金山举办的RSA安全会议中,研究者分享了超声波通信技术的现状以及隐患。
加州大学圣芭芭拉分校的移动和网络安全研究者乔瓦尼·维格纳(Giovanni Vigna)和伦敦大学学院博士研究员瓦西利奥斯·马维鲁迪斯(Vasilios Mavroudis)表示,由于一些隐私监督机构提出的强烈抗议以及数年前美国联邦贸易委员会发起的一次有力调查,超声波用于跨设备跟踪的现象并未广泛出现,但当然也尚未彻底杜绝。这类技术已越来越多地用于各种位置服务:在设备足够接近时,超声波技术让应用得以监听特定发射波段的信标并向用户推送通知,提示与当前位置相关的服务或内容。这类方法的目标是徒步旅行者和博物馆参观者,旨在为他们提供信息,以促进体育场馆等场所的售票业务。
维格纳和马维鲁迪斯认为,这些推送通知的做法并不像下类做法那样赤裸裸地侵犯隐私:悄悄跟踪设备一段时间、收集设备主人的信息以创建不同用户的概况。相反,当选择下载使用超声波技术的位置型应用时,用户能够更直接地了解该应用的功能。但研究者指出,目前超声波技术存在的问题不在于它们用于无线通信的现况,而在于这些技术还不够成熟。每家公司都拥有自己的编码版本,并开发了超声波通信的不同执行方案。我们无法确保这些不同版本的技术都能够保障用户的隐私和安全。
维格纳指出,“这项技术的真正价值在于,无需任何特定的网络设置。它实际上依赖于一种物理现象,并且能够从物理层面创建连接。对于物联网来说,这或许很重要,因为有时候会面临无法穿越墙壁等障碍物的问题。然而,超声波通信完全不需要核验,这会导致混乱。此外临时发起的特性也让这类技术的执行存在一定漏洞。不统一标准的话,风险恐怕只会越来越严重。”
在过去的超声波通信研究中,马维鲁迪斯得出的结论是,最迫切需要解决的潜在风险在于,目前该行业并未对能够接收超声波信号的应用施加限制。举例而言,如果一个应用能够自由访问设备的麦克风数据,那么这一应用只能访问超声波信息吗?它不会得寸进尺地监听用户所做的一切?对此,用户只能选择相信,别无他选。类似地,在设备处于飞行模式时,一些采用超声波技术的应用将继续从用户的麦克风收集并存储数据,并在设备恢复联网时,把数据发回网络服务器。其他服务和应用并不会这么做。由于超声波技术的标准不统一,用户很难跟踪到超声波服务是如何运行的。
但超声波技术的用途不仅限于此。操作系统可利用超声波通信技术运行一种以统一方式约束外来访问的应用编程接口(API)。而且,按理想化的设想,这种机制最终将超越个人生态系统成为适用于整个行业的标准,类似Wi-Fi和蓝牙技术的演化历程。
研究者指出,谷歌尤其值得一提,因为它在这方面一直领先。谷歌针对Android和iOS开发了名为Google Nearby的API。该平台具有安全和灵活的特点,并为信标格式和合作伙伴整合了操作标准。Google Nearby也把超声波技术融入到现有的无线标准中。除了Android上的应用(如,美国联合航空公司和药品零售商CVS的娱乐和照片服务),Google Nearby也被纳入电视棒Chromecast等智能家居设备中。
马维鲁迪斯指出,“很难控制人们将如何使用这类技术,但Google Nearby确实迈出了正确的一步。不过,仍有许多公司正在开发自己的框架,我不希望看到谷歌在这方面占据垄断地位。如果每个人都能基于一个行业标准来构建自己的解决方案,这类技术将发展得更好。”
令研究者感到宽慰的是,目前,超声波跨设备追踪这一用途中似乎并未广泛出现。但总体而言,各个公司正为超声波技术摸索越来越多与位置相关的用途,并加以实施。如果该行业不展开广泛合作以确立稳固的标准,超声波服务很快将成为一个巨大的安全和隐私问题。
来源:网易科技
2、超 2000 万名谷歌浏览器用户安装了恶意的广告拦截器
多数用户在安装谷歌浏览器和火狐浏览器后都会选择立即安装广告拦截扩展工具以便能够阻挡网页上的广告。但如果你直接在谷歌浏览器在线商店里搜索 ADBLOCK 等等热门广告拦截工具的关键词时就有可能遭到欺骗。目前研究人员在该浏览器商店发现 5 款恶意广告拦截工具,这些拦截工具的下载安装总量已经达到 2000 万次。
李鬼广告拦截器控制用户电脑:
这些广告拦截器主要通过修改脚本的方式来躲避谷歌的审核,这些脚本非常常见因此审核人员没有仔细查看。但实际上这些脚本已经被修改并植入恶意代码,这些恶意代码会将用户访问的网站上传到攻击者的服务器上。为了避免被发现攻击者下发的远程控制指令全部藏在图片里,图片本身无害但恶意代码可以读取其中的内容。最终加载的恶意脚本有能力让攻击者以任何方式改变浏览器,攻击者也可以随时下发命令进行远程操作等等。被感染的用户们会组成僵尸网络供攻击者使用,但目前尚未有调查证实攻击者具体用僵尸网络都干了些什么。
榜上热门关键词吸引用户下载:
能够被下载 2,000 万次自然不能靠简单的伪装,这些恶意广告拦截器主要依靠热门关键词诱导用户主动安装。
同时在用户安装后也会发现真的可以拦截广告,因为本身这些恶意拦截器就是基于 ADBLOCK 之类进行修改。
所以部分热门的李鬼拦截器有着几千甚至几万的五星好评,这些五星好评让后来的用户更容易被吸引和上当。
李鬼拦截器包括至少包括以下五个:
AdRemove for Google Chrome(这款扩展高达 1000 万次安装)、uBlock Plus(主要冒充 uBlock 拦截器)、Adblock Pro(主要冒充 Adblock Plus、安装 200 万次)、HD for YouTube(拦截视频广告、安装 40 万次)
Webutation 这款由于没有榜热门的广告拦截器所有只有 3 万次安装,并且整体评分也没有上面几款评分高。
3、朝鲜黑客实力不容忽视
来源:solidot
2018.4.20 周五
1、新漏洞:黑客利用“iTunes Wi-Fi 同步”接管iPhone
据外媒报道,赛门铁克的研究人员发现了苹果生态中的一个漏洞,只要用户的 iPhone 与 Mac 工作站或笔记本配对,黑客就能利用该漏洞(Trustjacking)偷偷摸摸地“接管”用户设备。从技术角度来看,Trustjacking 这个漏洞根植于“iTunes Wi-Fi 同步”功能中。
只要用户在 iTunes 的选项中给“iTunes Wi-Fi 同步”打了勾,在新的 iPhone 与 Mac 设备同步时,用户就能通过无线网络连上智能手机,省下了麻烦的数据线。确实,这个功能相当方便,借助 iTunes 用户就能从智能手机上恢复或发送数据。
iTunes 上打开 iTunes Wi-Fi 同步的方法
不过,赛门铁克研究人员认为,这项功能在设计上出现了漏洞,因为即使iPhone 与Mac设备断开了连接,也照样能通过本地 Wi-Fi 查看配对的 iPhone。
能接入本地 Wi-Fi,攻击者就能控制 iPhone
赛门铁克现代操作系统安全研究部门负责人 Roy Iarchy 在 RSA 2018 安全大会上公布了他们的发现,称黑客可滥用 iTunes Wi-Fi 同步功能来控制用户设备,而且是神不知鬼不觉的。
Iarchy 指出,一旦该功能打开,只要受害者连上了一台有毒的设备,黑客就能用 iTunes 记录下用户的日常操作。具体来说,iTunes API 会间隔性的进行截屏,并将截屏发回 iTunes 应用。
此外,黑客还能随意在受害者手机上安装或卸载应用,他们甚至能激活远程备份,命令 iPhone 回传数据,随后通过筛选数据牟利。
攻击的限制条件正在变少
显然,这样的攻击是有条件的,毕竟在连接电脑前 iPhone 屏幕上还是会弹出提示,用户同意了才行,因此别胡连其他人的电脑就行。
不过,Trustjacking 攻击有所不同。Iarchy 就强调,影响你 Mac 设备的恶意病毒能使用自动脚本打开“iTunes Wi-Fi 同步”功能,随后回传数据或感染任何配对的 iPhone, 只要这些设备处在同一个无线网络中。
更可怕的是,Trustjacking 已经进化了,现在不需要本地的 Wi-Fi 网络黑客也能得手,只要 Mac 电脑和配对的 iPhone 处在相同的 VPN 上就行。
苹果的补漏措施不够全面
赛门铁克表示,它们已经将这一问题通知了苹果,不过苹果的解决方案并不能让它们满意。
苹果提出的解决方案是在配对时要求 iPhone 用户输入手机密码 ,这样的措施能防止他人趁你不注意完成手机与电脑的配对。
不过,赛门铁克认为,这次漏洞封堵并没有解决 iTunes Wi-Fi 同步这个大 bug,攻击者还是能在断开连接后从手机上盗取数据。
“我们很赞赏苹果修补漏洞的神速,但不得不说的是这次升级并没有全盘解决 Trustjacking 的威胁。 一旦用户选择信任中了毒的电脑,黑客照样能为所欲为。 ”Iarchy 在博文中写道。
“不幸的是,我们无法列出所有受信任的电脑并对后台访问进行筛选。”Iarchy 补充道。“最好的方法就是确定自己的 iOS 设备没有信任奇奇怪怪的电脑。此外,你还能进入设置> 通用> 重置> 重置地点和隐私来甩掉潜在的攻击者。不过,下次再授权某台电脑连接自己的 iOS 设备时,可得长点心了。”
来源:太平洋电脑
2、美国数据公司泄露4800万网民资料:包含详细个人信息
新浪科技讯 北京时间4月19日早间消息,一家鲜为人知的美国数据公司在用户毫不知情的情况下,通过Facebook、LinkedIn、Twitter和Zillow等社交网络收集和合并大量用户数据,构建4800万人的个人资料,并且一度将其公开泄露出来。
这家总部位于美国华盛顿州贝尔维尤的公司名叫Localblox,他们表示可以“从网络和交换网络中,以多种形式自动爬取、发现、提取、索引、映射和增强数据”。自从2010年创办以来,该公司一直在通过Facebook、Twitter、LinkedIn等公开数据来源收集信息,制作用户资料。
但在今年早些时候,该公司将大量资料数据放在亚马逊S3上却没有添加密码,导致任何人都可以下载这些信息。
这部分资料标签为lbdumps,其中包含了一个超过1.2TB的文件,上面列出了4800万个人用户的信息,全部都是通过公开资料收集后合并起来的。
这份数据随后被安全公司UpGuard网络风险研究主管克里斯·维克利(Chris Vickery)发现。维克利在2月末将此事告知Localblox CTO阿什法克·拉赫曼(Ashfaq Rahman),而这些资料也得以在几小时后重新加密。
Facebook上月刚刚因为伦敦数据公司剑桥分析(Cambridge Analytica)获取其8700万用户数据,而被卷入舆论漩涡。这些数据可以用于构建大量美国人的资料库,从而预测他们的投票倾向,包括2016年的美国总统大选。
比Facebook数据泄密丑闻更为严重的是,Localblox收集的数据更具侵略性,其中包括高度敏感的个人信息,甚至可以对应到每个人的个人身份——而这一切都是在没有用户许可的情况下发生的。
这些数据以JSON文件形式存储,可以直接阅读其中的内容。数据中包含姓名、家庭住址、工作信息、职业历史等。
UpGuard周三发布的报告显示,Localblox可以使用通过Facebook搜索引擎获得的邮件地址来检索用户照片、目前的职位头衔和雇主信息,外加一些家庭信息。
Facebook已于本月早些时候关闭了搜索功能,避免垃圾信息传播者借此收集用户数据。
另外,Localblox可能还通过一些非公开来源获得了补充信息,例如购买营销数据。在对这些数据进行汇总和组织之后,将其融入现有的个人资料。
该报告称,这项数据收集工作可以针对每个受影响的人构建3D图像,借此投放广告和促进政治选举。
Localbox之前也经常对外吹嘘他们所能收集的数据。该公司网站上的样本资料声称还包含一个人的位置、邮件地址、IP地址、电话号码、邮政编码、工资、雇主、职位头衔以及其他精确信息。有的数据甚至还包含一个人是否拥有信用卡、他们的“拒接来电”偏好、婚姻状况和净资产。
Localblox声称其设备ID数据库中拥有超过6.5亿条记录,手机数据库中拥有1.8亿条信息,里面包含了手机号码和运营商信息。该公司还表示其美国选民数据库拥有1.8亿公民信息。目前还不清楚这个数据库的信息是在何时更新的,但与2017年年中泄露的1.97亿选民数据很接近。
拉克曼还表示,这4800万用户数据中的“多数”都是用于内部测试,但他并未披露具体比例。在被问及地理位置和IP地址等数据时,他表示这些数据“不会与真正的所有者关联”。
拉赫曼还认为,应该没有其他人接触过这些数据。Facebook、LinkedIn、Twitter等平台均表示禁止类似的数据获取行为。但支持者认为,如果只是获取公开数据,这种行为不应该受到指责。
来源:新浪科技
3、香港宽带公司一数据库被黑:38万名客户信息恐泄露
中新网4月19日电 据香港《文汇报》消息,香港宽带有限公司昨日公布,集团一个已停用的数据库服务器遭身份不明者入侵,该数据库涉及至2012年约38万条固网电话及IDD服务客户申请人记录,包括其个人资料及约4.3万条信用卡数据,受影响数据占整体客户记录的11%。
报警处理并通知相关客户
香港宽带于昨日收市后发公告指,于本月16日,集团发现一宗未经授权接触其一个已停用客户数据库的事件。该数据库包括集团截至2012年约38万条固定及IDD服务客户及服务申请人记录,约占其360万条客户记录的11%。
这些截至2012年的数据包括姓名、电邮地址、通讯地址、电话号码、身份证号码及约4.3万条信用卡资料。集团已立即进行彻底的内部调查,并聘请外部网络安全顾问对所有系统及服务器进行全面检查,以防止日后任何类似攻击。
香港宽带表示非常重视此事件,并已立即向香港警务处报告上述事件,并将通知受影响的客户及就此通知香港个人资料私隐专员。香港宽带表示,将在此过程中与有关部门合作,打击此等违法行为。
该公司在声明中指出:“本集团已采取实时措施以防止日后任何类似攻击。本集团并不知悉本集团任何其他客户数据库受到影响。本公司相信此为一宗独立事件,且不会对本集团的业务及营运造成任何重大影响。”
发言人指黑客技术“超前”
香港宽带发言人指,目前调查所得,是次并非普通黑客所为,是以超前技术入侵,呼吁客户留意可疑信息及信用卡账单。
私隐专员对事件表示关注,由于涉及客户人数众多,已主动展开循规审查。香港商务及经济发展局局长邱腾华表示,已知悉事件,并知道香港宽带已报警,相信警方会调查。
专家:相信事涉保安疏忽
香港信息科技商会荣誉会长方保侨表示,香港宽带作为互联网供货商,网络技术应较超前,今次出现疑似黑客入侵事件,相信涉及资料保安漏洞或疏忽。
由于事件中的已停用客户数据库的数据并无加密,他认为当公司处理客户数据时,无论新或旧的客户资料,公司都有责任将数据加密,即使黑客取得资料,亦无法浏览有关内容。
方保侨建议,如客户发现资料被盗,客户如以自己的电话号码等的个人资料用作网上支付等平台的密码,便应马上更改密码,以免出现不必要的损失。
来源:中国新闻网
2018.4.19 周四
1、五万 Minecraft 用户感染了格式化硬盘的恶意程序
安全公司 Avast 报告,近五万 Minecraft 账号感染了设计格式化应硬盘和删除备份及系统程序的恶意程序。恶意代码本身并不多么复杂,被认为是拷贝了已有代码,但它的隐藏在修改的游戏皮肤中,上传到了 Minecraft 官方网站,因为托管在官方域名,当安全软件弹出警告后可能会被用户认为是误报。
Minecraft 是最受欢迎的沙盒游戏之一,截至 2018 年 1 月全世界有 7400 万玩家,但只有一下部分上传修改的皮肤,绝大部分使用默认皮肤,所以只有一小部分人被感染。
来源:solidot.org
2、微软发布Windows Defender扩展 为Chrome用户提供上网安全
尽管微软努力让Edge作为Windows 10用户的默认浏览器,但是大部分用户都会使用Chrome浏览器。根据市场调研,目前Chrome浏览器的占比已经超过60%,而Edge浏览器的占比大约在5%左右。微软也深知两者之间的差距,为此尝试以曲线方式赢得更多用户支持--自家防病毒软件Windows Defender以扩展方式登陆Chrome浏览器,为用户营造更安全的上网环境。
公司日前已经发布了名为Windows Defender Browser Protection的扩展程序,在用户打开链接之前分析URL,保护用户不访问包含恶意程序的网站。
微软表示能够为Chrome用户提供实时保护,微软承诺能够抵御钓鱼网站和钓鱼邮件等网络工具。微软解释道:“如果在邮件或者网站中点击链接的时候,Windows Defender Browser Protection将会进行严苛的审查,查看是否存在恶意行为,而且实时更新的URL恶意库能够帮助你更快的排除问题网址,避免你的金融、个人或者其他敏感信息被窃取。”
来源:cnbeta
2018.4.18 周三
1、漏洞聚焦:Moxa EDR-810 工业安全路由器存在多个严重漏洞
思科 Talos 的安全研究专家发现工业路由器Moxa EDR-810中存在 17 个安全漏洞,其中包括许多影响 Web 服务器功能的严重命令注入漏洞和导致服务器崩溃的拒绝服务 (DOS )漏洞。目前发现的漏洞已在 Moxa EDR-810 V4.1 build 17030317 中得到确认,但其早期版本的产品也可能受到了影响。
- (CVE-2017-12120)Moxa EDR-810 Web 服务器 ping 命令注入漏洞
CVE-2017-12120 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。攻击者可以将操作系统命令注入到 “/ goform / net_WebPingGetValue”uri 中的 ifs = parm 中,以触发此漏洞并控制目标设备。
