-
-
[6.30] 新漏洞RAMpage曝光:可影响2012年以来几乎所有安卓设备 | 6月安全资讯
-
发表于: 2018-6-1 09:43
-
2018.6.30 周六
1、新漏洞RAMpage曝光:可影响2012年以来几乎所有安卓设备
据外媒报道,自2012年以来的几乎所有Android设备可能被名为RAMpage的新漏洞的影响,该安全漏洞标记号为CVE-2018-9442,是数年前曝光的Rowhammer攻击的一个变种。RAMpage 是一套影响最新安卓系统的基于DMA的Rowhammer攻击,包括一个root漏洞利用,以及可绕过全部防御措施的一系列应用利用场景。
此前曝光的Rowhammer利用了DRAM物理内存卡硬件弱点,实现比特翻转攻击,利用硬件弱点而不是Android漏洞让一个没有权限的应用获得了设备的Root权限,影响大量Android设备,修复这个漏洞非常困难。
2、Windows用户感染无法卸载的恶意程序 All-Radio 4.27 Portable
从周三开始,很多 Windows 用户报告感染了一种无法卸载的恶意程序 All-Radio 4.27 Portable。All-Radio 4.27 Portable 是俄罗斯的一个合法在线视频和音乐程序,恶意程序作者只是拿它来充当门面。
一旦感染该程序,用户也许最好重装下系统。它会在系统中安装 rootkit,挖矿程序,监视剪切板在发现比特币地址之后用自己控制的地址替代,窃取信息的木马,还能发送垃圾信息。
大多数用户报告他们是在下载和安装游戏破解程序和 Windows 激活工具后感染了该恶意程序。
3、调查:每17台移动设备就有1台被用于网络恶意攻击
根据最新披露的报告,网络犯罪份子正在使用移动设备来避开检测和执行一系列恶意行为。主攻僵尸网络的安全公司Distil Networks近期发布公告[PDF]称,六大蜂窝运营商中大约有5.8%的设备被用于诸如自动攻击等行为,基本上相当于每17台设备中就有1台被恶意劫持攻击。并且所产生的僵尸机器流量占总流量的8%。
这些糟糕的机器人流量主要针对网页部署的企业,涵盖网络嗅探、暴力攻击、竞争性数据挖掘、在线欺诈、账户劫持、数据窃取、垃圾邮件和数字广告欺诈等诸多行为。Distil Networks对超过100万台设备进行了抽样检查,发现每台设备平均每天遭受50次僵尸机器人攻击。
Distil Networks的联合创始人兼首席产品兼战略官Rami Essaid说:“移动是僵尸机器攻击的新趋势,在保持隐蔽状态下还能执行高级攻击。这些攻击方式有些事通过电子邮件下载感染的,有些是嵌入到合法的APP中,数百万移动设备用户在不知不觉中携带恶意程序,从而让网络犯罪份子能够执行僵尸机器人攻击、滥用和欺诈等等。”
2018.6.29 周五
1、PeckShield曝以太坊“致命报文” 漏洞,可使2/3以上节点瞬间停摆
区块链安全公司PeckShield在刚刚结束的硅谷Blockchain Connect Conference大会现场,披露了一个能够造成以太坊受影响geth节点瞬间休克或崩溃的安全漏洞。PeckShield将披露的漏洞命名为“Ethereum Packet of Death(EPoD)”,即“致命报文”,攻击者通过发送一个恶意报文即可向geth节点发动攻击。
geth是以太坊主流的官方客户端,被众多重要节点采用,这也意味着一旦攻击者利用此漏洞实施攻击,涉及到的相关重要节点随时可能停摆。对整个以太坊网络来说,这样的漏洞如若被用来开展恶性竞争,将扰乱市场秩序,造成不可估量的严重损失。
2、智能锁设计存漏洞:3 秒破解智能锁的小黑盒流入市场
只要3秒,或许就能打开你家的智能锁!这种黑盒流入市场,本报已向公安部报警!2018年5月26日,第九届中国(永康)国际门业博览会在有“中国门都”美誉的浙江永康开幕。
但凡门博会,常有开锁高手来“踢馆”。据业内人说,这几乎是行内潜规则了,比如锁匠圈里有“鬼马大师”之称的张洪军,就是历年门博会上的常客。
因为是常态,所以当门博会第一天,一位叫王海丽的年轻女人对着一个个展位宣称“你家的智能锁,我3秒就能开”时,大家并没在意。
据业内人事后说,开始大家没在意,是因为以前的“踢馆”,双方都有心照不宣的“江湖规矩”——这世上没开不了的锁,只是时间问题。当场开不了,并不算栽,握手言和,算交个朋友;要是锁不幸被破了,锁匠也不让你难堪,送上改良方法,收点“咨询费”。对商家来说,这不算坏事,互促互进,皆大欢喜。
但王海丽接下去的操作,让诸多智能锁商家手脚冰凉!