- (CVE-2017-12121)Moxa EDR-810 Web RSA 密钥生成命令注入漏洞
该漏洞与 CVE-2017-12120 类似,也允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。
- (CVE-2017-14435至14437)Moxa EDR-810 Web 服务器 strcmp 多个拒绝服务漏洞
CVE-2017-14435 至 14437 描述了 Moxa EDR-810 的 Web 服务器功能中存在的三种单独的可利用的拒绝服务漏洞。通过利用特制的 HTTP URI 造成空指针取消引用,从而导致拒绝服务。攻击者可以发送 GET 请求到“/MOXA_LOG.ini,/MOXA_CFG.ini或/MOXA_CFG2.ini”,而不是使用 cookie 头来触发此漏洞。
- (CVE-2017-12123)Moxa EDR-810 明文传输密码漏洞
CVE-2017-12123 是一种可利用的明文传输密码漏洞,它存在于 Moxa EDR-810 的 web 服务器和 telnet 功能中。攻击者可以检查网络流量以检索设备的管理密码,然后,使用凭据登录设备 web 管理控制台作为设备管理员。
- (CVE-2017-12124)Moxa EDR-810 Web 服务器 URI 拒绝服务漏洞
CVE-2017-12124 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的拒绝服务漏洞。访问特制的 HTTP URI 会造成空指针取消引用,从而导致 Web 服务器崩溃。攻击者可以发送制作的 URI 来触发此漏洞。
- (CVE-2017-12125)Moxa EDR-810 Web 服务器证书签名请求命令注入漏洞
CVE-2017-12125 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上获得 root shell 。攻击者可以将 OS 命令注入“/ goform / net_WebCSRGen”uri 中的 CN = parm 以触发此漏洞。
- (CVE-2017-12126)Moxa EDR-810 Web 服务器跨站点请求伪造漏洞
CVE-2017-12126 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的跨站点请求伪造(CSRF)漏洞。利用特制的 HTTP 请求可能会触发 CSFR 漏洞,从而允许攻击者更改设备配置。攻击者可以创建恶意 HTML 代码来触发此漏洞,并诱使用户执行恶意代码。
- (CVE-2017-12127)Moxa EDR-810 明文密码存储漏洞
CVE-2017-12127 是 Moxa EDR-810 的操作系统功能中存在的密码存储漏洞。设备以明文形式将凭据存储在 /magicP/cfg4.0/cfg_file/USER_ACCOUNT.CFG 中。该文件镜像 / etc / shadow 的内容,但所有密码均以明文形式存储。
- (CVE-2017-12128)Moxa EDR-810 服务器代理信息泄露漏洞
CVE-2017-12128 是 Moxa EDR-810 的服务器代理功能中存在的可利用信息泄露漏洞。攻击者可以通过发送特制的 TCP 数据包来触发此漏洞,从而导致设备泄漏数据。
- (CVE-2017-12129)Moxa EDR-810 Web 服务器对密码漏洞进行弱加密
CVE-2017-12129 是 Moxa EDR-810 的 Web 服务器功能中存在的可用于密码漏洞的弱加密技术。初次登录后,每个经过身份验证的请求都会发送一个带有密码 MD5 散列的 HTTP 数据包,这个散列能够被破解,显示设备的密码。
- (CVE-2017-14432 至 14434)Moxa EDR-810 Web 服务器 OpenVPN 配置多个命令注入漏洞
CVE-2017-14432 至 14434 描述了 Moxa EDR-810 的 Web 服务器功能中存在的多个可利用的命令注入漏洞。一个特制的 HTTP POST 请求可能会导致特权升级,从而导致攻击者有权访问 root shell。攻击者可以将 OS 命令注入到“/ goform / net_Web_get_value”uri 中的各种参数中以触发此漏洞。
- (CVE-2017-14438和14439)Moxa EDR-810 服务代理多次拒绝服务
CVE-2017-14438 和 14439 描述了 Moxa EDR-810 的 Service Agent 功能中存在的两个可利用的拒绝服务漏洞,通过利用一个特制的数据包可能会导致拒绝服务。攻击者可以发送一个大数据包到 tcp 端口 4000 或 4001 来触发此漏洞。
2、Telegram 迁移后 俄罗斯封杀 180 万个亚马逊和谷歌云服务 IP 地址
上周末,Telegram宣布将部分服务基础设备迁移到 Amazon Web Services 和 Google Cloud 服务器之后, 俄罗斯联邦通信监管局(Roskomnadzor)采取了更严厉的封禁措施。今天已经禁止了 180 万个隶属于亚马逊和 Google 云基础架构的 IP 地址。官方公告称将会从俄罗斯ISP级别禁止以下网段的 IP 地址,共计 1,835,008 个 IP 地址。
被禁的 IP 网段包括:
52.58.0.0/15
18.196.0.0/15
18.194.0.0/15
18.184.0.0/15
35.156.0.0/14
35.192.0.0/12
由于 Telegram 拒绝向俄罗斯主要情报服务 FSB 提交用户的加密秘钥,俄罗斯联邦通信监管局在今年 4 月 13 日(周五)开始封杀 Telegram 客户端。随后 Telegram 表示将服务迁移至亚马逊和 Google 的服务器上,以便于继续为俄罗斯用户提供服务。
很多俄罗斯用户在社交媒体上吐槽 Roskomnadzor 的决定,而且本次封杀了如此庞大的 IP 地址,也会导致很多合法网页服务无法正常工作。已经有用户报告大量在线游戏、移动应用和加密货币服务处于宕机状态。
来源:cnBeta
3、英特尔和微软将利用 GPU 扫描恶意程序
2018.4.17 周二
1、黑客利用鱼缸温度计窃取了赌场的数据库
被广泛使用的物联网设备正日益成为安全系统的一个薄弱环节。黑客越来越多的通过物联网设备入侵企业网络。网络安全公司 Darktrace 的 CEO Nicole Eagan 指出,物联网设备扩大了攻击面,而绝大部分物联网设备没有被传统防御所覆盖。
他披露了该公司经手的一个案例,黑客通过水族箱的温度计在一家未公开名字的赌场网络获得了一个立足之地,然后从网络中发现了一个重要数据库,将其搬到了云端。
来源:solidot
2、俄罗斯封锁 Telegram 迫使克里姆林宫转用其他通信工具
上周,莫斯科一家法院裁定,Telegram 的俄罗斯创始人 Pavel Durov 未能遵守该公司应向联邦安全局提供用户加密信息的法律。之后,Roskomnadzor 通信监管机构周一命令互联网和移动电话运营商在 24 小时内屏蔽 Telegram。该监管机构的行为促使克里姆林宫官员从 Telegram 转至 ICQ 聊天工具,用于俄罗斯和国际媒体进行沟通。
Durov 周一在 VKontakte 社交网站上写道:“这是反宪法的,我们将继续捍卫俄罗斯人的私人信息传递权。”这一决定不利于俄罗斯的国家安全,因为用户将转向美国所控制的 Facebook 和 WhatsApp 服务。
根据研究机构 Mediascope 的数据,Telegram 在俄罗斯拥有 9500 多万用户。该公司在全球的总用户超过了 2 亿。安全部门希望读取 Telegram 上可疑恐怖分子的通信消息,该公司极力反对,将其视为违宪,但上月在俄罗斯最高法院败诉。
来源:cnbeta
3、越南现ICO诈骗案:数额高达6.6亿美元
越南加密货币公司Modern Tech为自己的Pincoin代币启动了ICO,并从大约3.2万人那里筹集了6.6亿美元。一开始,它启动Pincoin的时候,向投资人承诺会带来持续的回报,随后它又启动了另一种代币iFan(这是一种针对名人的社交网络代币)。Picoin的投资人最开始收到的是现金回报,随后这个团队给Pincoin的投资人提供的就是iFan代币。
然后这个团队就消失了。
这就是所谓的“失踪欺诈”,也是最近ICO领域里最大的一桩欺诈。这个七人的团队再从大众投资人那里诈骗到资金后,似乎已经离开了越南。
实际上,这个项目背后的团队在河内、胡志明市以及其他七个偏远的地区举办过会议,寻找过投资人。
投资人被告知,每个月的利润大约为最初投资的48%,四个月后,所有的投资都会得到补偿。最初,那些介绍新会员进入这个网络的成员还会得到8%的手续费。
Pincoin让用户介绍别人参与这个项目,然后为他提供奖励,这种形式很特殊,也似曾相识。1月份,诈骗者们就不再使用现金而是iFan代币作为奖励。上个月,这个团队所有办公室的人都消失了,只留下一个网站。这个网站上还写着公司的愿景:“PIN项目就是基于共享经济、区块链技术和加密货币,为全球社区打造一个在线的协作消费平台。”这和其他“大饼”没有什么区别,但没有提及任何创始人、顾问以及具体的设想。简单地说,这个团队花钱制作了一个看似非常不错的网站,并让人们相信这是合法的。
另外,iFan页面上有一点非常有趣。在这个页面的中间,我们发现有信息表明这种货币是基于以太坊平台的。该页面显示了这种加密货币的价格和汇率,以表明以太币和iFan有直接的关系。
这也在一次证明了,目前不受管理的ICO市场就是让傻瓜们拿自己的钱去冒险。
来源:techweb
2018.4.16 周一
1、五角大楼称“俄罗斯巨魔”的信息武器卷土重来
在法国和英国的支持下,特朗普领导的政府对叙利亚的设施发动了一系列导弹袭击,据称这些设施是在本周末用于生产或部署化学武器的。奥巴马在推特上说,“任务完成了!关于他的战略见解,有一个令人担忧的信号——俄罗斯是否会代表巴沙尔阿萨德政府进行报复的问题在过程中仍然存在。”
到目前为止,还没有任何迹象表明俄罗斯打算真正升级局势,可能部分原因是白宫实际上还没有确定一个全面的战略。但是,五角大楼发言人达纳怀特在周六对“俄罗斯巨魔”进行了统计,他对记者说,“俄罗斯的假消息运动已经开始了。在过去的 24 小时里,俄罗斯巨魔的数量增加了 2000%。”
俄罗斯确实拥有专门用于信息战的部门,尤其是考虑到俄罗斯总统普京曾指示他们干涉 2016 年大选,转而支持特朗普。
国防情报局报告了俄罗斯的军事能力,该机构分析指出:“信息的武器化是俄罗斯战略的一个关键部分,他们直接引用了媒体对“俄罗斯巨魔”的报道,该机构被称为“互联网研究机构”,该机构用低力度的宣传来淹没评论区和社交媒体:俄罗斯雇佣了一群有报酬的在线评论员,他们操纵或试图改变对某一特定故事的叙述,以拥护俄罗斯的利益。俄罗斯的巨魔军,也被称为互联网研究机构,是一个由国家资助的组织,代表克里姆林宫发表博客和推文。“巨魔”通常会发布亲克里姆林宫的内容,并在新闻文章的评论部分进行热烈的讨论。他们的目标是对抗负面媒体和西方影响。
美国的情报收集部门五角大楼,试图追踪俄罗斯在网络上的影响力。“这或多或少可以归结为一种精心收集但不一定有意义,容易被误解的内容,它们是任何人都应该怀疑的。”他们说。
参与该项目的研究人员克林特•沃茨实际上向 BuzzFeed 承认,“俄罗斯巨魔”的手段被轻信 Twitter 的侦探们夸大了,他们希望用一种以俄罗斯为中心的叙述方式来包装特朗普的一切。
来源:cnbeta
2、泰国最大 4G 移动运营商 TrueMove H 遭遇 AWS S3 存储桶数据泄露
据外媒 4 月 15 日报道,泰国最大 4G 移动运营商TrueMove H于近期遭遇了数据泄露,一位操作人员将 AWS S3 存储桶中总计 32 GB 的 46000 人数据公开在互联网上,其中包括身份信息、护照和驾驶执照等数据。目前根据 TrueMove H 发布的声明显示,其子公司 I True Mart 遭受到了此次泄露的影响。
安全研究人员 Niall Merrigan 透露像 bucket stream 和 bucket-finder 这样的工具允许扫描互联网来打开 S3 AWS buckers,例如此次事件,Merrigan 使用了“ bucket-finder ”工具来发现打开 TrueMove H 的 S3 桶。Merrigan 表示他已将这一问题告知 TrueMove H,但该操作人员并没有做出回应。
3、微软和其他第三方防病毒应用因为可能的威胁禁止 uTorrent 运行
由于可能会在微软桌面操作系统上产生威胁,Windows Defender 这个绑定到 Windows 8.1 和 Windows 10 的默认防病毒解决方案以及多个第三方安全产品已经开始阻止 BitTorrent 客户端 uTorrent。该应用程序被 Windows Defender,ESET的NOD32,Sophos 防病毒引擎和其他一些标记为可能不需要的软件(也称为可能不需要的应用程序或 PUA )。
卡巴斯基,Bitdefender,Avast和F-Secure 都声称 uTorrent 是干净的。
此时,目前还不知道是什么触发了该模块,但据信内置模块(如 Web Companion )可能是罪魁祸首,尽管母公司 BitTorrent 将这些安全警告描述为误报。
虽然这个警告可能是针对 uTorrent 捆绑在一起的软件,但 BitTorrent 表示,这个问题只影响其网站上托管的三个安装程序中的一个,这个安装程序通常只有 5% 的用户使用。这意味着少数系统得到了警告。
来源:cnbeta
2018.4.13 周五
1、数千网站遭入侵试图诱骗访问者安装假的更新
Malwarebytes 的安全研究人员报告,过去几个月攻击者入侵了运行 WordPress、Joomla 和 SquareSpace 等内容管理系统的网站,然后利用复杂的策略试图诱骗访问者安装假的更新。攻击者利用了这些网站没有及时打补丁修复已知的漏洞,然后在用户访问时候展示看似真实的信息(如图所示),诱骗用户安装浏览器 Firefox、Chrome, 或 Flash 的更新。为了躲避检测,假的更新通知每个 IP 只展示一次,它还会利用 JavaScript 文件检查访问者是否在虚拟机里访问网站,然后才会传递恶意程序,恶意程序使用了操作系统信任的合法证书签名,让恶意更新看起来是真的。
2、苹果将开始向还在运行32位应用的Mac用户发出更新警告
据外媒报道,如果你的Mac上还装有老的应用那么苹果会在周四提醒你。获悉,当用户下载最新版MacOS后,如果打开电脑中的32位应用则会看到界面跳转中更新的警告。而在开发者中,苹果一直都在推动他们将其应用升级到64位。
显而易见,这样做的好处是能够加快数据处理速度。
实际上早在十年前苹果就已经开始转向64位应用,去年它曾在开发者大会上警告软件开发商,macOS High Sierra将是最后一个正常兼容32位应用的系统。虽然下一个版本仍能运行32位应用,但它们很有可能无法按照开发商预期的那样运行。
为此,苹果将向下载了MacOS High Sierra 10.13.4的用户发出32位应用升级的弹窗警告。用户可以点击上面的“了解更多(Learn More)”进入支持页面获得更多相关信息。
而在iPhone和iPad阵营苹果已经完成了64位应用部署。于2013年问世的iPhone 5s是第一款运行64位移动处理器的设备,这标志着苹果乃至整个移动行业向前迈进了一大步。
在接下来的四年时间里,苹果一直推动着移动应用开发商向64位阵营转移。最新版本的iOS 11则就只能运行64位应用。
目前并不清楚Mac何时正式停止对32位应用的支持,但就眼下获得的信息显示它将一直支持到High Sierra的继任者。
截止到今年1月,所有新提交到Mac App Store上的应用都必须是64位,而所有现有应用64位更新提交将在今年6月截止。
来源:cnbeta
3、ATI Systems 警报器现「SirenJack 远程漏洞」,可通过无线电频率激活警报制造全城混乱
近日,网络安全公司 Bastille 发布的安全公告称,ATI Systems的紧急警报系统中暴露了一个名为SirenJack的远程劫持漏洞,攻击者可以通过无线电频率(RF)来利用该漏洞激活、触发错误警报,以制造混乱和恐慌。
Bastille 的研究人员认为 SirenJack 缺陷实际上是由于 ATI 从控制站向警报器传输信号的方式引起的,因为其研究人员发现 ATI Systems 用于控制警报器的无线电协议并不安全,其激活命令直接以明文形式发送,而没有采用加密。在这种情况下,恶意人士可以找到分配好的无线电频率,制作恶意激活消息,然后将其通过自己的无限电发送,以便启动系统。Bastille 称完成这些步骤所需要的设备仅仅是一台电脑和一台价值 30 美元的手持式收音机。
ATI Systems 的产品遍布北美和全球各地城市,军事设施、大学和工业基地(包括石油和核能)的都是其重要客户。目前 Bastille 仅在旧金山和其他两个地点证实了 SirenJack 漏洞 ,但并不明确还有哪些其他 ATI 系统受到影响。Bastille 敦促所有客户与 ATI Systems 合作,以了解他们的系统是否受到影响,并立即采取补救措施。
SirenJack 的潜在影响是什么?
正常情况下,紧急警报系统仅在合法威胁(通常是天气或与安全有关的威胁)时才启动,而虚假警报引起了公众的广泛关注,导致公众对这些系统降低了信任,特别是在 2017 年达拉斯警报事件之后(全市范围内超过 150 个龙卷风警报系统启动 90 分钟以上)。
Bastille 完整分析报告:
2018.4.12 周四
1、四月补丁增强了 AMD CPU 抵御幽灵漏洞的能力
四月的第二个星期二,微软通过自家Windows Update更新通道,为 AMD CPU 带来了增强的 Spectre(幽灵)漏洞防御能力。这一轮的系统级修补,主要针对幽灵 2 号变种(CVE-2017-5715),其至少影响到了部分运行 Windows 10 操作系统的 AMD 处理器,本次更新揭示了对间接分支预测壁垒(IBPB)的接管控制。
根据 AMD 最新的安全白皮书,运用 IBPB 是该公司针对幽灵 2 号变种的推荐措施:
尽管此前其 CPU 支持其它控制分值预测器行为的方法(一个指向间接分支限制预测的特殊比特位 / 简称 IBRS)、以及作为对处理器上兄弟线程的响应(一个指向单线程间接分值预测器的比特位 / 简称 STIBP),但 AMD 并不建议将这些方法作为针对幽灵漏洞的“性能缓解措施”。
当然,光是下载系统操作系统更新,还不足以保护受影响的系统。AMD 表示,产品用户请检查 OEM 或主板制造商网站来获得更新,以减缓漏洞带来的影响。
我们可以借助这种方式来完成对 Ryzen 平台的完整修补,快速的基准测试表示,其对各方面性能的影响都微乎其微 —— 比如作为日常使用参考的 Javacsript 性能影响只在 3% 左右。
需要指出的是,本月的“星期二补丁”并不意味着微软带来了更多的英特尔微代码更新,后者可能与过去几周保持着一样的情况。使用 Skylake 等老旧 CPU 的用户,仍需等待 OEM 或主板厂商发布固件更新。
来源:cnbeta
2、微软正式停止支持 Windows 10 一周年更新
在“周二更新补丁日”,微软今天宣布停止支持Windows 10 version 1607,也就是 Windows 10一周年更新 14393 版本,包括 Windows 10 家庭版和 Windows 10 专业版用户。如果你还停留在 Win10 一周年更新上,那么此后将不会收到微软推送的月度安全补丁和更新等。
微软在一份关于 Windows 10 1607 版本周二更新补丁说明中表示:
Windows 10 version 1607 将在 2018 年 4 月 10 日停止支持,运行 Windows 10 家庭版或专业版的设备将不会收到月度安全和质量更新,这些更新包含了对最新威胁的保护处理。要继续接收安全和质量更新,微软建议升级到最新版本的 Windows 10。
本次 Win10 一周年更新停止服务支持,家庭版和专业版用户受到直接影响,但 Windows 10 教育版将延长 6 个月的支持,也就是在 2018 年 10 月 9 日之前还会继续更新。今天 Windows 10 1511 企业版和教育版的额外支持服务也停止支持。
这是微软 Windows 即服务(WaaS)模型的一部分内容,该公司认为将进行频繁更新,但每个 Windows 大版本支持的周期会缩短,微软希望用户可以及时升级到最新的 Windows 10 系统版本,提供最新和最安全的服务。
来源:新浪科技
3、Reddit 清除 944 个跟俄罗斯“巨魔”相关联账号
据外媒报道,当地时间周二,Reddit表示他们已经确认并清除了上百个涉嫌跟俄罗斯在社交媒体上散布虚假消息活动有关的账号。该网站在年度透明度报告中指出,他们删除了 944 个被怀疑由互联网研究机构( IRA )创建的账号。
有在关注相关新闻的读者一定不会对 IRA 感到陌生,这是一个跟俄罗斯政府存有关联的机构。
而在这份透明度报告之前,Reddit CEO Steve Huffman 曾表示正在配合国会对其网站是否在 2016 年美总统大选中成为一个误导信息源头的调查工作。
Huffman 表示,被禁的绝大多数与俄罗斯关联账号基本不会对网站产生任何影响,获悉当中70%在 Reddit 上的 karma 都是零级–该网站用来衡量用户贡献价值的一种方式。另外他还指出,在 2016 年大选前他们通过常规信任与安全( Trust and Safety )审查清除了上百个账号。
不过有7个账号却在网站上拥有不错的 karma 分,这意味着它们受到了 Reddit 其他用户的好评。
虽然俄罗斯巨魔们( troll )在 Facebook 和 Twitter 发布了跟选举相关的广告,但 Huffman 表示,Reddit 并未沦为他们的阵地。“我还想澄清的是这 944 名用户中没有一个人在 Reddit 上发布任何广告。我们也没发现任何有效利用这些账号进行投票操纵的行为。”
为进一步提高公司透明度,Reddit 还分享了一个被清除 944 个账号的链接。
来源:cnbeta
2018.4.11 周三
1、YouTube 遭黑客破坏并清除大量流行音乐视频
YouTube上正在发生一些可疑的事情。看起来谷歌的子公司遭到了黑客的袭击,因为一些流行的音乐视频已经遭到了破坏或者突然消失了。事实上,该平台上观看次数最多的视频– Louis Fonsi 和 Daddy Yankeee 的 Despacito 在 YouTube 上暂时无法观看。
目前尚不清楚攻击的来源是什么,但大多数受影响的视频都是从 Vevo 帐户上传的。根据 The Verge 的一份报告,其他受影响的视频包括 Chris Brown,Shakira,Selena Gomez,Katy Perry和 Taylor Swift 的歌曲。大多数这些剪辑已经被编辑以去除损坏的内容。
其中一名参与攻击的黑客说,他们使用脚本来篡改视频。与此同时,他黑客组织的另一名成员威胁要取消美国宇航局的 YouTube 频道,以及有争议的保罗兄弟洛根和杰克频道。
来源:cnBeta
2、Google Chrome和Mozilla Firefox将支持全新无密码登录规范
今天,W3C和FIDO联盟标准机构宣布,Web浏览器正在构建一种新的登录方式。这款名为WebAuthn所呈现的新开放标准将在最新版本的Firefox中得到支持,并将在未来几个月发布的Chrome和Edge的版本中得到支持。这是多年来的最新举措,目的是让用户远离密码,转向更安全的登录方式,如生物识别和USB令牌。
该系统已经在谷歌和Facebook等主要服务上就位,在那里你可以使用符合FIDO标准的Yubikey设备登录。
WebAuthn将无疑将加速安全登录的实现,无论是将这些技术作为备用登陆方式,还是完全取代密码。随着更多的开源代码为新标准而编写出来,开发者将更容易实现新的登录方式。
“以前,USB令牌登陆的模式只运用于谷歌、微软和Facebook等大公司,”参与Firefox工作的Selena Deckelmann说。“现在,通过WebAuthn,更多的用户将能够体验安全登录。”
因为FIDO标准是建立在零知识的基础上的,所以没有一串字符可以保证对一个账户的访问,这使得传统的钓鱼攻击变得更加困难。它为有安全意识的用户和企业提供了保护自己的重要途径。随着越来越多的服务转向支持更安全的登录方式,FIDO-ready用户的数量会越来越多。
Deckelmann说:“它能真正的规避安全隐患,但现在我们还没到那一步,这将是我们的美好未来。”
3、施耐德电气修补16 个 U.motion Builder 软件漏洞
据外媒报道,施耐德电气于上周向其客户通报说已修复U.motion Builder最新版本中的 16 个漏洞,其中包括那些被评为严重和高危的漏洞,例如可能导致信息泄露的路径遍历或者其他一些错误,以及通过 SQL 注入造成的远程代码执行缺陷。
U.motion 是全球各地商业设施、关键制造和能源部门使用的建筑自动化解决方案。而 U.motion Builder 则是一个允许用户为其 U.motion 设备创建项目的工具。
据悉,U.motion Builder 大多数安全漏洞已被归类为中等严重性,但也有一些安全漏洞基于 CVSS 评分来看非常严重。
最严重漏洞(CVE-2017-7494)的 CVSS 评分达到了 10,根据介绍,该漏洞允许远程执行代码,对 Samba 软件套件造成了一定影响。另外,由于与 WannaCry 攻击类似,它被业内一些成员称为“ SambaCry ”。目前该漏洞被发现影响了几家主要供应商的设备,其中包括思科、Netgear、QNAP、Synology、Veritas、Sophos 和 F5 Networks。
U.motion Builder 中另一个严重漏洞的标识为 CVE-2018-7777,该漏洞允许经过身份验证的攻击者通过向目标服务器发送特制请求来远程执行任意代码。
除此之外,一个 SQL 注入缺陷 CVE-2018-7765 也被列为高度严重。
这些问题影响到 U.motion Builder 1.3.4 之前的版本。目前施耐德除了提供补丁之外,还分享了一些缓解潜在攻击的建议。
来源:hackernews
2018.4.10 周二
1、Chrome 正在悄悄读取你电脑中的文件?谷歌:这是bug
作为世界上使用人数最多的浏览器之一,Chrome 的安全性一直备受关注。
为了给用户吃颗定心丸,去年Chrome 宣布与安全软件公司 ESET 合作,宣称其为 Windows 用户改进了一项名为“Chrome清理工具”的功能,让用户可以“更清洁”“更安全”地进行浏览。不过最近,这个能让用户“更安全”的工具,被曝侵犯隐私,上演了一出实力打脸的闹剧。
安全专家:谷歌浏览器正在悄悄扫描你电脑中的所有文件
据外媒“Motherboard”报道,供职于“SecurityScorecard”公司的网络安全专家凯利·肖特里奇(Kelly Shortridge)确认,谷歌浏览器(Google Chrome)总是在扫描装有 Windows 操作系统电脑中的所有文件。
肖特里奇猜测,之所以出现这个问题,根源就在于谷歌浏览器所使用 ESET 产品的清理工具(Chrome Cleanup Tool)。
虽然谷歌浏览器扫描文件的目的,有可能是寻找攻击浏览器的恶意软件,但其所使用的是ESET的杀毒内核如果发现可疑程序,会将问题文件的元数据发给谷歌。
肖特里奇认为,虽然是为了安全,但这缺乏用户明确的同意,这违反了谷歌自己的”用户友好软件“标准,至少应该让用户知道 Chrome Cleanup 这个工具会收集电脑文件中的信息。
谷歌:我们出发点是好的,但这是个bug
随后,谷歌也很快解释了为什么这些文件会被 Chrome 浏览器访问。
谷歌在启动浏览器时运行了对下载文件的完整性检查,这个 Bug 导致了问题发生。
这个回应部分应证了肖特里奇的猜测。
针对这个bug,谷歌给出了临时解决方案。
在Chrome浏览器中转到chrome://downloads,然后点击右上角的菜单,选择全部清除。这将清除Chrome的下载文件列表,以便它在启动时检查不会有任何文件存在 。 如果你有大量的下载文件,那么这将会稍微改善启动时间。
目前,Google 表示正在进行修复,并会在即将到来的更新版本中解决这个问题。 目前,可以手动清除下载文件夹以防止发生这种情况。
来源:太平洋电脑网
2、新型 ATM 恶意软件 ATMJackpot 出现,专家预测即将在野外现身
Netskope 威胁研究实验室发现了一种新的 ATM 恶意软件ATMJackpot。该恶意软件似乎源于香港,并于 2018 年 3 月 28 日在二进制文件中有时间戳。这种恶意软件很可能还在开发中。 与以前发现的恶意软件相比,此恶意软件的系统占用空间更小。
目前还不清楚 ATMJackpot 恶意软件的攻击媒介,通常是这种恶意软件是通过 ATM 上的 USB 手动安装的,还是从受损的网络下载的。
ATMJackpot 恶意软件首先将 Windows 类名称“ Win ”注册到恶意软件活动的过程中,然后恶意代码创建该窗口,在窗口中填充选项并启动与 XFS 管理器的连接。XFS 管理器实现访问 API,以控制来自不同供应商的 ATM 设备。恶意软件开启与服务提供商和注册的会话以监控事件,然后打开与自动提款机,读卡器和密码键盘服务提供商的会话。
一旦与服务提供商的会话打开,恶意软件就能够监视事件并发出命令。专家认为,恶意软件的作者将继续改进它,他们预计它很快就会在野外发现。
美国特勤局警告称,网络犯罪分子针对美国的 ATM 机器,迫使他们通过“ jackpotting ”攻击吐出数百美元,近几年 ATM 机累积奖金攻击的数量正在增加。
2017 年 5 月,欧洲刑警组织在欧洲各地逮捕了 27 起针对自动柜员机的头奖攻击案,2017 年 9 月,欧洲警察组织警告说,ATM 攻击正在增加。犯罪组织正在通过银行的网络瞄准 ATM 机,这些业务涉及钱币骡子的出钱。此外,几周前,据称 Carbanak 集团的负责人在西班牙被警方逮捕,因其涉嫌在一家银行网络主席窃取约 8.7 亿英镑(10 亿欧元)。
来源:东方安全
3、Ubuntu 16.04 LTS收到重大内核更新:共计修复39处漏洞
在为32位/64位设备和树莓派2发布Ubuntu 17.10(Artful Aardvark)系列的重大核心更新之后,Canonical今天再次为Ubuntu 16.04 LTS(Xenial Xerus)发布重大内核更新,共计修复39处安全漏洞。
Ubuntu 16.04是长期支持版本,此外包括 Kubuntu, Lubuntu, Xubuntu, Ubuntu MATE, Ubuntu Kylin和Ubuntu Studio在内的官方flavor版本也获得更新。
本次修复的安全漏洞中,危害最严重的就是Linux Kernel USB over IP部署,允许黑客远程攻击系统导致崩溃或者通过DoS攻击导致大量消耗内存。Ubuntu 16.04 LTS目前的Linux内核版本为4.4,此外本次更新还对树莓派2单板计算机、Amazon Web Service(AWS),云环境和骁龙处理器进行了修复和优化。
来源:cnbeta
2018.4.9 周一
1、 黑客利用思科智能安装漏洞,全球 20 万台路由器躺枪
据外媒报道,一个名为“ JHT ”的黑客组织在上周五利用Cisco(思科) CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施,例如俄罗斯和伊朗等 。
根据伊朗通信和信息技术部的说法,目前全球已超过 20 万台路由器受到了攻击影响,其中有 3500 台受影响设备位于伊朗。
在利用 CVE-2018-0171 攻击 Cisco 路由器后,路由器的配置文件 startup-config 被覆盖,路由器重新启动。这不仅导致了网络中断,并且路由器的启动配置文件也被更改成显示一条 “不要干扰我们的选举“的消息。
攻击者透露他们扫描了许多国家的易受攻击的系统,但只袭击了俄罗斯或伊朗的路由器,并且他们还声称通过发布 no vstack 命令来修复美国和英国路由器上任何被发现的漏洞 。
来源:hackernews
2、印度要扫描 13 亿人口的指纹、眼睛和脸部
印度正寻求建立一个覆盖 13 亿人口的全国身份识别系统,扫描所有居民的指纹、眼睛和脸部,并将其用于从福利到手机的各种事情。公民自由主义者将这个名为 Aadhaar 项目称为是将奥威尔的老大哥带到现实中。
在世界其它地方,政府正将技术作为一种新的监视公民的工具。包括英国在内的许多国家也部署了监控人群的闭路探头。印度的项目不仅大规模收集居民的生物识别信息,而且还尝试将其与一切关联起来,包括交通罚单、银行账户、养老金、甚至是学童营养餐。
哈佛 FXB 健康和人权中心教授 Jacqueline Bhabha 称,在规模和雄心上没有人能接近印度。
来源:cnBeta、solidot
3、公安部将要求 ISP 和企业办理国际联网备案
公安部本周三公布了关于《公安机关互联网安全监督检查规定(征求意见稿)》(doc)公开征求意见的公告。新的规定针对的是互联网服务提供者和联网使用单位,也就是 ISP、IDC 和使用网络的企业和网吧,其中 ISP 可以是个人。
公安机关重点检查的内容包括:是否办理国际联网备案手续;是否采取记录并留存用户注册信息和上网日志信息的技术措施;是否采取在公共信息服务中禁止发布和停止传输违法信息,并保存相关记录的措施;是否依照国家法律和标准采取为公安机关依法维护国家安全、侦查犯罪、防范调查恐怖活动提供技术支持和协助措施。公安机关利用检查工具开展现场检查或远程检测,应当告知被检查对象或者公开检查事项,不得干扰、破坏被检查对象网络的正常运行。
对公安部网站的搜索显示,国际联网备案很早就有,现在似乎更严格执行了。
2018.4.8 周日
1、赛门铁克路由器被发现违反了 GPLv2 许可证
Linux 使用了 GPLv2 许可证,而基于 Linux 的项目也都要遵守许可证要求。其中一个要求是出售的设备需要披露源代码。多年来嵌入式厂商经常被发现不提供源代码。现在,知名安全公司赛门铁克成为最新一个被发现不遵守许可证要求的企业。Google 工程师和 Linux 安全专家 Matthew Garrett 分析了他的高端路由器 Norton Core Router,赛门铁克声称将使用最新的安全机制定期更新路由器。Garrett 对其进行挖掘之后发现赛门铁克的软件系统是基于开源的 QCA Software Development Kit (QSDK)和 OpenWrt,OpenWrt 提供了一个包管理的完全可写入文件系统,允许赛门铁克使用更新的安全特性定制路由器。开源软件采用的 GPLv2 许可证,而根据许可证衍生项目也就是 Norton Core Router 需要披露其源代码。
来源:solidot.org
2、Intel软件被曝漏洞:直接放弃
无论软硬件产品,被发现各种漏洞是再正常不过的,而厂商接下来要做的自然就是修补漏洞,不过Intel这一次的选择有点不一样。
Remote Keyboard(远程键盘)可以将用户的智能手机或平板机变成键盘、鼠标,从而远程控制Intel NUC迷你机、Compute Stick计算棒设备,支持快捷键、不同键盘布局、手势操作、DPI灵敏度调节。
Google Play商店里它的下载量已经超过50万次,总评分3.8,还算可以。
不过最近,该软件被发现存在三个安全漏洞,会导致权限提升,从而允许攻击者接入同一网络、向本地用户或者另一键盘对话执行按键注入,或者执行任意代码。
在经过一番考察后,Intel认为这些漏洞并不值得修复,而是直接把它从Google Play、App Store商店里给下架了,同时通知用户尽快删除,今后也不要再用。
值得一提的是,这个软件上次更新还是2017年6月,看起来Intel早就对它没兴趣了,趁这次机会正好丢掉。
来源:驱动之家
3、伊朗疑似遭到网络攻击 全国互联网出现短暂中断
据伊朗媒体 7 日报道,伊朗 6 日晚疑似遭到网络攻击,伊全国范围内互联网出现短暂中断。伊朗新闻电视台援引伊朗通信和信息部长穆罕默德·贾赫鲁米的话报道说,6 日晚伊朗国内几处数据库遭到攻击,互联网维护人员随后迅速采取行动,恢复网络正常。他强调,所有受攻击目标均已恢复运行。
贾赫鲁米说,此次攻击不局限在伊朗境内,很快就能找到攻击源头。
伊朗曾多次遭到电脑病毒攻击。2010 年 9 月,伊朗国内数万个互联网终端感染“震网”病毒,随后伊朗数次推迟其核电站布什尔核电站的供电时间并一度卸载已加载的核燃料。
来源:cnBeta、新华社
2018.4.4 周三
1、Gartner:2018年全球物联网安全支出将达15亿美元
近日,Gartner旗下CEB在最新的调查中发现,近20%的企业机构在过去三年内至少观察到一次基于物联网的攻击。为了应对这些威胁,Gartner预测全球物联网安全支出将在2018年达到15亿美元,相比2017年的12亿美元增加了28%。
Gartner研究总监Ruggero Contu表示,在物联网项目中,企业机构通常无法掌控被智能联网设备所用的软硬件的来源与性质。由此,预计有关改进发现与资产管理(discovery and asset management)、软硬件安全评估(software and hardware security assessment)以及渗透测试(penetration testing)的工具和服务的需求会不断涌现。
此外,企业机构将会增强其对于外化网络连通性(externalizing network connectivity)影响的认识。这些因素将是预测期内支出增长的主要推动因素,物联网安全支出预计到2021年将达到310万美元(参见表一)。
表一、全球物联网安全支出预测(单位:百万美元)
来源:Gartner(2018年3月)