3、美国大数据公司失误泄露 2TB 隐私信息:涉 2.3 亿人
据Wired报道,本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。
Exactis采集了大约3.4亿条记录,大小2TB,可能涵盖2.3亿人,几乎是全美的上网人口。
Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。
最早发现的安全研究员Vinny Troia称,他想搜索的所有人的资料都可以在泄露数据中找到,《连线》的记者给了10个名字,最后准确返回6个结果。
虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象,包括一个人是否吸烟,他们的宗教信仰,他们是否养狗或养猫,以及各种兴趣,如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整“社会肖像”。
目前,Exactis已经对数据进行了加密防护。在其官网,Exactis号称服务2.18亿独立用户,总计收集了超过35亿条商业、消费者和数字信息。
2018.6.28 周四
1、史上金额最高的数字银行盗窃案尚未结束
2、日本王子酒店等住宿设施的32万份个人信息遭泄露 包括信用卡号
人民网东京6月27日电 据《读卖新闻》网站报道,运营酒店预订网站的法国公司FASTBOOKING 26日表示,由于该公司管理的服务器遭受攻击,大约32.6万份日本国内401家住宿设施的个人预订信息被泄露,其中189家设施的大约12万份信息中包括信用卡号和有效期。
目前,尚未有信用卡被非法使用的情况出现。
当天,王子酒店也表示,大约有12.5万份在FASTBOOKING上通过外语预订的客户个人信息被泄露,其中6.7万份信息中包括信用卡号。王子酒店社长小山正彦在东京召开记者会就此致歉。
3、美国完成首次暗网卧底行动:收缴2360万美元违禁品
近日,据外媒Engadget报道,美国刚刚在对抗暗网的过程中取得了重大胜利!包含司法部、国土安全案调查局、特勤局等政府部门已经宣布它们完成了有史以来第一次暗网卧底活动。卧底通过在多个场合扮演洗钱者,引出了超过35家暗网商家与价值2360万美元的商品,目前人员与商品尽数被逮捕缴获。
具体来说,缴获的商品包括阿片类药品(鸦片提取物)、超过100只枪(甚至有榴弹发射器)、360万美元黄金与2000比特币。
执法部门还缴获了一些挖矿设备与汽车。至于被捕人群,官员并没有列出详细名单,但其中包含了21岁-34岁年龄不等的人。
当然,这对暗网而言说不上决定性的打击,不过美国展现了自己对暗网不容忍的姿态,而且提醒着人们,无论隐藏多么深,只要有人能从内部妥协,这些保护都是脆弱的。
2018.6.27 周三
1、研究人员警告英特尔CPU存在新的超线程漏洞
位于阿姆斯特丹Vrije大学的系统和网络安全部门研究人员表示,他们发现了英特尔处理器存在另一个严重缺陷。不像Specter和Meltdown,它不依赖投机执行,而是利用公司的超线程技术。但是,英特尔不会发布任何补丁。据The Register报道,这种超线程CPU上新的side-channel漏洞被称为TLBleed,因为它使用了处理器的转换后备缓冲区(TLB),这是一种缓存,用于保存从虚拟内存地址到物理内存地址的映射。
TLBleed漏洞利用英特尔超线程技术,启用此技术后,每个内核可以同时执行多个线程(通常是两个线程)。这些线程共享内核中的资源,包括内存缓存和TLB。当两个程序在同一个内核中运行时,其中一个线程可以通过检查其访问CPU专用资源的方式来监视另一个线程,因此,根据这些观察,可以获取另一个线程上的加密内容。
研究人员表示,他们能够使用TLBleed从英特尔Skylake Core i7-6700K的另一个正在运行的程序中提取加密密钥,成功率高达99.8%。使用其他类型的英特尔处理器的测试成功率相似。大多数用户无需担心TLBleed。利用它需要首先在系统上安装恶意软件,或者恶意用户获得访问权限。而且还没有证据表明黑客已经使用了这种漏洞。
这并不意味着TSBleed不应该被重视。上周,开源操作系统OpenBSD的开发人员禁用了英特尔处理器上的超线程技术,以防止此漏洞。项目负责人Theo de Raadt将于今年八月在黑帽大会上发表一篇研究论文,这将揭示为什么他们会做出改变。英特尔似乎对TLBleed带来的任何潜在威胁漠不关心。它没有为这个漏洞请求一个CVE编号,甚至拒绝向研究人员(通过HackerOne)颁发发现bug奖金。
来源:cnBeta.COM
2、未来Firefox将引入安全审查工具:确认个人账号是否已被泄露
Mozilla宣布未来Firefox版本将引入一项令人兴奋的功能。这项功能就是建议安全审查工具,使用Troy Hunt的“Have I Been Pwned”(HIBP)数据库对已知泄露的数据库进行扫描,确认用户账号是否出现在其中。
去年11月份,该功能的初版首次曝光。Mozilla表示通过免费访问的数据泄露API来访问HIBP,一旦在该数据库中发现账号那么就会自动向用户发出提醒。该功能当时只是一个通知系统,当用户访问恶意已经被窃取的网站时候才会发出提醒。
而现在Mozilla正将HIBP的完整服务整合到辅助网站-- Firefox Monitor上。双方的合作允许用户通过输入邮箱地址来查看自己的账号是否已经在已知的数据泄露中曝光。如果出现在数据库中,那么 Firefox Monitor就会知道已经掌握的暴露程度,并提供相关建议。
目前该系统还处于规划和测试阶段。Mozilla正和HIBP和Cloudflare公司合作,创建一种匿名数据共享的方法以确保每个用户的隐私得到妥善的保护。 Firefox Monitor预计将于下周开始率先在美国地区开放,首批大约为25万用户。如果取得成功,将会进一步向所有Firefox用户开放。
来源:cnBeta.COM
3、Firebase后端配置错误 导致大量应用程序敏感数据泄露