尽管全球支出逐年稳定增长,但Gartner预测,在2020年之前,阻碍物联网安全增长的最大因素都是缺少对物联网项目的安全最佳实践及工具的优先考虑与适当实施,而这将影响80%的物联网安全潜在支出。
Contu先生解释道:“虽然物联网的安全性一直被视为一个重要问题,但大部分物联网安全的实施一直都是由各业务单元自行规划、部署与运行,在此期间会与某些IT部门合作以解决受设备影响的IT环节。但是,这些实施几乎全都缺少经由通用架构的协作或一致性的安全策略,且厂商产品或服务选择依然在很大程度上基于设备提供商与合作伙伴的联盟或者设备增强/替换的核心系统。”
虽然许多垂直项目中已出现了基本的安全模式,但尚未形成可连续重复使用的政策或设计模板。因此,IT安全标准常设机构、联盟组织与厂商联盟现在才开始处理针对业内具体物联网安全组件的技术标准。
“设计安全”的缺失源自缺少具体且严格的法规。Gartner预测,未来这一趋势将会发生改变,尤其是在医疗保健与汽车等受到高度监管的行业。
到2021年,Gartner预测法规遵从性(regulatory compliance)将成为影响物联网安全部署的主要因素。由于物联网正在渗入工业世界,因此那些必须遵守相关法规及指南以改进关键基础设施保护(CIP)的行业将不得不更加重视安全性问题。
Contu先生认为:“目前,通过云端部署的传感器、机器人与远程连接等智能联网设备而提升操作流程自动化的势头正在不断上升。所谓的工业物联网(IIoT)或工业4.0创新已经在能源、石油与天然气、交通运输与制造业等部署操作技术(OT)的行业领域内对安全性产生了影响。”
来源:环球网科技
2、 Chrome 被发现会扫描用户计算机上的文件
3、 虚假杀毒软件窃取设备存储信息,竟是两种 Android RAT 变体
近日,EST 安全团队发布了一篇关于 Android 手机平台上虚假防病毒恶意软件的帖子。根据韩国媒体的报道,有人认为这些恶意软件可能与 123 组织( Group 123)之间存在某种关联。在深入研究这种关联中,Talos 结合其调查报告以及 123 组织的历史背景,确定了 Android 远程管理工具(RAT)的两种变体:KevDroid和PubNubRAT。这两种变体具有相同的功能 , 即窃取受感染设备上的信息(如联系人、短信和电话历史记录),并记录受害用户的电话。除此之外,两种变体的数据也都是使用 HTTP POST 发送到唯一的命令和控制(C2)服务器上的。
其中一种变体 KevDroid 使用了已知的 Android 漏洞(CVE-2015-3636),以便在受损的 Android 设备上获得 root 访问权限。
而 PubNubRAT(以 Windows 为目标)则是被确认托管在 KevDroid 使用的命令和控制服务器上。该恶意软件专门使用 PubNub 平台作为它的 C2 服务器。
PubNub 是一个全球数据流网络(DSN), 攻击者可以使用 PubNub API 向被攻击的系统发布命令。
Talos 表示他们目前只是大致识别了一些无法可靠确定真正联系的策略、技术和程序要素,还不能够确定这些变体与 123 组织之间的具体关联。
来源:hackernews
2018.4.3 周二
1、境外黑客团队“白象”突然活跃,针对我国特定单位和个人发起攻击
4 月 1 日,雷锋网从微步在线了解到,境外黑客组织“白象”在蛰伏了一段时间后,于今年 3 月上旬对国内发起攻击。
2017年12月下旬,国外网络安全公司趋势科技对其攻击活动曝光后,该团伙迅速停用了所有域名、IP等基础设施,进入“蛰伏期”。然而在今年 3 月上旬至 3 月中旬,“白象”团伙再次发起针对我国的网络攻击,使用的诱饵文档均为某特定期间的新闻话题,涉及军事、社会、法律等多个方面。
此次,白象利用诱饵文档,通过 Office 漏洞向受害主机植入木马后门,相关程序与该团伙此前使用的木马结构功能基本一致,可根据远程控制服务器发送的指令完全控制受害主机。此次攻击活动系通过钓鱼邮件对特定单位和个人发起,且攻击活动仍在继续。
据微步在线捕获的样本文档显示,“白象”使用的多个诱饵文档,分别存放在 fprii.net、ifenngnews.com和chinapolicyanalysis.org 等该团伙注册的仿冒网站上,文档内容涉及“2018最新部队工资调整政策” (3月6日出现)、 “民政部公布一批非法社会组织” (3月14日生成)、“中华人民共和国监察法(草案)”(3月15日生成)、以及日本防卫研究所发布的2018年版《中国安全战略报告》(3月13日出现)等某特定期间的热点话题,具备较强的迷惑性和针对性。
来源:雷锋网
2、国务院办公厅关于印发科学数据管理办法的通知
新华社北京4月2日电 日前,国务院办公厅印发《科学数据管理办法》(以下简称《办法》),进一步加强和规范科学数据管理,保障科学数据安全,提高开放共享水平,更好地为国家科技创新、经济社会发展和国家安全提供支撑。
科学数据是国家科技创新发展和经济社会发展的重要基础性战略资源。近年来,随着我国科技投入不断增长,科技创新能力不断提升,科学数据呈现出“井喷式”增长,而且质量大幅提高。海量科学数据对生命科学、天文学、空间科学、地球科学、物理学等多个学科领域的科研活动更是带来了冲击性影响,科学研究方法发生了重要变革。科技创新越来越依赖于大量、系统、高可信度的科学数据,我国在科学数据开发利用、开放共享和安全保护等方面还有很大改进空间。
《办法》贯彻落实党的十九大精神,以习近平新时代中国特色社会主义思想为指导,深刻把握大数据时代科学数据发展趋势,充分借鉴国内外先进经验和成熟做法,加强科学数据全生命周期管理,把确保数据安全放在首要位置,突出科学数据共享利用这一重点,创新体制机制,聚焦薄弱环节,加强和规范科学数据管理,对进一步提升我国科学数据工作水平,发挥国家财政投入产出效益,提高科技创新、经济社会发展和国家安全支撑保障能力具有重要意义。
《办法》明确了我国科学数据管理的总体原则、主要职责、数据采集汇交与保存、共享利用、保密与安全等方面内容,着重从五个方面提出了具体管理措施。一是明确各方职责分工,强化法人单位主体责任,明确主管部门职责,体现“谁拥有、谁负责”,“谁开放、谁受益”。二是按照“分级分类管理,确保安全可控”的原则,主管部门和法人单位依法确定科学数据的密级及开放条件,加强科学数据共享和利用的监管。三是加强知识产权保护,对科学数据使用者和生产者的行为进行规范,体现对科学数据知识产权的尊重。四是要求科技计划项目产生的科学数据进行强制性汇交,并通过科学数据中心进行规范管理和长期保存,加强数据积累和开放共享。五是提出法人单位要在岗位设置、绩效收入、职称评定等方面建立激励机制,加强科学数据管理能力建设。
来源:新华社
2018.4.2 周一
1、数以万计 Django 应用程序因配置错误泄露密码等敏感信息
近日,安全研究员 FábioCastro 发现 28,165 个配置错误的Django应用程序暴露敏感信息,其中包括密码,API 密钥以及 AWS 访问令牌。FábioCastro 称这是由于 Django 开发人员忘记禁用调试模式导致的,黑客可以使用这些泄露的数据来获得系统的完全控制权。
Django 是一个非常流行的高级 Python Web 框架,它可以快速开发基于 Python 的 Web 应用程序。不过 Castro 在一个小项目上使用 Django 框架时却发现其配置是错误的,出于安全考虑他建议将应用程序部署到生产时禁用调试模式。
2、Cloudflare正式推出1.1.1.1公共DNS服务
Cloudflare宣布昨日正式推出1.1.1.1公共DNS服务,号称任何人都可以使用它可以加快互联网访问速度并并保持连接私密性。Cloudflare声称它将是“互联网上速度最快,隐私优先的消费者DNS服务”,此前类似的免费公共服务OpenDNS与Google DNS都已经服役了很长时间。
Cloudflare的工作重点在于关注其自身DNS服务的隐私方面,并承诺在其内部每24小时就清楚DNS查询日志一次。
DNS服务通常由互联网服务提供商提供,以将诸如Google.com之类的域名解析为路由器和交换机能够理解的真实IP地址。它是互联网的重要组成部分,但ISP提供的DNS服务器通常速度慢,不可靠,甚至还会有故意劫持互联网站以牟利的事情发生。DNS出现严重故障的时候,部分区域的网络访问可能会不可用,这些事情在国内外已经多次发生。
Cloudflare与APNIC合作通过1.1.1.1和1.0.0.1两个IP提供DNS服务。并且,本身作为互联网服务供应商的Cloudflare本身还利用了自己的长处,分析和研究垃圾流量,以保证DNS解析数据的准确。
Cloudflare的DNS将支持DNS-over-TLS和DNS-over-HTTPS,全球平均响应时间为14ms,而OpenDNS为20ms,Google的DNS为34ms。
这并不是Cloudflare第一次提供免费服务帮助网络。数年前他们为数百万个网站提供免费的SSL加密,该公司还提供DDoS保护以防止网站被恶意流量淹没而闻名。
如果您有兴趣启用Cloudflare的新DNS,您可以在https://1.1.1.1找到所有信息。
3、俄政府拨款 5200 万美元发展数字经济
俄罗斯政府网站 31 日发布公告称,总理梅德韦杰夫日前签署一项命令,要求从政府储备基金中拨款约 30 亿卢布(约合 5200 万美元)用于发展本国数字经济。公告称,梅德韦杰夫要求从政府储备基金向“俄罗斯联邦数字经济”这一国家优先发展计划拨款 30.4 亿卢布。
这笔资金将主要用于该项目框架下的信息基础设施建设,加强科研能力、技术储备和信息安全等。
“俄罗斯联邦数字经济”计划于 2017 年 7 月签署,整合了政府原有和最新的数字经济发展方案,力争在数字经济监管标准、人才培养、科研能力建设、信息安全和信息基础设施建设等方面实现长足发展。目前,该项目中的部分计划已开始实施。
来源:cnBeta
2018.3.30 周五
1、WebRTC bug 泄漏 VPN 用户的真实 IP
WebRTC 是一个为浏览器和移动应用提供实时通信功能的开源方案,被现代浏览器如 Brave、Firefox、Chrome、Opera 和 Vivaldi 等默认启用(Tor 浏览器默认禁用)。
2、波音遭遇勒索软件攻击, WannaCry 成为最大怀疑对象
据西雅图时报报道,波音公司于本周三遭遇了勒索软件攻击(疑似“WannaCry”), 其商用飞机制造总工程师 Mike VanderWel 警告称,该勒索软件正在从波音公司南卡罗来纳州北查尔斯顿的工厂扩散出去,并且可能已经导致 777 的翼梁自动装配工具产线瘫痪。VanderWel 担忧 恶意软件可能不仅会感染用于飞机功能测试的设备,也可能扩展到“飞机软件”中。
但随后波音在 Twitter 上发表声明说,媒体的报道与真实情况具有一定差距,因为根据波音网络安全运营中心的检测,恶意软件的入侵仅影响到少数系统,并且安全人员也已经采取了补救措施。
虽然 WannaCry 偶尔还是会被发现试图传播,但大多数情况下,安全研究人员已经能够有效地拦截这个勒索软件。这就是为什么一年之后,所有发布的补丁程序和 AV 软件都能检测到它。
目前,波音公司遭受的勒索软件还没有被 100% 确认为 WannaCry,安全人员猜测它也有可能只是 WannaCry 的模仿版。
3、监控界神秘巨星「 Gray Heron 」:专为各国执法部门提供高级间谍产品,幕后掌控疑涉沙特政府
据外媒报道,一家名为Grey Heron的神秘监控公司正在宣传其间谍软件,声称能够监视 Signal 和 Telegram 通信。根据 Motherboard 进行的一项调查显示,该公司与意大利监控公司 Hacking Team 应该具有某种联系,因为背后有与沙特政府相关的投资者支撑,目前 Hacking Team 仍在继续售卖其间谍软件。
监视软件的开发和销售是一项有利可图的业务,许多政府机构都将间谍软件用于不同的目的。因此为了更加清楚地掌握 Grey Heron 与这些机构间的关系 ,Motherboard 展开了深入调查。
Motherboard 从一份 Grey Heron 的宣传册获知,Grey Herond 的使命是为执法部门提供有力工具来平衡犯罪分子的能力。这本宣传册包含了一张 Eric Rabe 的名片、Grey Heron 的营销和沟通方式。
Grey Heron 背后势力
值得注意的是,Rabe 是意大利监控公司 Hacking Team 的长期发言人。Hacking Team 是一家向其他国家政府(例如苏丹、埃塞俄比亚、沙特阿拉伯和巴林等)出售间谍产品的监控公司。 根据 Motherboard 调查,目前Hacking Team 黑客团队仍然活跃,这在一定程度上要归功于一个与沙特政府有关联的投资者。
Private Eye 在最近的一份报告中也透露了 Grey Heron 总部设在米兰,并简要地提及了 Grey Heron 与 Rabe 的关系。除此之外,Private Eye 还认为 Grey Heron 可能与英国另一家同名公司(该公司由一位前英国军官管理)具有一些联系。
Gray Heron 间谍能力
在宣传册中,Gray Heron 承诺解决与其他恶意软件供应商指出的相同问题,比如易于使用的加密技术激增。那么为了应对这些问题, Gray Heron 要如何部署其间谍软件呢?
一般情况下,Gray Heron 是采用了多种不同的方式来部署,其中包括通过漏洞远程利用或社交工程攻击来欺骗目标对象下载软件。该公司为 Android 和 iOS 设备以及 OS X 和 Windows 计算机提供功能。
Gray Heron 可以收集来自 Signal 和 Telegram 的数据。虽然如何从 Signal 中提取信息还尚不清楚,但是在营销材料中特别提及 Signal 的恶意软件公司并不常见。除此之外,Grey Heron 还透露他们将 Skype 和加密电子邮件作为目标对象。
Gray Heron 对欧洲和北美市场都非常感兴趣,并且 Gray Heron 已私下证实,意大利政府已经允许其在整个欧盟范围内出口其产品。
2018.3.29 周四
1、CPU又曝极危安全漏洞!Intel二四六代酷睿中招
Intel刚刚完成对过去五年CPU幽灵、熔断两大漏洞的修补工作,AMD也确认被曝光的十几个漏洞影响很小,还没平静几天,又捅娄子了!
来自美国四所大学的四名研究人员Dmitry Evtyushkin、Ryan Riley、Nael Abu-Ghazaleh、Dmitry Ponomarev共同发现,现代CPU内存在一个高危安全漏洞,已经成功在Intel Sandy Bridge二代酷睿、Haswell四代酷睿、Skylake六代酷睿平台上成功验证,AMD平台也正在测试之中。
该漏洞被命名为“BranchScope ”,有点类似此前闹得满城风雨的Spectre幽灵漏洞第二个变种,利用的同样是现代CPU中的分支预测功能。
但不同的是,幽灵漏洞第二变种攻击的是分支目标缓冲,BranchScope的目标则是定向分支预测器(directional branch predictor)。
它的作用是决定预测操作如何执行,如果能够成功误导它,就可以诱骗CPU从原本不可访问的内存空间内读取和传播数据。
最糟糕的是,利用此漏洞完全不需要提前获取管理员权限,可以直接从用户空间内发起。
幸运的是,不像那个不负责、通知AMD之后24小时就公开漏洞的CTS-Labs,这次研究人员们很早就通知了硬件厂商,直到现在才公开漏洞详情。
当地时间3月29日,研究人员们会在第23届ASLOS 2018顶级国际会议上发表他们的研究成果。
2、Windows 7 Meltdown 补丁被发现严重漏洞 允许任意进程读写内核内存
认为英特尔芯片的Meltdown漏洞是灾难?还有更严重的,那就是 Meltdow 的补丁。微软向 Windows 7 释出的 Meltdown 补丁,它允许任意进程任意读写内核内存。在 2018 年 1 月到 2 月之间打了补丁的 64 位 Windows 7 系统存在该严重漏洞,而没有打补丁或打了 3 月份补丁的 Windows 7 系统不受影响。
想知道你的 Windows 7 系统是否受到影响,可以从 Github 上下载 PCILeech 测试。
来源:cnBeta、solidot
3、门罗币并不匿名
门罗币(Monero 或 XMR)是一个注重隐私、匿名性和不可跟踪的加密数字货币,它因为被网站或恶意程序利用 CPU 挖矿而受到广泛关注。但门罗币真的无法发现使用者的身份和跟踪交易?一组研究人员发现,虽然门罗币的隐私保护强于比特币,但它仍然未能隐藏用户的身份。来自普林斯顿、卡内基梅隆、波士顿、MIT 和伊利诺伊香槟的研究人员发表了一篇论文,指出了门罗设计中的缺陷让提取出个人的交易成为可能。漏洞存在于门罗比在 2017 年 2 月修改代码前,这个日期之前的交易很容易识别身份,而之后的交易在识别身份上也比用户以为的简单。
来源:solidot
2018.3.28 周三
1、Win10 17133签署RTM:春季创意更新4月10日正式推送
3月28日早间消息,微软面向Windows 10 Insider快速会员推送了Build 17133新预览版系统,隶属于RS4分支。
不同于此前推出的几个RS4预览,这一版没有任何新特性介绍,主力在修复BUG,包括Bitlocker设备进入恢复模式、连接4台以上显示设备是无法更改屏幕分辨率、在Edge搜索栏中点击建议项无响应等。
值得一提的是,Win10 Build 17133没有存在新的已知问题。
据Windows Central报道,Buid 17133已经被签署为RTM,也就是正式版,将作为“Spring Creators Update(春季创意者更新)”推送,时间是4月10日。
当然,最终用户收到的可能是带有“尾巴”的Buid 17133,就像之前的秋季创意者更新Build 16199.15那样。
不过,对于Build 17133,微软倒是没有确认,措辞依然是比较“模糊的官方口径”,即Build 17133已经处在正式版最后阶段了。
按照时间段来看,Windows 10春季创意者更新将是Windows 10的第六个稳定正式版,第5次功能性迭代。
2、谷歌应用商城存多款安卓二维码恶意应用 下架前下载量超 50 万次
上周安全公司 SophosLabs 报告了在谷歌Play 官方应用商城有多款安卓二维码恶意应用,下架前这些恶意应用的下载量超过了 50 万次。SophosLabs 的研究人员检测到了 6 款二维码扫码应用和一款智能罗盘应用均包含着利用二维码的恶意代码“Andr/HiddnAd-AJ”,利用漏洞向用户发送恶意广告。
ZDNet 网站的 Danny Palmer 披露了相关报告,“在安装后,恶意软件会潜伏六个小时开展恶意活动,提供恶意广告推送服务,向用户推送全屏恶意广告,并在网页中打开相关广告,发送大量包含广告连接的推送通知等。” Sophos 公司的安全人员称这些隐秘的恶意应用在被谷歌下架前,已经被下载了超过 50 万次。谷歌没有立即回应置评请求。
3、看不见的红外光能愚弄脸部识别软件
复旦大学和阿里巴巴的研究人员在预印本网站 arxiv 发表论文(PDF),描述了一种能愚弄脸部识别软件的“攻击方法”,他们利用安装在帽檐的红外 LED 灯照亮脸部,投影 CCTV 摄像头能看见但人眼看不见的形状去愚弄识别软件。使用这种方法研究人员欺骗脸部识别软件将任意人的脸识别为音乐家 Moby,韩国政客李会昌等(如图所示)。根据论文摘要,这项研究是为了揭示红外对抗对面部识别构成的严重威胁。研究人员称,利用这种方法,攻击者不仅能躲避监控探头,如果能获得受害者的照片攻击者还能冒充受害者通过脸部识别认证。研究人员称,今天的脸部识别技术远称不上安全和可靠。中国有着最庞大的监控探头集群,并正在广泛应用脸部识别。
4、Spectre“幽灵”漏洞之后,研究人员发现新的分支预测攻击
威廉玛丽学院、卡内基梅隆大学、加州大学河滨分校和宾厄姆顿大学的研究人员报告了(PDF)一种新的分支预测攻击,利用现代处理器的预测执行功能去泄漏敏感信息,破坏操作系统和软件为保护重要数据建立的安全边界。这听起来似曾相识。今年初披露的 Spectre 攻击利用的就是处理器的预测执行功能泄漏敏感信息。新的攻击被命名为 BranchScope,与 Spectre v2 攻击有相似之处,都是利用处理器的分支预测行为。Spectre 2 依赖于分支目标缓冲区 (Branch Target Buffer),而 BranchScope 则是模式历史表 (Pattern History Table)。研究人员针对的是英特尔处理器,他们使用该攻击去泄漏英特尔 SGX (Software Guard Extensions)保护的信息。
来源:cnBeta、solidot
2018.3.27 周二
1、iOS 11 相机二维码扫描存在漏洞 会导致用户访问恶意网站
iOS 11 中的相机 app 新增加了二维码扫描功能,可以自动识别很多内容,比如网站、App Store 链接以及 WiFi 等。上周末有用户发现,iOS 11 相机 app 存在严重的漏洞。根据 Infosec 报告,研究人员发现,iOS 11 相机 app 扫描的二维码可能欺骗用户,扫描出来的网站信息与真正前往的网站信息不同,这会导致用户访问的网站与实际看到的网站不同。Infosec 利用这个漏洞制作了一个二维码,当用户扫描后,提示访问:facebook.com,但点开后却访问了 Infosec 自己的网站。
Infosec 认为,相机 app 不能正确的处理二维码中的 URL。自去年9月发布之后,iOS 11 出现了很多问题,包括影响所有 iOS 和 Mac 设备的熔断和幽灵 bug等。Infosec 表示去年12月23日已经将二维码漏洞递交给苹果,不过截止至现在,苹果仍然没有修复这个问题。
来源: MacX
2、Reddit 关闭暗网社区,引发用户热议
众所周知,暗网中充斥着武器、毒品、恶意软件、数据入侵、DDoS 服务、欺诈服务等,但是只能通过特殊手段才能访问。但巨大的地下市场也催生了表网中与暗网有关的社区,Reddit网站中的 /r/DarkNetMarkets 社区就是一个例子。近日,Reddit 关闭了这个社区,当时其订阅用户数量高达 18 万。
在论坛关闭之前,Reddit 管理员发布了一条新的“直接交易”禁令,禁止用户在论坛或社区中交易某些特定形态的商品。这些商品包括:
- 枪支,弹药或爆炸物;
- 包括酒精和烟草在内的药物或任何受管控的物质(根据 Reddit 广告政策放置的广告除外);
- 涉及身体性触的有偿服务;
- 被盗物品;
- 个人信息;
- 伪造的官方文件或货币
事实上,Reddit 早就开始探讨实施新的“直接交易”禁令,2 月份美国 Stoneman Douglas 高中的枪击案促使 Reddit 管理员开始批准并执行这项新禁令,主要是为了防止在平台上进行枪支和弹药交易。
Reddit 的很多用户对此也期待已久,对 DarkNetMarkets 的禁令完全合理,在这个社区中,用户总是谈论黑暗网络市场,而且所有的讨论总是导向交易、市场漏洞、欺诈或产品评价等内容。
尽管这个论坛的监管者已经尽力禁止用户在论坛中诱导交易,但是,如果用户不在这里展示自己购买的产品(通常是毒品)的话,他们就没有别的话题可聊了。此外,在这个论坛中,用户也会首发一些关于市场意见或曝光诈骗的内容。
很多信息安全从业者认为,这个论坛已经被执法机构掌控,用于搜集信息,作为未来抓捕的证据。 在 DarkNetMarkets 突然消失之后,Reddit 上出现了几个克隆论坛。但是一旦 Reddit 管理员发现用户通过这些新社区进行非法商品交易的证据,这些克隆论坛也会消失。
3、黑客利用存在 5 年的漏洞感染 Linux 服务器并获利
黑客组织利用Cacti“Network Weathermap”插件中一个存在 5 年之久的漏洞,在 Linux 服务器上安装了 Monero 矿工,赚了近 75,000 美元。来自美国安全公司趋势科技的专家表示,他们有证据证明这些攻击与过去发生在 Jenkins 服务器上的攻击有关:黑客组织利用 CVE-2017-1000353 漏洞在 Jenkins 设备上安装 Moner 矿工,获得了约 300 万美元。
这次,攻击者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一个基于 PHP 的开源网络监视和图形工具,更具体地说,是在其 Network Weathermap 插件中负责可视化网络活动。
就像在以前的攻击一样,黑客利用这个漏洞获得底层服务器的代码执行能力,在这些服务器上他们下载并安装了一个合法的 Monero 挖掘软件 XMRig 的定制版本。
攻击者还修改了本地 cron 作业,每三分钟触发一次“watchd0g”Bash 脚本,该脚本检查 Monero 矿工是否仍处于活动状态,并在 XMRig 的进程停止时重新启动它。
攻击者使用这种简单的操作模式收获了大约 320 XMR(75,000 美元)。所有受感染的服务器都运行 Linux,大多数受害者位于日本(12%),中国(10%),台湾(10%)和美国(9%)。
由于 Cacti 系统通常设计为运行并密切关注内部网络,因此不应在线访问此类实例。
稿源:cnBeta、开源中国
2018.3.26 周一
1、 TLSv 1.3 网络安全标准通过 带来更安全的网络环境
互联网工程师近日通过了一个安全框架,它将使网络上的加密连接更快,更耐窥听。它被称为 Transport Layer Security version 1.3(TSLv 1.3),这并不是一次大版本更新,而是一次迭代改进,它可以让 Web 在任何有恶意操作或程序存在时正常工作。
IETF 是由来自世界各地的工程师组成的团队,他们在此标准上进行合作 - 用了超过四年,起草了 28 份草案后,才通过 TLS 1.3。
TLS 1.3 主要支持四种握手模式
(1)基于(EC)DHE密钥交换的握手模式;
(2)基于PSK的会话重启,由预共享密钥PSK进行快速简短的握手;
(3)会话重启与(EC)DHE结合的握手,可以提供前向安全性;
(4)基于PSK的0-RTT(round-trip time)握手,客户端利用PSK导出密钥,在第一轮就发送秘密数据,降低了握手的延迟。在此之后还可以继续进行(EC)DHE的密钥交换完成完整的握手(该步为可选)。
整个标准长达 155 页,如果您想仔细阅读或详细了解其中一项新功能,可在此处找到。
2、Etcd REST API 未授权访问漏洞暴露 750MB 密码和密钥
近日据外媒报道,安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了 etcd 组件的服务器暴露在互联网上,利用一些简单脚本即可从中获取登录凭证,如 cms_admin、mysql_root、 postgres 之类。目前 Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据,其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。
etcd 是一个分布式密钥值存储和为存储跨机器群集的数据提供可靠方法的数据库,通常用于在各种服务器和应用程序之间存储和分发密码和配置设置。etcd 实现了一个可以查询的编程接口,并且默认情况下不需要身份验证就可返回管理登录凭证。
虽然 Collazo 并没有测试这些凭证,但其中一些被推测是有效的,有可能会被攻击者用来侵入系统。此外,根据 Collazo 的说法,任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。
为了保证 etcd 安装安全,Collazo 建议启用身份验证并在不需要时使其脱机,或者设置防火墙,以避免未经授权的人员查询 etcd 服务器。
3、德研究人员发现,比特币区块链被用以存储儿童色情内容
德国的研究员发现,有人正在用比特币区块链存储虐童图片并提供链接,这样的行为可能会使加密货币陷入危险。
区块链是开源的分布式账本,它记录每一笔比特币交易,也可以存储小部分非财务数据。这些数据通常是关于比特币交易的记录——记录比特币用途或其他元数据,但它也可以用来存储链接和文件。
亚琛工业大学的研究员发现,目前大约有1600个文件存储在比特币的区块链中。众多文件中,至少有8份涉及色情,其中一份被认为是虐童图片,另外两份涉及虐童内容的链接,其中有142条链接与暗网勾结。
研究人员写道:“我们的分析表明,某些内容,例如非法色情内容,可能导致仅仅‘拥有区块链’就是违法。尽管法院尚未对此事给出过判决,但来自德国、英国或美国等国家的立法文本表明,诸如‘虐童图片’等非法内容可能导致‘拥有区块链’这一行为对所有用户来说,都是违法的。”
虽然花费比特币不一定需要区块链副本的帮助,但有些流程(如某些挖掘技术)需要下载完整的区块链。研究人员还写道:“因为所有区块链数据都由用户下载并永久存储,所以他们必须为其他人添加到区块链中的任何令人反感的内容负责。因此,只要一个区块链系统中包含非法内容,所有的参与行为都是非法的。”
挖矿对于比特币功能至关重要,因为该流程会把比特币的交易记录在区块链中,如此便能核实交易并在此过程中生成新的比特币。因此若区块链中存在非法内容(如虐童图片),货币可能就会出现重大问题。
研究人员写道:“我们预计在不久的将来,非法内容会成为破坏比特币等区块链系统的定时炸弹。”
这不是第一次区块链存储非财务数据的能力受到警告。国际刑警组织在2015年就警告说:“区块链的设计意味着恶意软件可能被注入其中并永久托管,目前没有可行的方法来擦除这些数据。”国际刑警组织还警告道,区块链可成为托管、分享儿童性虐图片的“安全港”和“罪恶的温床”。
这样的内容第一次被揭露出来,也造成了有关区块链的使用道德和法律困境。
来源:DeepTech深科技
2018.3.24 周六
1、Coinbase智能合约被曝漏洞,用户可无限量窃取以太币
雷锋网消息,3月22日,美国加密钱包供应商和交易所 Coinbase 的智能合约被检测出现漏洞,允许用户无限取出ETH(以太币)。
据外媒报道,这一漏洞由荷兰安全公司 VI Company 发现并上报,其认为从技术上讲用户可以无限制使用以太坊的资金。
另外值得注意的是:
通过使用智能合同在钱包之间分发以太币,就可以操纵并篡改用户 Coinbase 账户里的余额。
在智能合约中,倘若某一单笔内部交易失败,相关交易都将被撤销。但在 Coinbase 的业务系统中,并不会撤销相关交易,也就是说有心人可以在账户余额中不限量添加以太币。
万幸的是,Coinbase 账户均为实名验证,即使有人趁机浑水摸鱼,也能被系统检测、追踪。因此即使这一漏洞存在一月之久,也未发现被人利用。
于是,Coinbase大手一挥,奖励了这家公司一万美元,并针对该漏洞作出回应。其表示,上述漏洞意味着 Coinbase 的智能合约确存有缺陷,但目前并未发现有用户利用此漏洞牟利。
2、苹果:将通过软件更新修复 Siri 读取锁屏隐藏信息的 Bug
近日爆出 iOS 11 存在 Siri 可以读取第三方 App 锁屏隐藏信息的 Bug,今天早些时候苹果已经确认此事并将通过软件更新进行修复。苹果在声明中表示,已经意识到问题的存在并将通过一次软件更新将其修复。如果按照目前状况分析,这次更新很可能指的就是 iOS 11.3,不过也有可能苹果会通过一次小幅更新来尽快解决此事,比如 iOS 11.2.7。
之前巴西一家网站曝光了 Siri 的这个泄露隐私的问题,Siri 并不会朗读苹果自家信息应用的锁屏隐藏消息,但会朗读第三方的,比如 Facebook Messenger、WhatsApp 和 Gmail。由于 Siri 并不区分用户的声音,所以任何人都可以通过 Siri 来窥探机主的隐私信息。
值得一提的是,虽然 Siri 无法读取信息应用的锁屏隐藏信息,但可以读取邮件应用的主题。
3、谷歌正在为 Chrome OS 设备发布更多的 Meltdown 和 Spectre 补丁
黑客可以利用Meltdown和Spectre攻击绕过内存隔离机制并访问目标敏感数据。使攻击者能够读取目标机器的全部物理内存,窃取凭据,个人信息等等。
Spectre 攻击允许用户模式应用程序从运行在同一系统上的其他进程中提取信息。它也可以用来通过代码从自己的进程中提取信息,例如,恶意 JavaScript 可以用来从浏览器的内存中提取其他网站的登录 Cookie。
Spectre 攻击打破了不同应用程序之间的隔离,允许将信息从内核泄漏到用户程序,以及从虚拟化管理程序泄漏到访客系统。
Meltdown 攻击触发 CVE-2017-5754 漏洞,而 Specter 攻击 CVE-2017-5753(Variant 1)和 CVE-2017-5715(Variant 2)。据专家介绍,只有 Meltdown 和 Specter Variant 1 可以通过软件来解决,而 Spectre Variant 2 需要更新受影响处理器的微码。软件缓解措施包括。
Google 在 Project Zero 的研究人员披露了这些缺陷之前的几十天,在 12 月发布了第 63 版解决了 Chrome 操作系统中的崩溃问题。Google 还推出了 KPTI / KAISER 补丁,以解决来自包括宏碁、华硕、戴尔、惠普、联想和三星等多家厂商在内的 70 款基于英特尔架构的 Chromebook 机型的缺陷。
本周,该公司发布了 Chrome OS 65 版本,该版本还包括针对内核版本 3.14 未涉及的许多基于Intel 的系统的针对 Meltdown 的 KPTI 缓解。根据 Google 的说法,所有采用英特尔处理器的旧款 Chromebook 都将获得针对 Meltdown 的 KPTI 缓解措施,并计划于 4 月 24 日发布 Chrome OS 66。
“对于大多数 Chrome 操作系统设备,Stable 频道已更新至 65.0.3325.167(平台版本: 10323.58.0 / 1)。 该版本包含一些错误修复和安全更新”。(阅读谷歌公告)
“ 3.14 内核上的英特尔设备通过 Chrome OS 65 获得了针对 Meltdown 的 KPTI 缓解措施。
“所有英特尔设备都通过 Chrome OS 65 获得了针对 Specter variant 2 的 Retpoline 缓解措施。”
Chrome OS 65 还为所有基于英特尔的设备提供了适用于 Spectre Variant 2 的 Retpoline 缓解措施。 Google 专家强调,对于 Specter Variant 1 攻击,黑客可能会滥用 Linux 内核中的 eBPF 功能,但 Chrome 操作系统会禁用 eBPF。
在基于 ARM 的系统上运行的 Chrome OS 设备不受 Meltdown 的影响。 谷歌正在努力解决幽灵问题。
“在 ARM 设备上,我们已经开始整合由 ARM 提供的固件和内核补丁。 发展仍在继续,所以发布时间表尚未最终确定。 ARM 设备将在启用虚拟化功能之前接收更新的固件和内核” Google 总结说。
2018.3.23 周五
1、Ledger 加密货币硬件钱包曝严重缺陷,多种场景窃取设备私钥
近日,一名 15 岁的英国男孩 Saleem Rashid 发现Ledger公司制造的加密货币硬件钱包存在一个严重的安全漏洞,被攻击者用来窃取 Ledger 设备私钥。根据这名男孩的说法,由于 Ledger 使用自定义体系结构来解决其安全元件的许多限制,因此造成了该漏洞的出现。、
攻击者可以利用该漏洞在用户接收设备之前破坏设备,或者在某些情况下以物理方式远程从设备中窃取私钥。例如以下场景:
1、在设置 seed 之前进行物理访问:也被称为“ 供应链攻击 ”
它不需要目标计算机上的恶意软件,也不需要用户确认任何事务。由于所有的私钥都是从 recovery seed 中派生出来的,因此攻击者可以窃取任何加载到设备上的资金。
2、安装后的物理访问:通常被称为“ Evil Maid 攻击 ”
这种攻击可以提取 PIN 码,recovery seed 以及任何使用的 BIP-39 口令,只要目标设备在攻击后至少使用一次。和供应链攻击一样,Evil Maid 攻击也不需要计算机上的恶意软件,也不需要用户确认任何交易。它只是要求攻击者安装一个自定义的 MCU 固件,以便于在使用时对私钥进行过滤。
3、恶意软件(带有一些社会工程)
这种攻击要求用户在受感染的计算机上更新 MCU 固件,可以通过显示一条错误消息,要求用户按住左键重新连接设备(以进入 MCU 引导加载程序)来实现。然后恶意软件使用恶意代码更新 MCU,达到控制设备上的可信显示和确认按钮的目的。
奇怪的是,当 Saleem Rashid 在首次向 Ledger 报告其发现时遭到了驳回。不过 Ledger 近期已发布了固件更新 1.4.1,并承诺 “深入探讨安全问题”。
2、波多黎各电力局(PREPA)遭遇黑客入侵
外媒 3 月 21 日消息,波多黎各电力局(PREPA)本周一证实其计算机基础设施曾在周末遭受了黑客入侵。目前 PREPA 确认此次事件没有对用户带来风险,因为黑客并没有访问其客户服务系统,数据信息也没有受到破坏。
值得注意的是,美国政府几天前曾发出警告称俄罗斯资助黑客组织发起针对美国关键基础设施。
的网络攻击。 不过目前并没有证据表明俄罗斯黑客参与了 PREPA 的攻击事件,因为黑客人士采用了复杂的技术来隐藏自己,使得调查该网络攻击变得非常困难。
根据 PREPA 发言人的说法,目前有关部门正在对该事件进行调查,但拒绝透露有哪些政府部门参与 。
3、赛门铁克:2017年Q4“加密货币劫持”事件增多85倍
据外媒报道,根据赛门铁克的一份新报告显示,2017年最后一个季度“加密劫持”事件上涨了8500%。“加密劫持”指的是劫持他人计算机进行加密货币挖矿行为。据统计,该类型攻击在去年12月份网络攻击和最后一个季度的所占比例分别达到了24%、16%,而那个时间段正好是比特币和其他加密货币价格大幅波动的时候。
赛门铁克通过对加密劫持的追踪了解到,其兴起的部分原因则是因为挖矿软件的易操作性、低门槛,它成为了许多人赚钱的途径之一。总体来看,加密劫持在2017年的发生数量上涨了34000%。
报告指出,利用他人电脑CPU挖矿比在目标电脑上安装病毒还要容易,甚至可以在用户为电脑打完补丁后仍能进行。去年,Showtime网站就被曝出利用用户CPU挖门罗币。最近,苹果在Mac App Store上移除了Calendar 2(日历2)软件,其也被发现利用用户电脑挖门罗币。
赛门铁克表示,加密劫持让那些毫无防备的受害者的设备运行速度变慢、电池出现过热、寿命变短的情况,而当该类型攻击针对的是大规模目标像企业网络时,其就可能会因为挖矿软件而出现关机的情况,但如果是小规模就没那么容易被发现了。报告写道:“这使得网络犯罪分子在受害者甚至没有意识到自己设备或正在访问的网站存在异常现象的情况下赚钱。”
由于加密劫持现在对于加密货币挖矿者来说仍存在丰厚回报所以其仍可能还是个大问题。除非这些加密货币价格不断下降一直到2009年首次出现的那样,那么这些人就会自然消失,因为他们不再有利可图。
2018.3.22 周四
1、FTC 对 Facebook 数据泄露展开调查 最高罚款 2 万亿美元
北京时间 3 月 21 日下午消息,美国联邦贸易委员会(FTC)对Facebook展开了调查,此前有消息爆出该公司数千万用户的个人信息遭到泄露,被一家数据分析机构利用,为特朗普在总统大选期间获得胜利提供了帮助。
一位消息人士透露,本次 FTC 的调查是 Facebook 成立以来所遭受的最严重的政治和法律危机。本次调查有可能导致 Facebook 遭到美国政府的巨额罚款。
2011 年 11 月 Facebook 曾与 FTC 在用户隐私问题上达成协议,那时 FTC 也对 Facebook 进行了调查,理由是怀疑 Facebook 在用户隐私保护上对用户进行了欺骗。最终这次调查以双方达成协议而告终。协议要求,如果 Facebook 要在隐私设定范围之外使用用户的数据,他们必须要获得用户的许可。
然而不久前,一位前 FTC 官员表示 Facebook 与 Cambridge Analytica 可能违反了该项协议。近日有告密者表示 Cambridge Analytica 收集了用户以及好友的信息,并且在 Facebook 告之将数据删除之后依然保留了这些数据。
大约有 27 万用户下载了 Cambridge Analytica 的 APP。但是由于可以获取用户 Facebook 好友的信息,为这些Facebook用户对于自己信息被收集一事并不知情。大约有 5000 万人的信息可能遭到了泄露。
如果 FTC 最终裁决 Facebook 违反了协议,Facebook 可能将会面临巨额罚款,每泄露一个用户的信息,就要罚款 4 万美元。按照 5000 万用户的基数算的话,Facebook 可能要面临 2 万亿美元的巨额罚款。
本周二,该公司副首席隐私官罗博·谢尔曼(Rob Sherman)似乎知晓了 FTC 的意图。他在一份声明中表示:“我们依然高度重视保护用户的信息。我们很愿意回应 FTC 的问询。”上周末,该公司断然否认了他们违反了 2011 年与 FTC 签订的协议。
Facebook 的一位发言人在声明中表示:“我们否认任何有关我们违反了协议的言论。我们非常尊重与用户签订的隐私协议。隐私保护和数据保护是我们做出每一个决策时的基础。”
本周二早间,Facebook 的股价下跌 5.5%,而周一该公司股价跌幅达到了接近 7%。
FTC 方面周二表示,他们已经知晓了本次事件,但是对于他们是否会对此事件进行调查,他们现在还无法回应。但是 FTC 的一位女发言人随后重申了该机构的权力。