移动安全公司 Appthority 本周发布报告称,由于 Firebase 数据库配置错误,导致数以千计的 iOS / Android 应用程序泄露了超过 113GB 的数据。Firebase 是 Google 提供的“后端即服务”产品,其中包含了大量开发服务,旨在方便移动开发人员创建基于这些服务的移动或 Web 应用。
Firebase 深受顶级 Android 开发者的欢迎,因为它提供了云消息传递、推送通知、数据库、分析、广告、以及其它更多后端和 API 。
开发者们可以轻松嵌入自己的项目,并受益于 Google 的大规模高性能应用系统。
然而 Appthority 在扫描了 270 万款移动 app 后发现,其中存在着大量的问题。
从 2018 年 1 月开始,Appthority 的研究人员开始对使用 Firebase 系统的移动应用程序进行扫描,以存储用户数据和分析 app 对 Firebase 域请求的通信模式。
研究人员特别搜索了连接到基于 Firebse 的 JSON URL 的应用。然而在直接访问时,却发现其允许任何未经授权的第三方查看所有应用的数据。
研究人员扫描了超过 270 万个 iOS / Android 应用程序后,发现了 28502 个移动 app 在使用 Firebase 后端连接并存储数据(含 27227 个 Android / 1275 款 iOS 应用)。
其中的 3046 款 app(2446 个 Android / 600 款 iOS 应用),将数据保存在了 2271 个错误配置的 Firebase 数据库中,从而允许任何人查看其中的内容。
数据库一共暴露了 1 亿多条用户数据记录,泄露信息总量达到了 113GB 以上,其中包括:
● 260 万个明文密码和用户 ID;
● 超 400 万受保护的健康信息(PHI)记录 -- 含聊天消息与处方细节;
● 2500 万 GPS 地理位置记录;
● 5 万财务信息 -- 含银行、支付与比特币交易记录;
● 450 万 Facebook、LinkedIn、Firebase 等企业数据存储用户口令。
Appthority 指出,仅在 Google Play 商店,Android 版本的 app 就已经被下载了超过 6.2 亿次,表明一些非常受欢迎的 app 都在这些漏洞后端上运行。
万幸的是,在发布报告之前,Appthority 已提前向 Google 知会这一问题,并且提供了受影响的 app 和 Firebase 数据库服务器列表。
实际上,这并不是 Appthority 首次发现应用程序后端服务器暴露关键用户数据:
去年,该公司在发布的《HospitalGown》报告中透露,有超过 1000 款应用程序通过 MongoDB、Redis、CouchDB、Elasticsearch 和 MySQL 后端服务器,暴露了超过 43TB 的用户数据。
同样在去年,Appthority 研究人员发现,数十名开发者已经在围绕 Twilio 服务构建的数百个 app 中留下了 API 凭证,暴露了客户的私人通话记录和短信。
来源:cnBeta.COM
2018.6.26 周二
1、Theo de Raadt 称修复英特尔的新 CPU 漏洞并不容易
2、新研究发现:通过手机电池就能还原用户隐私数据
看起来,电池会成为出卖你个人隐私的下一个“祸首”。据外媒报道,由德克萨斯大学奥斯汀分校、希伯来大学、以色列理工大学等组成的联合研究团队发现,手机电池也可以暴露键盘输入和网页浏览内容。
当然,用户暂时不用担心,这个操作的前提是电池需要植入微传感器,换言之,你如果把手机拿到别有用心的三方维修店,可能未来会中招,只是操作门槛目前还比较高。
按照研究者的演示,通过1KHz的频率采样功耗、配合网页的特定API,成功重建用户的活动,比如还原出Welcome这个单词。
不过,要想提高还原的精度,还不得不以来一个本地的离线AI运算框架,这对于市面上多数手机来说,仍是不现实的。
该研究已经收录进7月份的隐私保护技术研讨会演讲议程中,届时会有更详细的介绍。
3、谷歌为Android APK添加DRM验证 以确保Play商店应用的真实性
尽管“数字版权保护”(DRM)是一项被音视频爱好者深恶痛绝的功能,但这并不意味着它无法在其它方面发挥积极的作用。据外媒报道,为了提升 Android 应用安装包(APK)文件的真实安全性,谷歌决定为 Play 商店的应用引入某种形式的 DRM 。据悉,这套机制与 Windows 平台上的驱动程序签名很是相似。
(应用签名前后对比)
给 app 添加 DRM 签名的目的很简单 —— 通过确保用户使用的是不被篡改的应用,从而提升 Android 用户的安全体验。
有趣的是,Google 并没有将这种新机制称作‘DRM’,而是说它在 APK 之上添加了‘少量的安全元数据’,以验证 APK 是否由 Google Play 分发。
(APK 完整性保护)
Google 表示,引入该机制的一个原因,是为了帮助开发者接触到更广泛的用户群体 —— 特别是那些因为连接受限和流量套餐昂贵,而导致 p2p 应用分享变得常见的地区市场。
新机制意味着,无论设备是否在线,都可以认定 app 的真实性。它不仅适用于通过 Play Store 分发的 app,还适用于那些授权的应用分发渠道。
(APK 签名验证过程,新步骤以红色显示)
不过截止目前,Google 似乎还停留于向开发者兜售这一想法(而不是直接面向 Android 用户)的阶段。
2018.6.25 周一
1、以太坊智能合约再曝安全漏洞 攻击者可窃取特定数字资产
2、苹果回应iPhone密码被暴力破解:测试是错误的
昨天,安全研究人员 Matthew Hickey 分享了一段 iPhone 锁屏密码暴力破解视频。这种方法绕过了 “若连续 10 次输入错误密码,将抹掉此 iPhone 上的所有数据” 限制,当 iPhone 或 iPad 与电脑连接后,可以将所有密码尝试发送至 iPhone,也就是 0000 至 9999 ,实现暴力破解。
今天,苹果对这个问题作出了回应:“最近有关于 iPhone 锁屏密码可以被暴力破解的报告是错误的,是错误测试的结果。”
3、特斯拉起诉前雇员入侵MOS软件 他到底偷了什么?