她表示:“对于每一起违反规定的事件,我们都会严肃对待,就像 2012 年谷歌的那次隐私事件一样。”
2012 年谷歌被指蒙骗苹果 Safari 浏览器用户,让他们认为只要不修改该浏览器的隐私设置,他们在网上的活动就不会被谷歌跟踪。但实际上,谷歌使用的特殊代码却能绕过 Safari 浏览器的隐私设置,从而不断追踪用户的上网习惯。谷歌随后因为这次事件被罚款 2250 万美元。
FTC 消费者保护局局长大卫·弗拉德克(David Vladeck)表示:“FTC 对 Facebook 发起调查是完全可以理解的事情。”他认为 Facebook 很有可能违反了与 FTC 签订的协议,而 Cambridge Analytica 则违反了联邦法律。弗拉德克也参与了 2011 年对 Facebook 发起的调查。FTC 的调查仅仅是 Facebook 目前所面临的法律危机的一部分。此前已经有多名民主党和共和党议员要求该公司 CEO 马克·扎克伯格(Mark Zuckerberg)出庭针对该公司的隐私行为以及 Cambridge Analytica 时间进行作证。
目前美国法院尚未针对此时间安排听证会。然而美国参议院商务委员已经邀请了 Facebook 的代表对此事件进行简短陈述。
另一个法律制定者民主党参议员理查德·布卢门撒尔(Richard Blumenthal)也呼吁国会应该留意 Cambridge Analytica 这家机构。他甚至在 Twitter上 表示,在需要的时候参议院司法委员会应该向这家机构发送传票。
布卢门撒尔补充道:“国会应该留意 Facebook 以及 Cambridge Analytica ,调查这二者是否滥用了用户的个人数据,使用肮脏的手段以及为俄罗斯人提供服务。”
另外,欧洲的监管机构也表示将会对 Facebook 发起调查。英国议会周二正式要求扎克伯格出席调查。但是 Facebook 方面并未说明扎克伯格是否会出席回答法律部门的问询。
来源:新浪科技
2、谷歌“有毒”,黑客利用网页自动填充功能导流至恶意网站
美国时间 3 月 19 日,据 BleepingComputer 报道,一个美国学术团队最近发现了谷歌搜索上的大漏洞。每 200 个网页自动填充建议中,就有一个带毒,它会帮助黑产将流量引到误导性网站、恶意病毒或其他恶意内容上。同时,这也是安全人员发现的最新黑帽子搜索引擎优化(BHSEO)技术之一。
该团队指出,他们发现了多家提供类似服务的公司,而这些公司使坏一般分两步,先用病毒感染网页自动填充建议,随后再用病毒入侵搜索结果列表。
网上搞这种黑服务的人可真不少
“我们发现,操纵建议已经成了一种火爆的新兴业务,网上做这一行的人成百上千。”研究人员说。
有些服务会使用特殊工具自动在浏览器中搜索问题,而有些服务则还在依靠人类操作员。可怕的是,这样的服务已经明码标价,每天的服务费从 1-20 美元不等。下图为详细的价格清单。
建议操纵服务价格清单
Sacabuche 技术能识别出中毒的搜索建议
了解到,研究人员使用名为 Sacabuche 的技术来识别中毒的网页自动填充建议,它们对一个包含了 1.17 亿个建议术语的数据库进行了详细调查。
“我们发现,这种新威胁真是无处不在,它对如今的互联网影响很大。”该研究团队说。“从主流的搜索引擎中(包括谷歌、必应和雅虎)中,我们找到了 38.3 万个被操纵的建议。特别是,我们发现谷歌的网页自动填充结果中,至少有 0.48% 受到了污染。”
该团队还在搜索结果清单中发现了 3000 多个网站,它们在用户点击自动填充建议时就会出现,这意味着这种黑帽子搜索引擎优化技术已经取得了巨大成功。
移动设备的盛行是该技术火爆起来的一大原因
随着移动互联网用户的不断增多,这种技术未来会越来越火。在移动搜索中,网页自动填充功能扮演了相当重要的角色,越来越懒的用户对这项功能可是相当依赖。
其实受影响的可不只是谷歌、必应和雅虎,所有设有该功能的搜索引擎面对攻击都相当脆弱,这份名单中还包括百度和俄罗斯搜索引擎 Yandex。
此外,研究人员还表示,搜索引擎市场领头羊已经对他们的报道进行了回应。不过,该团队并未披露搜索巨人回应的细节。
来源:雷锋网
3、Expedia 旗下在线旅行社 “Orbitz” 88 万用户信用卡数据泄露
外媒 3 月 20 日消息,美国在线旅游巨头 Expedia 旗下的旅游网站Orbitz于本周二披露了一项安全漏洞,致使约 88 万 Orbitz 用户受到数据泄露影响,其中包括姓名、出生日期、性别、电话号码、电子邮件地址、账单地址以及支付卡数据等详细信息。
据悉,拥有数百万用户的 Orbitz 曾是 Expedia (艺龙大股东)的竞争对手,不过 Expedia 于 2015 年 2 月 13 日以 13.4 亿美元的价格将其收购。
据调查人员称,受到数据泄露影响的可能是 2016 年 1 月 1 日至 2017 年 12 月 22 日期间在 Orbitz 平台上进行过交易的用户。 不过目前没有证据表明 Orbitz 网站受到此次事件的影响,并且用户的护照和旅行行程信息也被认为未曾遭到泄露。
Orbitz 方面表示已通知受影响的客户和合作伙伴,并免费为其客户以及合作伙伴提供一年的信用监控和身份保护服务。
2018.3.21 周三
1、MikroTik RouterOS 中发现了可远程利用的缓冲区溢出漏洞
MikroTik 是拉脱维亚的一家供应商,生产全球许多运行基于 Linux 操作系统的电信公司的路由器。该漏洞被追踪为 CVE-2018-7445,远程攻击者可以利用该服务访问该服务以在系统上执行任意代码。“在处理 NetBIOS 会话请求消息时,MikroTik RouterOS SMB 服务中发现缓冲区溢出。 访问该服务的远程攻击者可以利用此漏洞并在系统上获得代码执行权。“阅读该公司发布的咨询。“溢出发生在身份验证发生之前,因此未经身份验证的远程攻击者有可能利用此漏洞。”
研究人员发布了与 MikroTik 的 x86 云托管路由器配合使用的概念验证代码证明。核心首先在 2018 年 2 月 19 日向 MikroTik 报告了这个漏洞 . MozroTik 计划在 2018 年 3 月 1 日发布下一个版本的修复程序,并要求 Core 不要泄露该漏洞的细节。 即使 MikroTik 无法在 2018 年截止日期前发布修复程序,Core 仍在等待 2018 年 3 月 12 日星期一发布的新版本的发布。如果无法安装更新,MikroTik 建议禁用 SMB。几天前,卡巴斯基实验室的安全专家宣布已经发现了一个新的复杂的 APT 组织,该组织从至少 2012 年起至少已经在雷达中运行。卡巴斯基跟踪该组织,并确定了它使用的一系列恶意软件,称为 Slingshot,以 妥协中东和非洲数十万受害者的系统。
研究人员已经在肯尼亚、也门、阿富汗、利比亚、刚果、约旦、土耳其、伊拉克、苏丹、索马里和坦桑尼亚发现了约 100 名弹弓受害者并发现了其模块。肯尼亚和也门迄今为止感染人数最多。 大多数受害者是个人而非组织,政府组织数量有限。APT 组利用拉脱维亚网络硬件提供商 Mikrotik 使用的路由器中的零日漏洞(CVE-2007-5633; CVE-2010-1592,CVE-2009-0824)将间谍软件放入受害者的计算机中。
攻击者首先破坏路由器,然后用文件系统中的恶意代码替换它的一个 DDL,当用户运行 Winbox Loader 软件(Mikrotik 路由器管理套件)时,该库将加载到目标计算机内存中。
该 DLL 文件在受害者的机器上运行,并连接到远程服务器以下载最终有效负载,即卡巴斯基监控的攻击中的 Slingshot 恶意软件。目前还不清楚 Slingshot 团伙是否也利用 CVE-2018-7445 漏洞危害路由器。既然漏洞 CVE-2018-7445 漏洞的概念证明可用,那么客户需要将 RouterOS 升级到版本 6.41.3 以避免问题。
2、攻击者入侵英国 Camelot 彩票玩家账户,1050 万玩家被要求紧急修改密码
据外媒报道,英国国家六合彩管理公司“卡美洛”(Camelot) 建议数百万国家彩票玩家修改其账户密码,因为他们发现了一项涉及彩票账户的可疑活动。
目前 Camelot 已约有 150 个玩家帐户(总共 1050 万个注册帐户)遭到未经授权的登录,导致玩家信息被外部查看,其中包括姓名以及国家彩票帐户中的金额。虽然 Camelot 坚持认为其核心系统或数据库没有遭受未经授权的访问,不会影响到彩票抽奖以及奖品,但还是建议其彩票玩家尽早修改密码。
Camelot 发言人称,此次事件可能是由于“ 凭据填充 ”造成的,也就是说彩票玩家之前在其他地方被窃取了详细信息,以至于该信息在网络犯罪分子之间共享。
Camelot 承诺不会在玩家的帐户上显示完整的借记卡或银行帐户的详细信息,并且表示目前受到影响的账户已经被暂停。
3、土耳其埃及的 ISP 被发现劫持 HTTP 流量
2018.3.20 周二
1、Chrome 扩展程序可防止基于 JavaScript 的 CPU 旁路攻击
据外媒报道,某学术团队创建了一个名为Chrome Zero的 Chrome 扩展程序,据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供,并且不能通过 Chrome 官方网上商店下载。安全专家表示,目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。根据对这些先进的旁路攻击进行研究之后,研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性:JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共享的数据以及来自设备传感器的数据。针对以上情况,Chrome Zero 试图通过拦截 Chrome 浏览器应执行的 JavaScript 代码,重写封装器中的某些 JavaScript 函数、属性以及对象来抵御旁路攻击。尤其值得注意的是,安全专家表示 Chrome Zero 不仅能够消除旁路攻击,并且还具有最低的性能影响。此外,自 Chrome 49 发布以后,Chrome Zero 将能够阻止 50% 的 Chrome 0day 攻击。
来源:hackernews
2、微软承认汇总更新 KB4088875 存在问题 临时解决方案公布
天前,微软面向 Windows 7 SP1 和 Windows Server 2008 R2 SP1 发布的 3 月汇总更新 KB4088875 被爆存在网络适配器问题;援引 AskWoody 社区报道,微软已经承认该更新确实存在问题,并且表示已经在官方 KB 页面提供了文字说明,同时为受影响用户提供了临时解决方案。
少部分安装 KB4088875 更新的 Windows 用户反馈称,在系统中激活虚拟网卡(NIC)的用户会对其他适配器的设置产生影响。目前唯一的解决方案就是移除这个更新,不过今天更新的官方支持页面中在已知问题 1 中提供了更加复杂的解决方案。
在更新后的 KB 页面上写道:“ 在用户安装本次更新之后,全新的以太网虚拟网络接口卡(vNIC)的默认设置可能会被此前存在的 vNIC 所替代,导致出现各种网络问题。用户可以在注册表中清除此前 vNIC 中进行的任意用户个性化配置。”
这只是一个临时的解决方案,微软目前并未明确何时会为 Windows 7 以及 Windows Server 2008 系统发布新的更新,不过应该会在下个月的补丁星期二活动日上线。
来源:cnbeta
3、Think2018:IBM发布未来五年五大科技预测之黑客
网络攻击的规模和复杂性逐年递增,造成的损失也越来越大。五年之内,新的攻击手段将让目前的安全措施无所适从。
例如,多年以后,拥有数百万个量子位且支持容错的通用型量子计算机将可以快速筛查各种可能性,解密最强大的通用加密算法,则目前这种基础的安全方法也就随之被淘汰。
IBM 研究人员正在开发一种名为格加密的新的安全技术,该技术可以把数据隐藏在一种名为格 (lattice) 的复杂代数结构中。
它的工作原理是这样的:在数学中,格表示那些人们认为很难解决的问题。其中一个问题是最短向量问题:即找到网格中距离原点最近的点。即使量子计算机强大到足以攻破当今的加密技术时,密码学家也可以利用这些问题的难解性来保护信息。
不仅能打败未来的量子计算机,格加密这种全能的代数密码学也是另一种被称为全同态加密 (FHE) 的加密技术的基础。
目前,文件在传输过程中和静止时都会被加密,但在被使用时又会被解密。这就让黑客有足够的机会来查看或窃取未加密的文件。
以FHE为代表的密码学安全计算技术填补了这一漏洞,各方即使在文件处于加密状态时也能对数据进行计算。
目前FHE 速度太慢且成本很高,还不能广泛应用,但算法调优和硬件加速技术已经将 FHE 的运行时间和使用费用降低了几个数量级,以前需要耗费多年时间的计算现在只需几小时甚至几分钟就能完成。
FHE 和其它安全计算工具让许多合作方能在一个文件上执行计算,这就避免了敏感数据被泄露给黑客。
例如,一个用户信用报告机构可以在不解密个人数据的情况下分析和生成信用评分。初级护理医生可以同专家、实验室或基因组学研究人员及制药公司共享患者医疗记录,各方都能在不暴露患者身份的情况下访问相关数据。
安全社区已在积极准备应对未来。去年12 月,IBM 科学家向美国国家标准与技术局提交了后量子加密技术,希望其可以用作全球标准——这意味着我们向网络安全竞赛的终极目标又迈出了一步。
2018.3.19 周一
1、美医疗组织云端配置错误恐引发信息泄露
安全无小事,在网络环境瞬息万变的今天,这一点就变得更为凸显。近日有外媒曝出,一家美国知名非营利医疗组织BJC由于自身云平台配置错误,可能导致超过3万名的患者个人信息遭泄露。
据悉,该医疗组织近期在执行内部安全扫描时发现,2017年5月9日到2018年1月23日期间,任何人都可以通过网络直接访问该组织旗下医院的患者信息档案,而没有适当的安全访问控制。
虽然在发现此种情况后,BJC已立即重新配置了云端服务器,但根据初步统计,大约有33420名的患者个人信息有被外泄的可能。
由于其服务器上存储有患者的驾照、保险卡,以及2003年到2009年期间的诊断文件,因此,包含姓名、住址、电话、生日、社会保障ID、驾照编号、保险信息和诊断相关的数据都有可能被泄露。
不过据BJC调查称,目前还没有发现任何浏览患者资料的记录,但是为了以防万一,BJC开始为这些受影响患者提供免费的身份信息保护服务。
此外,BJC也表示已经通知所有受影响的患者,提供如何注册身份盗用保护的说明,并开始采取额外的防护措施,来避免以后再次发生类似错误了。
2、Sublime、Vim 等多款流行文本编辑器存在特权升级漏洞
在最近一系列利用漏洞插件的攻击之后,SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限,并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器(Sublime、Vim、Emacs、Gedit、pico / nano)。经过研究发现,除 pico / nano 之外,所有受检查的编辑器都受到了一个关键的特权升级漏洞影响,攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。
据悉,大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能,以此其增大攻击面。 研究人员认为这种情况非常严重,因为第三方插件可能会受到关键的特权升级漏洞影响,波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。
目前该漏洞被认为与这些文本编辑器加载插件的方式有关,因为它们在加载插件时没有正确分离常规模式和高级模式。
SafeBreach 的研究表明,这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式,并且无论编辑器中是否打开了文件,使用这种方式来获得提升都能成功,即使是在 sudo 命令中运用常用的限制也可能无法阻止。
因此 SafeBreach 提供了的一些缓解措施:
○ 实施 OSEC 监督规则
○ 拒绝为非提升用户编写权限
○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。
○ 在编辑器升级时阻止加载第三方插件
○ 提供一个手动界面来批准提升的插件加载
3、脸书失责,5000万用户信息外泄
新华社专特稿 一家数据分析企业未经授权获取美国社交媒体“脸书”多达5000万用户的信息,用于设计软件,以预测并影响选民投票。英美媒体17日报道,这家企业曾经受雇于美国总统特朗普的竞选团队和推动英国公民投票的“脱欧”阵营。
英国《观察家报》和《卫报》以及美国《纽约时报》17日报道,剑桥分析公司“窃取”5000万脸书用户的信息,是这家社交媒体创建以来最大的用户数据泄露事件之一。
数据泄露的源头,是英国剑桥大学心理学教授亚历山大・科根2014年推出的一款应用软件(App),名为“这是你的数字化生活”,向脸书用户提供个性分析测试。当时,共2.7万名脸书用户下载了这一应用。
按照上述媒体的说法,借助这一应用,科根可获取2.7万人及其所有脸书好友的居住地等信息以及他们“点赞”的内容,因而实际共获取多达5000万用户的数据。科根把数据带到剑桥分析公司,而这家企业是英国战略交流实验室公司的美国分支。
美国总统特朗普的前首席战略师班农曾是剑桥分析公司董事,前白宫国家安全事务助理弗林2017年8月披露他曾是这家企业的顾问。长期为美国共和党捐款并支持特朗普竞选总统的私募基金经理罗伯特・默瑟曾经向剑桥分析公司注资1500万美元。
美国国会一些议员和学者批评脸书在这一事件中没有尽责保护数据,呼吁对社交媒体平台采取更多监管措施。
2018.3.16 周五
1、研究表明现有智能家电存严重安全隐患:出厂设置密码可搜索获取
伴随着智能设备在家庭环境中的普及,安全研究人员不断发现隐藏在这些“智能”外衣下严重漏洞。近日来自内盖夫本-古里安大学科研团队的报告指出,大多数设备都是极度不安全的,甚至可能在不到 30 分钟的时间内就完成破解。
该报道的研究人员 Yossi Oren 说道:“真正令人感到恐怖的是,犯罪分子、窥淫癖者或恋童癖者很容易接管这些设备。”团队对 16 种常见智能家电产品进行了测试,包括婴儿监视器、家庭安全摄像头、门铃和恒温器等等。他们发现黑客有很多种方式来入侵这些设备,甚至能够轻松获取恢复出厂设置的密码。
参与该项目的另一位研究人员 Omer Shwartz 说道:“最多不超过 30 分钟,就能找到大部分设备的密码,甚至于部分设备可以通过 Google 搜索该品牌获得。一旦黑客可以访问类似于摄像头等物联网设备,他们就能创造处远程控制所有同类型摄像头的网络。”
Oren 说道:“在实验测试环节中,我们可以通过婴儿监视器播放音乐,远程关闭恒温器或者打开摄像头,这让我们对这些消费产品充满了担忧。”
2、Pwn2Own黑客大赛:Safari浏览器被入侵
IT之家3月15日消息,在前一天举行的Pwn2Own黑客大赛上,苹果的Safari浏览器被黑客利用提权漏洞成功破解入侵,据了解比赛上共有两起针对苹果Safari浏览器的攻击,但另外一起以失败告终。
黑客Samuel Groß利用macOS提权漏洞的三个BUG链成功入侵了Safari,他表示这个漏洞还能对MacBook Pro上TouchBar的文本进行篡改。凭借着这个BUG发现,他获得了6.5万美元的比赛奖金,还被冠以“Master of Pwn”头衔。
而另外一边的“明星”是去年利用两个Safari BUG绕过iPhone 7安全协议的Richard Zhu,这次比赛中他尝试利用Safari漏洞发起攻击,但是遗憾的是,Zhu并没有在规定的30分钟时间内成功。
来源:IT之家
3、微软:加密货币挖矿类恶意软件 已成为一项增长的威胁
微软刚刚刚宣布,加密货币挖矿类恶意软件,已经成为了当下增长的一项威胁。最新研究指出,自比特币价格在 2017 年出现暴涨以来,越来越多的犯罪分子将他们的注意力转向了加密数字货币,从而催生了许多的恶意软件、利用不知情的企业和用户计算资源来为自己非法牟利。微软通过 Windows Defender 收集的遥测数据得出了这项结论。
2017 年 9 月 – 2018 年 1 月间,平均每月都有大约 64.4 万台计算机受到了“加密货币挖矿类木马”的影响。微软猜测,这些挖矿类恶意软件,似乎是从勒索软件转移而来的:
有趣的是,在加密货币挖矿类恶意软件增长的同时、勒索软件的数量却有下降的趋势。
两者之间是否有必然的联系?网络犯罪分子是否已经将注意力转移到了加密货币的挖矿,并将之作为他们的主要收入来源?
虽然他们不大可能在短期内完全放弃随机勒索,但是从加密货币挖矿类木马的增多形势来看,攻击者肯定在探索这种非法赚钱的新方法的可能性。
自去年 9 月以来,微软已经注意到,被拿来挖矿的企业计算机有大量增加的趋势。应用程序的恶意看似不大,但它们多数未经授权;甚至员工可以利用巨大的算力,来赚一笔快钱。
微软指出,只要启用“潜在不需要的应用程序防护”(PUA)功能,企业就能够很好地预防这类情况的发生。仅在今年 1 月,加密货币挖矿就占据了 PUA 拦截量的 6% 。
最后,微软推荐用户和企业使用 Microsoft Edge 浏览器、Windows Defender SmartScreen、以及 Windows Defender 反病毒软件,以减少来自恶意网站的攻击。
2018.3.15 周四
1、Let's Encrypt发布ACME v2 正式支持通配符证书
Let's Encrypt 宣布 ACME v2 正式支持通配符证书。Let's Encrypt 宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。ACMEv21.6k 是 ACME 协议的更新版本,考虑到行业专家和其他组织可能希望在某天使用 ACME 协议进行证书颁发和管理,它已经通过 IETF 标准流程。
Wildcard certificates 1.9k 允许使用单个证书来保护域的所有子域。在某些情况下,通配符证书可以使证书更容易管理,以帮助使 Web 达到100% 的 HTTPS 协议。但是对于大多数用例,Let's Encrypt 仍然推荐使用非通配符证书。
通配符证书只能通过 ACMEv2 获得。为了将 ACMEv2 用于通配符或非通配符证书,你需要一个已更新且支持 ACMEv23.5k 的客户端。Let's Encrypt 希望所有客户和订户转换为 ACMEv2,尽管 ACMEv1 API 还没有“报废”。
另外,通配符域必须使用 DNS-01 质询类型进行验证。这表明你需要修改 DNS TXT 记录才能演示对域的控制以获得通配符证书。
2、远程桌面协议 CredSSP 出现漏洞,影响所有版本的 Windows
RDP 和 WInRM 中使用的CredSSP协议(安全加密 Windows 用户远程登录过程)中出现严重漏洞,影响所有版本的 Windows。
远程攻击者额可以利用这个漏洞,使用 RDP 和 WinRM 窃取数据并运行恶意代码。这个漏洞由网络安全公司 Preempt Security 发现,编号为 CVE-2018-0886,是一个逻辑加密漏洞,可被中间人攻击者利用,通过 WiFi 或物理接触网络来窃取 session 认证数据,发起远程进程调用攻击。 如果用户和服务器通过 RDP 和 WinRM 连接协议进行认证,中间人攻击就能执行远程命令,入侵企业网络。而由于 RDP 是远程登录中最常用的应用,几乎所有企业用户都在使用,因此,这个漏洞可造成大范围影响。
目前,微软已经发布相关更新补丁,用户应尽快下载更新,同时可以禁用 RDP 等相关应用端口,尽可能少使用特权账户,多使用非特权账户。
3、Sap 发布本月安全补丁,解决十年漏洞问题
外媒 3 月 14 日消息,Sap本周发布了其 3 月份的一组安全补丁,以解决产品中不同层级的漏洞问题,其中包括一些已经存在了十多年的安全缺陷。
SAP 发布的 27 个安全说明中,有 6 个具有高优先级,19 个被评为中等优先级,并且其中有 4 个是以前发布过的安全说明的更新。
本月处理的最常见的漏洞类型是缺少授权检查(占 6 个),其次是信息披露(5 个),跨站点脚本(4 个)。除此之外,SAP 还解决了 3 个 SQL 注入错误、2 个目录遍历问题、2 个实施漏洞以及拒绝服务、硬编码证书、XML 外部实体、代码注入和点击劫持错误等缺陷。
SAP 本月最厉害的安全说明解决了 SAP 网络图形服务器(IGS)中具有高优先级评级的三个漏洞(CVSS 基础评分:8.8),其中包括:CVE-2004-1308(内存损坏)、CVE-2005-2974(拒绝服务)和 CVE-2005-3350(远程代码执行)。这些漏洞已经存在十多年,影响 libtiff、giflib 、libpng 等处理图像(分别为 TIFF、GIF 和 PNG )的第三方开源库。
不仅如此,SAP 还处理了两个高风险的信息披露漏洞,分别是影响 SAP HANA 捕获和重放跟踪文件(CVE-2018-2402 – CVSS 基本评分:7.6)、SAP 业务流程自动化( BPA ) (CVE – 20182400 – CVSS 基础评分:7.5 )的漏洞问题。
2018.3.14 周三
1、 计算机芯片制造商AMD在售的芯片存在13个安全漏洞
2、Adobe Flash Player 29正式版发布:修复安全漏洞
下载地址:
http://get.adobe.com/flashplayer/
尤其是Adobe已经在去年年中宣布,将在2020年底彻底放弃Flash,在那之前仅提供安全更新,不会再有大的功能特性变化。
Flash曾经是互联网的基石,对互联网发展做出了不可磨灭的贡献,但随着时代的发展,Flash技术上逐渐落后,安全漏洞更是层出不穷,作为后起之秀的HTML5已经完全超越之,退出历史舞台也在情理之中。
目前,各大浏览器都在逐步放弃对Flash的支持,默认不再启用,未来两年将逐步完全与之脱离。
3、新型攻击技术 “MOSQUITO” 可通过扬声器或耳机窃取数据
以色列 Ben-Gurion 大学的研究团队近期详细介绍了一种使用扬声器、耳机可从气隙系统中的计算机中提取数据的新型数据过滤技术 —MOSQUITO,目前来说它是一种 “Jack Retasking” 技术:主要利用特定的音频芯片功能,将输出音频插孔转换成输入插孔,从而将连接的扬声器有效地转换为(非传统)麦克风。
通过实验,研究人员发现,设法感染 air-gapped 计算机的恶意软件可以将本地存储的文件转换成音频信号,并通过连接的扬声器、耳机或耳塞将它们传送到附近的另一台计算机设备。该设备也受到了恶意软件的感染,它使用插孔将连接的扬声器、头戴式耳机、挂式耳机或耳塞转换成临时麦克风,接收调制后音频并转换回数据文件。
除此之外,研究人员还介绍了传输速度会在一定程度上影响 MOSQUITO 攻击。尽管 MOSQUITO 支持非常快的数据传输速度,但当扬声器之间距离增加或音频频率发生变化时,传输速度可能会降低。其他影响数据传输速度的因素还包括音乐和语音等噪声环境,不过研究人员表示通过将数据泄漏频率提高到 18kHz 以上可以缓解这种情况。
MOSQUITO 攻击在实验中已被证实可行,但目前尚未在野外发现实际攻击案例。
2018.3.13 周二
1、通过隐身和欺骗,这款病毒潜藏了六年,最近被卡巴斯基实验室发现
莫斯科卡巴斯基实验室的研究人员发现了这样一种名为“Slingshot”的计算机病毒,它的攻击手段非常先进,因此研究人员推断Slingshot的发源地很可能是美国,或者是其他发达国家。
Slingshot非常灵活,以至于很难用现有的检测手段检测出来。研究人员表示,这种病毒至少诞生六年了,不过其确切的诞生时间以及最初攻击的计算机平台等信息都无从而知。卡巴斯基实验室研究员进一步表示,在一些情况下,Slingshot可以在MikroTik公司路由器里植入恶意代码,路由器的Winbox配置实用程序会从路由器的文件系统下载动态链接库文件。就在这个环节里,Slingshot伪装成了ipv4.dll文件。最后Winbox将ipv4.dll传输到目标计算机,将其加载到内存中并执行它。
Slingshot最主要的隐蔽手段是使用加密的虚拟文件系统:分离自身的恶意软件部分,以防止计算机检测。其他隐形技术包括加密其各种模块中的所有文本字符串,直接调用系统服务以绕过安全产品使用,并在加载取证工具时关闭组件的能力。
图丨Slingshot感染地图
目前全球感染Slingshot的计算机并不多,这种病毒会计算机的记录桌面活动、剪贴板内容、屏幕截图、键盘数据、网络数据、密码和USB连接数据。同时,Slingshot访问操作系统内核的能力意味着它可以访问存储在硬盘驱动器或受感染机器内部存储器中的任何数据。
根据卡巴斯基实验室研究人员的报告,受感染的计算机主要位于肯尼亚和也门,但也有阿富汗、利比亚、刚果、约旦、土耳其、伊拉克、苏丹、索马里和坦桑尼亚。大多数受害者似乎都是个人电脑,不过也有一些是政府组织和机构。
2、调查显示 macOS 恶意软件数量去年增加了 270%
之前人们普遍认为 MacOS 是 Windows 10 的安全替代品,因为 Apple 的操作系统不会受到病毒的感染。就安全性而言,Windows 和 MacOS 的安全性之争现在已经不再那么有意义了,因为两个平台都受到越来越多的恶意软件的攻击。
根据 Malwarebytes 安全报告显示,去年苹果公司桌面操作系统的恶意软件威胁增长率不低于 270%,并且今年年初发现了一共四个不同的重大安全漏洞。换句话说,MacOS 恶意软件在 2018 年的发展有可能持续增长,用户需要更加关注他们的网络安全。
Malwarebytes 以 OSX.MaMi 恶意软件为例,这种恶意软件试图引导用户互联网流量到钓鱼网站,并且劫持 DNS 设置。其它恶意软件如 Dark Caracal、OSX.CreativeUpdate 和 OSX.Coldroot
再次损害 MacOS 的安全性,正在运行苹果桌面操作系统的用户应该更加谨慎针,不要从不受信任的来源打开内容或访问他们不知道的网站。
Malwarebytes 表示,普通的 Mac 用户无法抵御恶意软件感染,更不用说广告软件和 PUP 带来的更常见威胁。苹果公司本身承诺在即将发布的版本中提高其安全性,因为 MacOS 和 iOS 在过去几个月中都遭受了几个主要漏洞的攻击。因此,苹果有望减少对新功能的关注,并花更多时间提升安全性和性能。
2018.3.12 周一
1、币安网发全球通缉令,25 万美元等值赏金追缉黑客
2018 年 3 月 7 日深夜,币安网发生的黑客攻击事件,想必大家都历历在目。大量账户比特币被换成垃圾币,神秘 VIA 币价格暴涨,而比特币等主流货币一夜之间均大幅下跌(虽不一定这件事为主因),这场蓄谋已久的黑客行动引发了不少人的担忧。
于是,2018 年 3 月 11 日晚,币安网正式下发通缉令,25 万美元等值赏金全球追缉黑客。
来源:hackernews
2、智能手机掌握用户更多秘密 比 PC 更受黑客青睐
据 CNET 网站报道,智能手机对用户的了解程度超过用户自己。智能手机随时知道用户的位置,知道用户与哪些人通了电话,甚至是通话内容。它存储有用户家人的照片、宠物的照片,甚至是用户使用的密码等等。对于黑客来说,智能手机就是一本数字通行证,能获得了解一个人所需要的所有信息。
安全研究人员称,这就是针对智能手机的攻击日益猖獗的原因。
3、iCloud信息外泄 用户质疑苹果安全体系
2月28日,苹果iCloud中国用户数据正式迁移至云上贵州平台。按照苹果公司的说法,与云上贵州的合作将使公司在提高iCloud服务的速度以及可靠性同时,符合中国的云服务须由本地企业运营的新规。
就在苹果用户数据迁移首日,一位网名为“美国往事1999”的用户在新浪微博爆料称,苹果客服的技术顾问窃取了他在iCloud上的电子邮件等个人信息,并且发送威胁邮件。这起事件引起社会的高度关注。其中最关键的问题是,苹果的技术人员是如何获得用户个人信息等私人资料的?目前距事发已经过去10天,但苹果公司仍未对iCloud用户信息意外泄露给出合理解释。
2018.3.10 周六
1、思科产品中存在硬编码密码和 Java 反序列化高危漏洞
思科最近发布的一组安全更新中包括两个重要漏洞的修复方案 — 硬编码密码漏洞(CVE-2018-0141)和 Java 反序列化漏洞(CVE-2018-0147)。
硬编码密码漏洞(CVE-2018-0141)是由于系统上的硬编码帐户密码造成的,可被本地攻击者利用来获得对易受攻击设备的完全控制权。目前该漏洞仅影响思科 Prime Collaboration Provisioning(PCP)软件的 11.6 版本。虽然目前没有解决 PCP 软件漏洞的确切方法,但思科已经发布了补丁程序,并建议用户尽快升级到 PCP 12.1 版本,以避免出现安全问题。
影响思科安全访问控制系统(ACS)的 Java 反序列化漏洞,是由于受影响软件对用户提供的内容进行不安全的反序列化造成,可能允许未经身份验证的远程攻击者在受影响设备上执行任意命令。据悉,该漏洞已获得 9.8 的 CSS 评分 ,被归为高危漏洞一类。目前思科已经发布了软件更新来修复这个缺陷。
2、APT黑客组织Lazarus再度活跃,这次盯上了数字货币
3月9日,腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织Lazarus再度活跃,利用最新Flash漏洞CVE-2018-4878频繁发起攻击,通过传播暗藏FALLCHILL远程控制木马的恶意doc文档进行鱼叉攻击,对象主要为国外数字货币交易所。
从Adobe漏洞致谢公告来看,CVE-2018-4878漏洞的野外攻击样本最早是由韩国计算机应急响应小组(KR-CERT)发现。而KR-CERT也表示,来自朝鲜的黑客组织已经成功利用这个0Day 漏洞发起攻击,与Lazarus主要攻击目标一致,进一步验证了Lazarus组织就是本次攻击活动的发起者。
3、微软正在调查严重影响 Windows 安全的 CFG 绕过漏洞
2018.3.9 周五
1、将近 5 万家网站被感染挖矿劫持脚本 其中八成是 Coinhive
来自 Bad Packets Report 的安全研究专家 Troy Mursch 指出,全球范围内将近 5 万家网站悄然被挖矿劫持版本感染。依靠开源搜索引擎 PublicWWW 的扫描,Mursch 发现至少存在 48,953 家受感染网站,其中至少 7368 家网站基于 WordPress。
研究人员表示,将近 4 万家网站都感染了名为 Coinhive 的挖矿劫持脚本,占比达到了 81%。此外他还指出至少 3 万家网站在去年 11 月开始就已经感染 Coinhive。
而其他 19% 网站大多感染了 Coinhive 的同类脚本,例如 Crypto-Loot, CoinImp, Minr 和 deepMiner。根据进一步的调查,在本次扫描结果中有 2057 家网站感染了 Crypto-Loot,有 4119 家网站感染了 CoinImp, 有 692 家网站感染了 Minr 以及有 2160 家网站感染了 deepMiner。
2、黑客黑掉监控摄像机并公布荷兰女子手球队裸体视频
虽然黑客入侵导致受害者裸照外泄之类丑闻主要涉及名人的iCloud帐户遭到黑客入侵,但类似事件发生在荷兰,并针对女子手球队。据当地新闻媒体报道,黑客设法入侵了桑拿浴室更衣室的监控摄像机系统,并于去年12月在成人网站上发布录像。
虽然在更衣室里使用摄像系统有些奇怪,但是桑拿所有者Erik van Ingen Schenau说,该公司在2015年遭受了黑客袭击,当时黑客设法渗入网络并窃取了监控录像,录像视频中出现裸体的七名手球运动员。黑客联系了桑拿工作人员,并威胁说如果监控摄像机没有关闭,就在网上发布被盗视频。
尽管Erik van Ingen Schenau立即拿下了摄像机,但黑客还是于去年12月在成人网站上发布视频。据说共有七名女性出现在视频中,其中一些完全裸露。目前还不知道是否有地方官员向这些网站发送删除内容的请求。
虽然更衣室内的摄像机和黑客破坏这个系统的存在令人担忧,但至少没有具体说明攻击者究竟如何渗透网络并窃取视频。现在当地地方官员保证,所有相关的摄像机都被移除,所以不会再度发生其他违规行为。
3、被盗的 Apple ID 在“ 暗网 ”黑市上售价为 15 美元
国外网站对秘密的“ 暗网 ”黑市进行了调查,结果发现,对于网络犯罪者来说,想要购买一个人的完整在线身份只需要花费不到 1200 美元。在这些在线身份中,Apple ID苹果账户的售价为 15.39 美元。与其他账户相比,Apple ID 的售价还是很高的。
拥有 Apple ID 后,可以访问 Apple Music,以及 iCloud 等。暗网将 Apple ID 列为“娱乐登陆信息”,Netflix 的账户为 8.32 美元,Twitch 账户的价格为 2.08 美元,Ticketmaster 账户的价格为 2.07 美元。
社交媒体方面,脸书 FB 的价格最高,5.2 美元。领英、推特、Instagram 账户分别是 2.07、1.66 和 1.28 美元。Gmail 和雅虎账户的价格都是 1.04 美元,AOL 账户的价格却很高,达到了 4.16 美元。
其他方面,在线购物网站的账户价格也很高,梅西百货的账户为 15.34 美元,eBay 和 Amazon 的价格分别是 12.48 和 9 美元。最后就是金融服务了,Paypal 账户登陆价格高达 247 美元,西联登陆账户为 101 美元。其他在线银行、信用卡、借记卡信息都在 50-160.15 美元之间不等。
2018.3.8 周四
1、Windows 10 隐私控制更新 有望缓解对“ 内置键盘记录器 ”的顾虑
为了进一步改进用户隐私体验,微软已经在Windows 10上作出了诸多的调整。在今日向 Insider 测试者们推送的新版本中,其提供了修改操作系统隐私收集行为的控制选项。尽管大多数隐私设置都被限制在一个有繁杂选项的屏幕上,微软也在测试各种即将改变的新方法。很多人都吐槽过 Windows 10 中内置的“键盘记录器”,因为操作系统需要收集输入数据来赶紧自动填充、单词预测、以及拼接检查。
在即将到来的春季更新中,Windows 10 将引入一个单独的屏幕来启用“改进书写与打字识别”、以及允许用户选择退出“向微软发送手写和输入数据”的选项。
此外,微软还打算测试向 Windows 10 用户提供七个单独的隐私控制屏幕,并且积极听取来自 Insider 测试者的反馈,以找到最合适的平衡点。
与本次隐私设置变动一同到来的,还有一个单独的 Windows 诊断数据查看器。
为改进操作系统和做出产品决策,微软从用户那里收集了大量的匿名数据,而这款查看器可方便用户概览被发送到微软服务器的本地数据。
2、微软Cortana现漏洞:可绕过锁屏密码直接访问网站
新浪科技讯 北京时间3月7日下午消息,使用人工智能技术的数字虚拟助手成为了众多科技企业必备的武器之一。对于一些人来说,这种技术改变了他们的生活,让他们养成了全新的电子设备使用习惯。但是对另外一些人来说,虚拟助手只是让他们新鲜一时的东西而已。还有另外一部分人,这些人不但对于各类科技产品非常熟悉,而且还掌握着这些产品背后的机会。在这些人看来,虚拟助手成为了他们破解设备的一扇门。两个来自以色列的安全研究人员就找到了利用微软语音助手Cortana,在已经锁定的Windows PC上下载恶意程序的方法。Cortana不但成为了普通用户的好帮手,还有可能成为黑客们的好帮手。
不久前微软对Cortana进行了升级,让用户在电脑锁定的状态下也能使用这个虚拟语音助手。这个功能本身其实并不稀奇,苹果的Siri和谷歌Assistant都能在智能手机上实现该功能。一般情况下,设备在锁定的时候,用户可使用的功能都非常有限,至少谷歌Assistant和苹果Siri就是这样做的。然而Cortana却和前两者不太一样。
即使在计算机处于锁定的情况下,用户也可以让Cortana打开网站。在收到用户的指令之后,Cortana会尽职尽责地打开网站,然而它的操作对于普通用户来说毫无意义,因为打开的页面不会显示在锁屏界面上。但是在黑客眼中,Cortana的这个特点为他们打开了在未授权的情况下接入计算机的大门,甚至还可以介入处于同一网络下的其他计算机。
前文提到的两名安全研究员将一个带有网络适配器的USB设备插入了电脑,该设备可以截获计算机的网络请求,并且将这些网络请求重定向另一个含有恶意程序的网站。之后这个网站会自动将恶意软件下载并安装到计算机上。当这台计算机被感染之后,它能够使用多种方法感染同一网络下的其他计算机。
微软表示他们已经知晓了这个漏洞,但是他们的回应却有些让人啼笑皆非:在计算机处于锁定状态下,如果用户要求Cortana打开网页,Cortana将不再直接打开用户请求的网站,而是重定向至必应搜索。但是这种做法依然允许Cortana在锁定状态下对用户的指令做出相应。目前安全研究人员正在寻找其他类似的方法,利用Cortana绕过计算机锁定密码。目前暂时的解决办法是通过设定让Cortana只对你的声音做出回应,其他人的语音指令会被系统忽略。
3、Memcached DDoS 反射攻击创下 1.7Tbps 流量峰值纪录
外媒 3 月 6 日消息,继 Github 在上周遭受了流量速度为 1.3Tbps 的分布式拒绝服务(DDoS)攻击后,网络安全监控公司 Arbor Networks 证实美国一家服务提供商也面临着流量峰值高达1.7Tbps的反射/放大攻击。
虽然此次 1.7Tbps 事件与上周 GitHub 发生的 DDoS 攻击类似,但其带宽因使用了英特网上数千台暴露以及错误配置的 Memcached 服务器而被放大了 51,000 多倍。
据悉,在 GitHub 事件发生之后,其客户收到了敲诈邮件,威胁他们购买 50 枚价值超过 15,000 美元的 XMR( Monero )。目前 thehackernews 的文章中并未写明此次事件是否会有勒索赎金的情况出现。
Arbor Networks 表示,虽然反射/放大攻击并不新鲜,然而,最新的攻击媒介已经演变成了数千个错误配置的 Memcached 服务器,其中许多服务器目前仍然暴露在互联网上,可能会被利用来针对其他目标发起大规模的攻击。
Arbor Networks 预计未来几天会出现更多此类攻击事件。因此,为了防止 Memcached 服务器被滥用为反射器,Arbor Networks 敦促用户安装防火墙,并限制只能从本地网络访问 memcached 服务器。此外,管理员还应该考虑避免外部流量通过 memcached 使用的端口(例如默认使用的 11211 端口), 并及时阻止或限制 UDP ,如果非必要的话,最好能够完全禁用 UDP 支持。
2018.3.7 周三
1、Android 三月安全补丁上线:共计修复 37 处高危漏洞
面向 Pixel 和 Nexus 设备(尚处于支持状态),在最新发布的 2018 年 3 月Android 安全补丁中共计修复了 37 处高危漏洞,涉及多媒体框架、内核、NVIDIA 和高通等多个组件。Google 表示:“ 在这些问题中最严重的是多媒体框架中的漏洞,使用精心制作的文件能够远程执行包含特权进程的任意代码。”
目前所有支持状态的 Pixel 和 Nexus 成为了首批获得 2018 年 3 月 Android 安全补丁的设备。运行最新 Android 8.1 Oreo 移动系统的 Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel C, Nexus 6P和Nexus 5X 设备通过 OTA(Over-the-Air)方式来获取本次补丁,而且用户可以通过 Google 网站下载工厂镜像。