网易科技讯 6月24日消息,据CNBC报道,特斯拉汽车公司已经起诉其前雇员马丁·特里普(Martin Tripp),后者涉嫌侵入其MOS(制造操作系统)工厂软件,将几个GB公司数据传输给外部实体,并对记者发布虚假声明。特里普否认这些指控。
那么特斯拉所说的MOS(或TMOS)软件到底是什么?特斯拉拒绝就此事发表评论。不过,美国科技媒体CNBC采访了特斯拉前雇员,查看了LinkedIn上当前雇员的工作描述以及特斯拉在Ladders上的新招聘信息,了解到更多相关信息。
首先,MOS不是安装在特斯拉汽车上的软件。如果有人修改了MOS代码,他们不会改变特斯拉汽车芯片上的代码。相反,特斯拉开发的MOS软件用于自动化组装最新车型Model 3的流程。通常,MOS被用来在制造、修理和测试过程中追踪Model 3。
具体地说,特斯拉的工厂工人可以在MOS上查询细节,包括Model 3的车体是否完成组装,具体零部件是否已经安装(如方向盘、安全气囊或摇杆模具),Model 3的扭矩水平是否到位等。MOS还会跟踪每辆车在出厂前是否经过了必要的维修、质量测试以及安全测试。
工人们还在生产特斯拉家用储能产品Powerwall和电池组时使用MOS。因此,特斯拉在加州弗里蒙特(Fremont)的工厂、位于内华达州斯帕克斯(Sparks)的一号超级工厂(Gigafactory 1)、位于布法罗(Buffalo)的工厂以及爱尔兰的工厂都在使用MOS。
这款软件只是特斯拉使用的众多报告系统之一。例如,特斯拉还运行名为MES(制造执行系统)的程序,以支持其Model S和Model X车型的生产;特斯拉Executive Factory仪表盘可以显示设备效率和生产线数据,并向高管显示高水平的生产数据;还有一种叫做Garage(车库门户)的软件,用来查看哪些固件已经获得更新驱动程序或者可能需要更新。
一位前雇员说,修复记录和其他数据有时会在这些完全不同的程序中丢失,有时会导致重复工作。风投公司Trinity Ventures的普通合伙人阿贾伊·乔普拉(Ajay Chopra)是科技公司的长期投资者,他说,大型制造商推出自己的ERP(企业资源规划)软件并不常见。大多数公司从SAP和Oracle等公司购买软件,并大量定制。
乔普拉认为,特斯拉的MOS是公司潜在的收入来源。他说:“当亚马逊开发云计算服务AWS时,只是为内部使用而设计的。但十多年来,它已经成为所有云计算服务的标准。我猜,马斯克也有类似的远景。马斯克认定,明天的工厂将与今天大不相同,因为汽车正在变得更像软件而不是硬件。从生产到汽车都应该有一定的连续性,你可以对其进行更新和增加新的功能,而所有这些都必须由ERP系统提供。”
2018.6.23 周六
1、Bithumb被盗资金或通过BitBlender在暗网清洗
律师乔纳森·列维预测,从 Bithumb 交易所窃取的价值3200万美元的加密货币是通过Bitblender.io洗钱的。
Bitblender.io夸耀自己是“暗网上的头号比特币搅拌器”。Bitblender声称使用智能技术消除了比特币的历史记录,让交易100%匿名,实际上是在清洗比特币。
甚至有可能,有人声称,这次黑客攻击是Bithumb为筹集资金或逃税而做的内部工作。因此,这些基金很可能是通过Bitblender回收的,因此它们的来源被模糊了,然后又重新存入了Bithumb,作为一种新的资金注入。
2、D-Link 路由器和调制解调器漏洞正被大规模利用
3、Adobe正在使用机器学习来更轻松地找到被PS的图像
世界各地的专家越来越担心新的人工智能工具,使编辑图像和视频变得比以往更容易 - 尤其是社交媒体能够快速分享令人震惊的内容并且无需事实核查。其中一些工具是由Adobe开发的,但该公司正在研究如何使用机器学习来自动识别被PS的图片。
来自Adobe新的研究论文展示了机器学习如何用于识别三种常见的图像处理类型:拼接,将不同图像的两部分组合在一起;克隆,图像内的对象被复制和粘贴;和删除,当一个对象被编辑出来。
为了发现这种篡改,数字取证专家通常会在图像的隐藏层中寻找线索。当进行这些编辑时,它们会留下数字伪像,例如图像传感器产生的随机颜色和亮度变化(也称为图像噪声)中的不一致性。例如,如果将两个不同的图像拼接在一起,或者将图像的一部分中的对象复制并粘贴到另一部分,则此背景噪音不匹配,就像墙上涂有略微不同颜色的墙壁上的污渍。
与许多其他机器学习系统一样,Adobe也使用编辑图像的大型数据集进行教学。从中可以发现指出篡改的常见模式。它在某些测试中得分高于其他团队制造的类似系统,但并不显着。然而,这项研究并未直接应用于发现使用人工智能创建的新编辑视频的深度瑕疵。
2018.6.21 周四
1、因安全担忧 OpenBSD 将禁用英特尔 CPU 的超线程支持
因担忧更多 Spectre 变种漏洞,OpenBSD 项目宣布它计划禁用英特尔 CPU 的超线程支持。超线程是同时多线程技术的英特尔私有实现,允许处理器在 CPU 的不同核心执行并发操作。英特尔处理器从 2002 年起加入了这项功能,并默认启用,芯片巨人称它能提升性能。
但现在 OpenBSD 项目的 Mark Kettenis 表示该项目正移除英特尔 CPU 的超线程支持,理由是超线程技术对更多的时序攻击打开了大门。
OpenBSD 将提供关闭超线程支持的设置,因为现代机器不再在 BIOS 设置中提供关闭超线程的选项。
来源:solidot.org
2、疑似中国黑客组织入侵卫星运营商和国防承包商
赛门铁克研究人员称,源自中国计算机的黑客攻击入侵了美国和东南亚国家的卫星运营商、国防承包商和电信公司。赛门铁克认为此类攻击的目的是拦截民用和军用卫星通信。现代社会极度依赖于卫星,对卫星通信的干扰将可能对军用民用设施造成巨大破坏。
赛门铁克称,它已经与 FBI、国土安全部,与亚洲的国防企业和安全公司分享了技术细节。赛门铁克将发动攻击的黑客组织取名为 Thrip,其活动始于 2013 年,曾销声匿迹一年,去年开始再次活跃。
3、工信部:2020 年基本建成国家车联网产业标准体系
TechWeb报道,6月20日消息,日前,《国家车联网产业标准体系建设指南(总体要求)》《国家车联网产业标准体系建设指南(信息通信)》和《国家车联网产业标准体系建设指南(电子产品和服务)》正式发布,对此,工信部指出,大力发展车联网,有利于汽车产业创新发展,构建汽车和交通服务新模式新业态,促进辅助驾驶和自动驾驶发展,提高交通效率、降低事故发生率、节省资源、减少污染、进一步解放生产力。
据了解,《国家车联网产业标准体系建设指南》分为总体要求、智能网联汽车、信息通信、电子产品与服务等若干部分,其中智能网联汽车部分已于2017年底印发。指南中提出,充分发挥标准在车联网产业生态环境构建中的顶层设计和基础引领作用,加快共性基础、关键技术、产业急需标准的研究制定,加紧研制自动驾驶及辅助驾驶相关标准、车载电子产品关键技术标准、无线通信关键技术标准、面向车联网产业应用的LTE-V2X和5G eV2X关键技术标准,逐步建设跨行业、跨领域、适应我国技术和产业发展需要的国家车联网产业标准体系,满足研发、测试、示范、运行等产业发展需求。到2020年,基本建成国家车联网产业标准体系。
工信部称,车联网产业是依托信息通信技术,通过车内、车与车、车与路、车与人、车与服务平台的全方位连接和数据交互,提供综合信息服务,形成汽车、电子、信息通信、道路交通运输等行业深度融合的新型产业形态,是全球创新热点和未来发展制高点。
对于接下来的规划和发展,工信部方面表示,下一步,工信部将会同有关部门,继续发挥好由工业和信息化部、公安部、交通运输部等20个部门和单位组成的车联网产业发展专项委员会作用,合力推动解决政策法规、技术标准、基础设施、管理制度等方面的问题,加强对产业发展的规范和引导,营造有利于产业发展的环境,着力突破先进传感器、车载操作系统及中间件、车载智能处理平台、汽车级芯片等关键技术,加强LTE-V2X无线通信技术的覆盖和应用,推动信号灯、交通标识等道路基础设施的信息化和接口改造,加快建立车联网产业体系,促进自动驾驶发展,培育经济发展新动能。
2018.6.20 周三
1、苹果macOS“快速预览”曝漏洞:泄露加密文件
苹果电脑(操作系统名为macOS)的用户,经常使用一项名为“快速预览”(Quick Look)的功能,可以在不打开应用软件的背景下查看文件内容,但是据外媒最新消息,苹果电脑系统这一实用功能被爆出了安全漏洞,将会泄露用户加密的重要文件内容。
根据美国科技新闻网站AppleInsider报道,近日一位名叫Wojciech Regula的安全研究人员,发现并且曝光了这一安全漏洞。
据悉,在“快速预览”功能的工作机制中,苹果电脑系统将对大量文件、图片和目录的内容进行扫描,提前生成缓存内容。而用户在选择某个文件之后,按一下空格键,就能够快速查看缓存的预览内容。比如在流行文件格式PDF中,用户无需打开Acrobat软件,就能够读取到PDF的部分内容。
上述研究人员发现,苹果电脑操作系统将预览内容文件存放在了并未加密的硬盘部分中,这意味着即使原始的文件采取了加密措施,但是由于苹果的疏忽,黑客等不良之徒将能够在未加密分区中获得这些预览内容。
上述研究人员已经进行了概念验证,获取到了加密内容的预览信息。
苹果官方是否获悉了上述的漏洞,是否正在开发补丁,目前尚不得而知。
需要指出的是,在全球个人电脑市场,微软公司开发的Windows占据了九成五左右的市场份额,苹果的macOS目前仍然是一个份额十分有限的小众产品,因此macOS的安全漏洞影响的实际用户也相对有限。
由于macOS用户数量少,全球的恶意软件开发者、黑客往往把Windows作为攻击目标。而在智能手机市场,苹果公司的iOS占到大约一成五的份额,iOS因此正面临越来越严重的安全风险。
在本月初的苹果2018年WWDC全球开发大会上,苹果对外介绍了新一代macOS系统Mojave的部分新功能。该版本的安全性据称有了一定的提升,另外还提供了黑暗模式。
2、逆向工程暗黑破坏神
3、谷歌改口,将修复地理位置信息泄露问题
据外媒美国时间 6 月 18 日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需在后台运行一个简单的脚本,黑客就能从 Google Home 或 Chromecast 电视棒上搜集精确的位置信息。
来自安全公司 Tripwire 的研究者 Craig Young 表示,他发现了谷歌这两款产品上的一个身份验证的弱点,黑客能通过弱点拿到用户极为精确的地理位置信息。原来,他们只需询问谷歌设备附近无线网络的名单,随后将该名单发给谷歌的地理位置查询服务就行。
“黑客完全可以进行远程攻击,只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品,打开一个链接就行。”Young 说道。“不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。”
一般来说,网站都会记录访问者的数字 IP 地址,如果结合在线地理定位工具使用,就能搜集到访问者所处地理位置的信息。不过,此类地理位置信息在准头上可差得多。
但是,谷歌的地理位置数据可不一样,它们在全球有用大量无线网络名称的综合性地图,每个 Wi-Fi 网络都有对应的物理地址。掌握了这些数据的谷歌,通过三角测量甚至能将用户地位精确到几英尺之内。(如果你不信,就请关掉手机上的定位数据并移除 SIM 卡,这时手机照样能找到你的位置)。
“与普通的 IP 地址定位相比,谷歌的位置数据精准度要高出不少。”Young 说。“如果现在我定位了自己的 IP 地址,得到的数据只能落在我周边 2 英里之内。如果用家里的 IP 地址进行定位,位置漂移甚至能达到 3 英里。一旦黑客拿走谷歌的位置数据,定位精度就能缩短到设备周边 10 米左右。”
“我只在三种环境下进行过测试,每次得出的地址都相当精确。”Young 说道。“基于 Wi-Fi 的定位主要靠对信号强度、接入点以及用户手机位置(已知)的三角测量得出。”
这个弱点除了会曝光 Chromecast 或 Google Home 用户的位置信息,还能让黑客有机可乘,发动钓鱼和勒索攻击。
其实全世界的骗子都差不多,美国的也喜欢冒充 FBI 或国税局来恐吓你,他们甚至还会威胁向你的家人和朋友泄露某些秘密,而精确的地里位置信息会成为骗子的帮凶,增加他们的手的几率。
雷锋网了解到,今年 5 月,Young 向谷歌报告了自己的发现,不过搜索巨头直接回复称,自己不会修复这个问题。但后来它们改了口,称准备推送升级包解决这两款设备的隐私泄露问题。据悉,这个升级包将于今年 7 月 中旬正式推送。
“我们必须假定,在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young 在博客中写道。“这就意味着,所有请求都必须进行验证,而所有未验证的响应都越模糊越好。”
“如果你不太懂技术,解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young 在博客上写道。“只需将新路由器的 WAN 口连上现有路由器的开放 LAN 端口,攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术,但防范普通的攻击者绰绰有余了,因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。
来源:雷锋网
2018.6.19 周一
1、黑客放言:将于7月1日发布索尼PSV 3.68固件破解
你手头还有PS Vita吗?继2016年3.60固件完美破解后,黑客theflow在推特表示,由于8月份考试和之后陪女朋友出去玩,所以决定把PSV 3.68的破解在7月1日提前放出,原定的计划是9月1日。
新的破解将支持3.65~3.68固件版本,其中3.65支持固化。
目前在索尼官网显示的PSV最新固件就是3.68,发布于今年4月10日。
另外,黑客开始说破解需要记忆棒,但随后改口称内置存储也可以了,感兴趣的话拭目以待吧。
2、物联网产业规模将达到 9 万亿 网络安全投入却不足 3%
万物互联的智慧生活渐行渐近, 物联网 是现代科技高度集成和综合运用的体现,对新时代产业变革和社会经济发展具有决定性位置。当前,物联网设备呈现指数级增长态势,然而在物联网高速增长下,安全问题却暴露出来。
根据研究机构Gartner 公司的调查,2017年全球有84亿台物联网产品正在使用,比2016年增长31%,预计到2020年将达到204亿台。预计到2020年,物联网预计将产生惊人的经济影响,其市场规模高达8.9万亿美元,如果安全问题不能够很好解决,那么物联网设备所承担的风险将无法估量。
一个看似不起眼的物联网设备,却成了黑客攻击的目标。因为它称得上是整个赌场内部网络的“后门”——最薄弱环节,黑客先是入侵智能鱼缸,进入赌场内部网络,然后进行扫描,发现漏洞后进入网络中的其他地方,最终神不知鬼不觉地将赌场数据窃取。数据安全不仅涉及国家数据主权安全、企业和公民个人网络安全,也和IT以及互联网行业的创新密切相关。
试想一下,黑客通过某种途径读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头……似乎已经掌握你衣食住行的方方面面,立刻毛骨悚然。用户会越来越多地发现各类软件的“大数据”可能比我们自己还了解自己,这些大数据其实就是通过对用户日常生活轨迹的记录、累积和统计,再使用分析软件得出结论,保护好自己的数据不言而喻,真正能够保护自身数据安全的物联网设备才是第一道闸门。
物联网设备成为黑客攻击的捷径并非危言耸听。2014年1月发生的针对物联网设备的一起攻击行为,攻陷了10多万个联网设备,包括电视机、路由器和至少一台智能电冰箱,每天发送30万封垃圾邮件。攻击者从任何一个设备发送的消息也就10条,因而很难阻止或查明攻击源头。
针对物联网设备攻击的危害远不止于数据失窃那么简单。将勒索软件安装到家庭的智能恒温器上。将温度调高到95摄氏度,拒绝调回到正常温度,除非受害者同意支付用比特币支付的赎金。随着无人驾驶日益普及,黑客可以控制车辆,乃至引发交通事故。
物联网设备安全远比你想象中威胁大,近年来,网络安全建设受到政策大力支持,尤其是网络安全法正式实施后,相关政策加速出台。涉及网络安全的配套政策快速下沉到电信、互联网、工业、教育、农业等行业。网络安全风口以至,网络安全行业快速发展,网络安全投资迎来热潮。2017年,安全领域创业企业总融资额创新高。据不完全统计,网络安全领域当年全球投资300亿美元,国内仅为5.4亿美元;据分析,在欧美发达国家和地区,企业在网络安全方面的投入占IT方面投入达到10%-13%,国内仅1%-3%。
网络安全包括多个层面及维度,细分市场广泛。随着云计算和大数据时代到来,数据安全受到越来越多的重视,将成为行业发展风口。
来源:搜狐科技
3、外媒称 iOS 12 的新安全机制已遭破解
新浪手机讯 6月15日上午消息, 在昨天新浪科技的报道中,苹果公司证实他们在iOS 12系统中加了新的USB连接限制,既iPhone在一小时内没解锁过,那它连接电脑时必须要输入密码。然而,根据Vice的一份最新报告显示,暴力破解设备(GrayKey灰钥匙)的研究人员已经破解了这个新功能。
GrayKey
USB Restricted Mode(USB限制模式)是为了阻止GrayKey这样的破解设备而新增加的安全措施。GrayKey的工作原理是通过数据线连接iPhone,并使用暴力手法来获取访问权限。GrayKey和其他类似工具在执法机构以及犯罪分子中非常受欢迎。
在Vice收到的一封电子邮件中,相关执法机构的专家声称,Grayshift(GrayKey的生产公司)已经研究出新技术,用来破解苹果最新的USB限制模式:
“Grayshift已经竭尽全力研究新的技术,并且他们已经在这项新技术的测试版本中破解了苹果最新的USB限制模式。GrayKey中还集成了更多新的功能,这些功能会陆续使用。“一位法医专家在6月份的一封电子邮件中写道。
在这封邮件被刊登在Vice上之后,人们对苹果最新的安全策略产生了质疑。但是要知道这些破解设备的公司经常会公布一些没有证据的信息来误导人们。但这些不知真假的信息会促使苹果实施更严格的安全措施来阻止像GrayKey这样的工具。
GrayKey操作界面
正如苹果在声明中所说的那样,USB限制模式并不是为了限制执法机构的工作,而是因为许多犯罪分子也使用像GrayKey类似的破解设备访问私人数据。但是,苹果的限制措施也让执法机构的工作人员很忧虑。
根据苹果公司的说法,USB限制模式目前正处于测试阶段,并将很快面向公众推出。
2018.6.15 周五
1、Intel处理器又双叒叕曝漏洞:二代酷睿起全受影响
年初的幽灵、熔断两大安全漏洞引发轩然大波,Intel处理器受到的冲击尤其严重,而且之后陆续被发现了更多变种,直到现在各方都还在持续修复之中。
现在,安全研究人员又在Intel处理器中发现了一个严重安全漏洞,波及2011年二代酷睿Sandy Bridge起之后所有的Core酷睿、Xeon至强处理器,一个也跑不了。
据悉,这个漏洞借助了一个名为“lazy FP state restore”(惰性浮点状态还原)的特性,它包括一系列指令,可以临时保存或还原那些运行不是很频繁的应用的FPU浮点单元状态,本意是用来优化性能的,有点缓存加速的意味。
利用此漏洞,黑客可以从处理器中嗅探出用户的敏感信息,比如保护数据的加密密钥。
Intel官方已经确认此漏洞,并且正在和发现漏洞的安全人员、软硬件厂商一起进行修复,但不清楚何时会发布补丁。
Red Hat红帽也发布了安全警告,确认Red Hat Enterprise Linux 7系统会默认关闭lazy FP state restore,从而不受影响,同时AMD处理器也不受影响。
来源:驱动之家
2、FBI破解iPhone的漏洞被堵了!苹果说要对抗黑客入侵
6月13日,苹果公司宣布,将修补一个安全漏洞,此举会截断执法机关目前普遍使用的iPhone破解方法。
路透社6月14日报道中,苹果公司回应称,此举是为了保护所有的消费者,尤其是在手机非常容易被警察或有广泛资源的犯罪分子获得的国家,从而阻止攻击技术的进一步传播。
此举很可能引发美国执法者的愤怒。2015年美国圣贝纳迪诺枪击案中,苹果曾拒绝配合美国联邦调查局(FBI)解密枪击者的iPhone。英国金融时报6月14日报道称,批评者认为,苹果这是将消费者隐私权置于国家安全之上。
对此,苹果解释,“在苹果,我们的所有设计都以消费者为核心。我们持续强化每个苹果产品的安全保护,帮助消费者抵抗黑客、信息小偷和其他对个人数据的入侵行为。我们对执法机关怀有最大敬意,我们改进安全问题不是想阻碍他们的工作。”
苹果的这项漏洞修补,可能会包括在数月后即将推出的iOS12操作系统中,它与iPhone通过有线USB连接传输数据的功能改进有关。
漏洞修补后,当USB线插入设备并被保持锁定1小时后,iPhone就会自动进入“USB限制模式”,此时线缆只能用于充电,不能进行数据传输,除非用户输入密码。
这个功能能够阻碍执法机构破解iPhone。
据纽约时报6月13日报道介绍,以往的破解方法是将iPhone与另一台运行特殊软件的设备连接进行破解,一般破解时距离手机上次被解锁往往已经过去数日甚至数月。苹果的此项计划更新在执法系统中流传后,很多探员都非常愤怒。
现行的美国政府合作商,提供iPhone取证工具的两家主要公司分别是Cellebrite和Grayshift。Cellebrite是一家以色列公司,2018年2月该公司曾宣称它们已能破解市面上几乎所有iPhone。而Grayshift由一位苹果前工程师于2016年创办,2018年3月,该公司的iPhone破解设备“灰钥匙”(Graykey)开始以15000美元一台的价格出售给执法机关。
与Facebook、谷歌等依赖用户数据投放广告的互联网公司商业模式不同,苹果的收入来源主要是依靠销售iPhone等硬件的销售。因此,在此前8700万Facebook用户数据泄露一事引发公众关注后,苹果CEO蒂姆·库克多次强调了苹果公司对数据安全和用户隐私权的重视,并将之作为iPhone与其竞争对手的主要不同点。
此前,苹果公司与FBI(美国联邦调查局)之间的对抗曾引发广泛争议。
2015年12月,美国圣贝纳迪诺枪击案共造成14人死亡、20余人受伤,行凶者被警方击毙。当时,美国联邦法院要求苹果公司向FBI提供“合理的技术援助”,帮FBI获取行凶者iPhone中的信息,而苹果公司对此拒绝配合,并声称要抗辩该法院命令。蒂姆•库克表示,这份联邦法院裁决是“美国政府伸手过长”的一个“可怕”例子。
最终,2016年3月,FBI在没有苹果公司帮助的情况下强行破解了手机。随后,苹果公司发布声明称,“苹果深切相信,美国及全世界所有人民都应该享有数据的保护、安保和隐私,为了别的利益而牺牲它,将会让民众和国家置于更大的危险之中。”
来源:澎湃新闻
3、微软修复 Cortana 智能助手提权漏洞
在本周释出的 Windows 六月例行更新中,微软修复了数十个漏洞,其中包括了一个利用 Windows 10 智能助手 Cortana 访问锁屏计算机,获取设备上的数据,执行恶意代码,甚至修改密码的提权漏洞。
该漏洞编号 CVE-2018-8140,安全研究人员最早在今年 4 月向微软报告了这一漏洞。除了修复微软自家软件漏洞外,六月例行更新还包含了补丁修复 Adobe Flash Player 0day漏洞 CVE-2018-5002,Adobe 在上周释出了补丁,但可能不是所有 Flash 都及时打上补丁。
来源:solidot.org
2018.6.14 周四
1、中铁总回应12306数据泄漏传言:网站未发生用户信息泄漏
6月13日晚,中国铁路总公司(下简称“中铁总”)对网传“12306数据疑似泄漏”作出回应。
中铁总方面回应称,经核查,该网站未发生用户信息泄漏,网传信息与铁路12306网站无关。为确保个人信息安全,铁路部门提醒广大旅客,请通过铁路12306官方网站(www.12306.cn)和“铁路12306”客户端购票,避免非正常渠道购票带来的风险。
6月13日下午,网传“2016年至2018年3月的3000万条12306数据”被泄露,其中包括“手机号、密码、支付密码、姓名、身份证号码、答案”等内容,传言在暗网售价10个比特币。(目前一个比特币的价格超过4万元人民币。)
对此,澎湃新闻记者曾在当晚致电12306客服,得到的回应是,未收到有关大规模用户数据泄露的通知。
此外,在12306应用软件上也可发现,该软件的支付密码并不直接对接该软件,而是需要在支付时转至第三方应用平台才需输入。接近中铁总的相关人士也对澎湃新闻记者表示,12306应用软件并不会留存用户支付密码。
2、摩拜回应数据泄露传闻:启动排查,暂未发现数据泄露和入侵
愈演愈烈的数据泄露传言砸中了共享单车平台摩拜。
6月13日,有网络流传的截图称,疑似