2、Spring Data REST 存在严重漏洞,允许远程攻击者执行任意命令
据外媒 3 月 5 日报道,lgtm.com 的安全研究人员发现 Pivotal 公司Spring Data REST中存在一个严重漏洞,能够允许远程攻击者在目标设备(该设备运行着使用 Spring Data REST 组件的应用程序)上执行任意命令。
研究人员认为该漏洞与 Apache Struts 中导致 Equifax 数据泄露的漏洞比较相似,并将其追踪为 CVE- 2017-8046。
根据 Semmle / lgtm 发布的安全公告显示,该漏洞与 Spring 表达语言(SpEL)在 Data REST 组件中的使用方式有关,而且缺少对用户输入的验证也是允许攻击者在运行由 Spring Data REST 构建的应用程序设备上执行任意命令的很大一部分因素。
目前该漏洞很容易被利用,因为 Spring Data REST 的 RESTful API 通常可公开访问,所以其中存在的缺陷可能会更轻易地让黑客控制服务器和访问敏感信息。
受影响的 Spring 产品和组件:
Spring Data REST 组件,2.5.12,2.6.7,3.0RC3 之前的版本
Maven构件:spring-data-rest-core,spring-data-rest-webmvc,spring-data-rest-distribution,spring-data-rest-hal-browser
Spring Boot,2.0.0M4 之前的版本
当使用包含的 Spring Data REST 组件时:spring-boot-starter-data-rest
Spring Data,Kay-RC3 之前的版本
据了解,Pivotal 已针对该漏洞发布了安全补丁,并敦促其用户更新他们的应用程序。
3、刘庆峰代表:实行大数据分级安全保护机制
新华社北京3月6日电(记者张紫赟)随着人工智能时代来临,大数据收集、存储和分析的数据量呈爆炸式增长,加强大数据资产的安全治理、法律法规建设等迫在眉睫。全国人大代表、科大讯飞董事长刘庆峰建议,从法律法规、大数据分级保护、大数据运营者规范管理等方面对大数据资产进行保护。
刘庆峰介绍,数据作为独立的生产要素已成为国家战略性重要资源,当前各国政府高度重视大数据的应用和发展,纷纷出台各领域、各行业的数据安全保护法规,以加强大数据应用过程中对个人隐私与数据安全的保障。
刘庆峰建议,规范管理数据全生命周期中各环节的安全保障措施,对数据的收集、流转、运营进行规范管理,避免数据泄露、数据资源滥用,对国家利益造成损害。“一旦发生数据泄露,对人工智能和大数据产业发展是非常大的冲击”。
刘庆峰建议,结合各行业数据的敏感程度、数据脱敏与否、数据可用性要求等对大数据资产进行分类分级,采取不同级别的安全防护策略。
此外,刘庆峰认为需要规范大数据运营企业的资质要求。涉及国计民生、国家公共安全、能源、交通等敏感行业的大数据,需要具备国内涉密资质要求的企业才可开展数据采集、汇总分析、存储等大数据运营工作,并严格控制其应用及传播范围。
2018.3.6 周二
1、卡巴斯基实验室指网络犯罪分子通过恶意挖矿软件在2017年获利数百万美元
去年,我们看到了近期历史上最严重的勒索软件攻击之一,这要归功于WannaCry。网络犯罪分子甚至为他们的恶意软件采用了“as-a-service”模式,以此来欺骗人们赚更多的钱。但根据卡巴斯基实验室的研究人员,这绝不是单纯的收入来源。
据卡巴斯基实验室的网络威胁研究和报告存储库安全列表称,网络犯罪分子利用在浏览器中执行恶意脚本,利用受害者的电脑硬件资源挖掘加密虚拟货币,另外他们还使用另一种技术即流程挖空。
简而言之,黑客使用合法应用程序作为容纳恶意代码的容器,从而通过受害者电脑系统的防御。其中的恶意装程序使用合法的Windows实用程序msiexec,从远程服务器下载并执行恶意模块。在下一步中,它会安装一个恶意的调度程序任务,这会向系统注入挖矿程序,它将自己打扮成合法系统进程,并使用进程空洞技术。如果受害者试图终止此进程,则Windows系统将重新启动。
根据卡巴斯基实验室的数据,2016年至2017年,这类攻击增加了近1.5倍。此外,在2017年的最后六个月中,网络犯罪分子通过以上2种方式已经赚取超过700万美元。
来源:cnbeta
2、只需一个小bug,就可获取facebook页面的管理员权限
facebook的页面管理员文件,只有在管理员选择公开后,才会被公开展示。
然而,在某些情况下,你可能想联系该facebook页面的管理员,或知道是谁在负责这个页面。
埃及安全研究员Mohamed A. Baset 发现了facebook中的一个严重的信息泄露漏洞,允许任何人查看facebook页面管理员的信息,而这些信息本应是隐私信息。
Baset称他在不到3分钟的时间内就发现了这个漏洞,并未使用任何一种测试、概念验证,或耗时的过程。
在这篇博文中,Baset将这个漏洞称之为“逻辑错误”。
facebook引进了一个页面管理特性,在用户点击“喜欢”该帖后,该页面会发给用户一个facebook邀请,并询问是否喜欢这个页面。发生交互的用户,在几天后,会收到facebook 邀请的邮件提醒。
Baset收到这个邮件邀请后,他打开了邮件中下拉菜单选项的“打开源码”选项。在邮件的源码中,包含有页面管理员的姓名,管理员ID和其他信息。
安全研究员立即将该问题提交给facebook的安全团队,facebook承认了这个bug,并奖励了Baset$2,500美元。
来源:thehackernews
3、三成的网站使用 WordPress
2018.3.5 周一
1、40 款廉价安卓机含预装银行恶意软件 专家称上海某软件开发商是罪魁祸首
还在贪图便宜买低价安卓智能机?以后买之前还是擦亮眼睛吧。据外媒美国时间3月3日报道,Dr.Web 的研究人员在超过 40 款廉价安卓机中都发现了可怕的 Triada 银行恶意软件,而且还是预装的。杀毒软件公司 Dr.Web 的安全研究人员已经从 42 款廉价安卓智能机中揪出了 Triada.231 银行恶意软件。
“2017 年年中时,Dr.Web 的分析师就在一些廉价安卓机的固件中发现了新的 Triada.231 恶意软件。在那之后,‘感染’这款恶意软件的廉价安卓机名单就在不断扩大。”Dr-Web 在博文中写道。“现在,已经有超过 40 款廉价安卓机中标了。我们一直在监控着这款恶意软件的动向,现在终于可以公布最终调查结果了。”
首个发现 Triada 恶意软件的是卡巴斯基实验室的研究者,那还是 2016 年的事。当时,研究者就将它看作移动设备面对的最先进威胁。
黑客在设计 Triada 之初就想用它来搞金融诈骗,最典型的就是借此金融短信交易。该恶意软件还有个最有趣的特点,那就是它采用模块化架构,因此从理论上说 Triada 可拥有多种多样的破坏能力。
将代码植入设备上时,黑客用到了 Zygote 进程,这意味着恶意软件会渗透进每一个软件。想要消除威胁只有一种方法:抹掉智能手机上所有数据并重装整个操作系统。
Dr.Web 的研究人员指出,这些预装恶意软件的安卓智能机多数都是小品牌,重灾区为 Advan、Cherry Mobile、Doogee 和 Leagoo 等听都没听说过的品牌。
Dr.Web 还透露称,这次恶意软件感染的罪魁祸首是上海的一个软件开发商,而这家公司就是 Leagoo 的合作伙伴。“这家上海公司为 Leagoo 提供了一款应用,其中包含了编译前向系统数据库添加第三方代码的指令。不幸的是,制造商并没有拒绝这个争议颇大的要求。最终,Triada.231 堂而皇之的进了智能手机。”Dr.Web 的博文中写道。
受感染的应用也是一家中国公司开发的,安全专家指出,恶意软件的代码与 2016 年那次感染的软件证书一模一样。
“分析了这款应用后我们发现,它与当年的 MulDrop.924 恶意软件用了同一个证书,想必其幕后黑手是同一拨人。”Dr.Web 的博文中写道。
文中提到的 40 多款受感染安卓机可能只是沧海一粟,真正的廉价机黑名单可能比想象中更加庞大。
来源:cnbeta
2、 Windows 10 Redstone 4已进入功能锁定阶段
据外媒报道,看起来Windows 10 Redstone 4开发即将接近尾声,现在这套新系统已经进入功能锁定阶段。这意味着虽然Windwos Insider项目的用户可能会收到一些新的版本推送,但它们将只有一些漏洞修复和小幅度的调整。
据了解,Insider参与者将在未来几周内收到一些新版本,但它们将都不会带来什么新功能,相反会集中在较小的改进上。
Windows 10 Redstone 4将以1803的版本号推送,不难发现,该版本号以系统发布的时间命名--18代表年份、03代表月份。
不过略微尴尬的是,直到现在微软都还未公布这套新系统的官方名字,这看起来多少有些奇怪,因为距离RTM注册日期只有几周时间了。不过从以往的惯例来看其名字很有可能会是“春季创作者更新(Spring Creatros Update)”。
来源:
cnbeta
2018.3.2 周五
1、Intel 终于发布四五代酷睿漏洞补丁:稳定不重启
Spectre 幽灵、Meltdown 熔断漏洞近来把Intel搞得焦头烂额,因为近些年的产品集体存在,需要逐一修补,工作量之大着实罕见,期间还出现了打补丁后频繁重启的翻车现象。在此之前,Intel 已经向六代酷睿 Skylake、七代酷睿 Kaby Lake、八代酷睿 Coffee Lake 家族已经发烧级的 Core X 系列推送了这两个漏洞的修复补丁,并解决了频繁重启问题。
Spectre 幽灵漏洞其实有两个版本,CVE-2017-5715 可以通过软件更新解决,CVE-2017-5053 则必须进行硬件级修补,七八代酷睿已经补好了。
现在,Intel 又向四代酷睿 Haswell、五代酷睿 Broadwell 家族发放了修补第二个 Spectre 漏洞的补丁,并且强调是个稳定补丁,也就是说应该不会导致重启。
Haswell 最早是在 2013 年发布的,次年进行了一次提速升级,故而产品特别多。
Broadwell 则是 2015 年的产品,但大部分都是移动平台,桌面上仅有两款,因此影响相对较小。
2、数字性病?1/3英国人因浏览色情网站中病毒
据英国《每日邮报》2月28日报道,国际著名的信息安全厂商卡巴斯基实验室于2017年年底对1000名英国人进行了一项调查,结果显示,三分之一的英国人可能会因为观看色情内容而导致他们的电子设备感染病毒。
据报道,来自卡巴斯基实验室的大卫•雅各比(David Jacoby)表示,网络犯罪分子通过一系列病毒软件来攻击浏览色情网站的用户,窃取用户银行账户信息,对用户进行敲诈或监控用户摄像头,并设置陷阱躲开电脑和手机设备上安全软件的查杀。黑客们的犯罪手段包括按键跟踪、窃取密码和点击欺诈等,用户点击的链接其实是黑客设置的病毒链接。
大卫还表示,网络犯罪分子选择在成人网站活动是因为成人网站有大量的用户,而这些受害者不太可能让其他人知道自己的设备受到了感染,因为浏览色情内容似乎是一件令人尴尬的事。恶意软件、勒索软件和木马在成人网站上随处可见。
调查数据表明,英国人平均每周看5次观看色情内容,平均每次23分钟,这相当于英国人每年有超过4天的时间,即104个小时,都在浏览色情内容。
该调查显示,网络病毒传播十分广泛。根据卡巴斯基实验室最新的全球数据,2017年有25.4%的用户(至少120万人)遭受过至少一次恶意软件攻击,有1.99亿个网站链接携带病毒。
尽管如此,仍有12%的人表示他们没有在电脑或其他设备上安装安全软件。有28%的人错误地认为通过清理浏览历史就可以保护电脑免受病毒侵害,19%的人认为类似于谷歌浏览器隐身模式这类的隐私模式能够避免病毒感染,还有25%的人认为智能手机和平板电脑不会受到病毒感染,在这些设备上浏览成人网站是安全的。
3、 汇丰银行即将启动区块链试点项目,支持实时交易
据外媒Global Trade Review报道,国际银行业巨头汇丰银行即将进行实时交易的区块链测试,并将在未来几周内公布一系列试点项目。
汇丰银行曾参与了早期的区块链贸易融资项目,并与美银美林、新加坡资讯通信发展管理局(IDA)就概念认证(PoC)进行过合作,并通过分布式账本技术(DLT)来映证信用证明(LCs)。该银行自2016年8月以来,就一直在开展这一项目。该项目也被视作进入试点阶段的项目之一。据悉,这段时间,汇丰银行主要聚焦于提高解决方案的稳健性和安全性。
值得注意的是,对于汇丰来说,这项技术距离商业应用还有很长的路要走。除了开发平台和解决方案,该银行还需创建一个网络,以保证在区块链上能完成全部交易。这也意味着,项目还要加入其它银行、监管机构、以及贸易周期的所有内容。
如若按计划推行区块链实时交易项目,依据汇丰银行在全球的影响力,将大大降低客户的支付和转账费用,同时也能推动银行数据资源的挖掘,并有助于金融监管部门对金融业务的大数据监管。
2018.3.1 周四
1、开源分布式内存缓存系统 Memcrashed 被利用发起 DDoS 放大攻击,峰值竟达 500 Gbps
外媒 2 月 27 消息,Cloudflare 和 Arbor Networks 公司于周二警告称,恶意攻击者正在滥用memcached协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。
2、以色列 Cellebrite 公司宣称可解锁 iOS 11 以下任意 iPhone 设备
以色列移动取证公司Cellebrite称其拥有一款新型的黑客工具,用于解锁 iOS 11 及更早版本的 iPhone 设备,这似乎几乎已经涵盖了市面上任何型号的 iPhone 。 除此之外, Cellebrite 的解锁技术也能够应用于一些谷歌安卓系统的智能机。
3、“裸奔”的Windows 7系统将无法接收安全更新
为避免兼容性问题导致蓝屏,那些没有运行兼容防病毒软件的Windows 7电脑今后将无法从微软处接受安全更新。在2018年1月份发布的Windows 10累积更新中,微软首次引入了这项策略。为了继续接受安全更新就要求Windows 10系统设置专用的注册表键值,不兼容的防病毒软件会阻止微软发布的任意补丁。
援引外媒Myce报道,那些没有安装防病毒软件或者安全防护产品的Windows 7系统同样不会视为兼容设备,同样会阻止获得安全更新。
4、Adobe Acrobat Reader DC 修补远程代码执行漏洞
思科Talos的研究人员详细描述了Adobe Acrobat Reader DC中发现的远程代码执行漏洞,该漏洞可能在恶意文件打开或受害者访问特定的网页时触发。
Talos表示,漏洞CVE-2018-4901于12月7日被披露,Adobe在2月13日发布了补丁。研究人员分享了该漏洞的细节, 受影响的Adobe Acrobat Reader版本为2018.009.20050和2017.011.30070及更早版本。
该漏洞允许攻击者在PDF文件中隐藏恶意的JavaScript代码,这段代码可以使document ID 字段在打开特制的PDF文档时执行未经授权的操作,从而触发基于堆栈的缓冲区溢出漏洞。
5、微软更新 Windows 驱动安全指南
近日,微软发布了Windows驱动安全指南的更新版本。这个指南将给开发者提供建议,以使Windows驱动应对基本的攻击和可避免的漏洞。
该指南由微软的Don Marshall编写,更换了老版的帮助页,包含有以下内容:
- 为驱动开发人员准备的安全注意事项目录
- 驱动威胁模型指南
- 关于将驱动 融入整体Windows 安全模型的指南
- 关于如何使用设备安全准备工具来评估驱动的Hypervisor-protected Code Integrity(HVCI)的兼容性
2018.2.28 周三
1、科学家警告来自外星的恶意代码
2050 年,地球收到了一个外星文明发送来的的首条星际编码信息。由科学家、语言学家和数学家组成的国际团体日以继夜的破解了信息。然而,在代码破译之后,灾难降临了——全世界的联网自动设备崩溃,计算机被加密,电网下线,没有人再能用比特币买东西了。这一切听起来像是来自某部科幻电影。
两位天体物理学家 Michael Hippke 和 John Learned 在预印本网站 arXiv 发表论文(PDF),警告了外星恶意代码的可能性。搜寻地外文明的 SETI 项目主要从事两种活动,其一是被动的监听外星信号,其二是主动发送信息。其中主动发送信息受到了很多批评,批评者认为收到信息的外星文明未必是友好的。但两位科学家认为,被动监听也是有可能导致灾难降临的。比如外星人发来的恶作剧或恐吓信息宣称,他们能将太阳变成超新星。
无论他们有没有这个能力,这一信息无疑会引发大规模恐慌。勒索软件之类的恶意代码同样会引发灾难。
来源:solidot
2、特斯拉Model 3被黑客侵入 性能参数曝光
腾讯汽车讯 北京时间2月26日消息,据Electrek网站报道,特斯拉当前正大量交付Model 3电动汽车。而现在,一些黑客和“修补者”正设法进入特斯拉Model 3车辆系统内部,以深入探索这款全新的全电动汽车。
美国特斯拉社区一位名叫“Ingineerix”的成员已经拥有了大量攻击特斯拉汽车的经验。他最近得到了一辆全新的Model 3,并开始对这辆电动汽车发起了黑客攻击。
他在Youtube上发布了几段视频,显示其拆掉了Model 3的一些零部件,并开始深入探索这款新车。他成攻侵入该电动汽车的工厂模式,并在网上发布了一张照片:
3、CrowdStrike 全球威胁报告指出:勒索和数据武器化等已成网络犯罪主流
先进攻击战略的传播已经模糊了治国方略和谍报技术之间的界限,使威胁局面超越了传统安全措施的防御能力。根据 2018 年 “ CrowdStrike 全球威胁报告 “显示:通过分析 176 个国家每天 1000 亿件事件的综合威胁数据发现,勒索和数据武器化已成为网络犯罪分子的主流,严重影响了政府、医疗以及其他行业。导致这种情况的部分原因是由于与国家有关的网络攻击活动和有针对性的勒索软件数量正在增加,不过也有可能受到地缘政治甚至是军国主义剥削目的的影响。
此外,供应链泄露、加密欺诈以及采矿业务为国家资助者和网络犯罪人士提供了新的攻击手段。
除此之外,报告还显示,一些已经建立的、资源充足的网络操作不断创新,例如探索分发犯罪软件的新方法,并采用先进的战术渗透,从而摧毁系统。
以 2017 年为例,CrowdStrike 观察到 ,约有 39%的攻击活动中传统防病毒软件无法检测到恶意软件的入侵,其中制造业、服务业和制药行业面临着最多数的恶意软件威胁。目前根据 CrowdStrike 统计, 2017 年的平均 “ 突破时间 ” 为 1 小时 58 分钟(突破时间表示攻击者从入侵的初始系统横向移动到网络中的其他机器所花费的时间——译者注)。
CrowdStrike 情报副总裁 Adam Meyers 表示:“ 现在各国与网络犯罪人士之间的界限日益模糊,以至于威胁的复杂性提升到了一个新的高度。”
来源:hackernews
2018.2.27 周二
1、首个法定数字货币诞生 石油币能否拯救委内瑞拉经济
近日,全球首个法定数字货币诞生,委内瑞拉政府宣布预售以石油为支撑的官方数字加密货币 “ 石油币 ”(Petro)。紧接着,又宣布将推出以黄金为支撑的第二种加密货币,即 “ 黄金石油币 ”(petro gold)。在预售首日,“ 石油币 ” 就吸引了 7.35亿美元资金。据了解,石油币首批发行 1 亿个(每个石油币以委内瑞拉的一桶原油作为担保),按照一桶原油约 60 美元的价格计算,总价值超过 60 亿美元。
发行数字货币,能否改善委内瑞拉法定货币通货膨胀,挽救其经济崩盘的危机,并突破美国和欧盟的经济制裁?
更多:https://zhuanlan.kanxue.com/article-4489.htm
来源: cnBeta、国际金融报
2、苹果确认使用谷歌云存储部分 iCloud 数据
苹果上个月更新了 iOS 安全手册,其中提到目前苹果正使用谷歌云平台存储 iCloud 数据。之前该公司一直使用亚马逊的 S3 以及微软的 Azure,不过后者已经换成谷歌的云存储服务。
「每个文件都被分割为数据块并且由 iCloud 使用 AES-128 进行加密,而每个数据块的内容都是用了 SHA-256 进行加密。密钥和文件的元数据都存储在用户的 iCloud 账户中。这些加密的文件数据块都使用第三方存储服务(比如 S3 和谷歌云平台)进行存储,没有任何用户识别信息。」
谷歌能看见的都是一些没有意义的加密数据,无法跟具体的个人联系起来。苹果并没有详细说明第三方服务器的使用情况,有可能同样的用户数据也会分散存储到其他平台。
3、趋势科技电子邮件加密网关曝多项安全漏洞,可获得 root 权限执行任意代码
外媒 2 月 25 日消息,Core Security 发现趋势科技基于 Linux 的电子邮件加密网关的 Web 控制台中存在多个安全漏洞( CVE-2018-6219 ~ CVE-2018-6230),其中一些被评为严重等级的漏洞能够允许未经身份验证的远程攻击者以root权限执行任意命令。目前受影响的软件包是趋势科技电子邮件加密网关 5.5 (Build 1111.00)及更早版本。
在这些漏洞中,最严重的是 CVE-2018-6223,可能会被本地或远程攻击者利用来获得目标设备的 root 权限,以便于执行任意命令。目前来说,该漏洞与设备注册时缺少身份验证有关。
具体细节为:管理员在部署过程中需要通过注册端点配置运行电子邮件加密网关的虚拟设备, 于是攻击者可以利用该漏洞在没有身份验证的情况下访问端点,以设置管理员凭据并对配置进行其他更改,比如管理员用户名和密码等。
据悉,Core Security 还发现了两个严重的跨站脚本攻击(XSS)漏洞,一个可导致命令执行的任意文件写入问题,另一个则导致命令执行的任意日志文件位置以及未验证的软件更新。除此之外,趋势科技的电子邮件加密网关也包括了 SQL 和 XML 外部实体(XXE)注入等漏洞。
目前趋势科技确认,由于实施修复程序的困难,中等严重性 CSRF 问题和低严重性 SQL 注入漏洞尚未得到修补。
来源:hackernews
2018.2.26 周一
1、GitHub 停止支持弱加密
2、Windows 10公布新版本 修复多个漏洞
3、美国官员:俄罗斯间谍黑客入侵奥运并试图栽赃朝鲜
2018.2.25 周日
1、湖南省儿童医院辟谣:“被勒索比特币”不属实
2、超过50,000个婴儿监视器被爆漏洞,供应商:假装没听到
3、黑客正在销售合法的代码签名证书
2018.2.24 周六
1、全球 14 家机构专家发百页报告:警惕人工智能
2、勒索软件SamSam攻击了美国西部交通部门
3、美参议员炮轰 CBP 电子护照系统存在长达十年的漏洞
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
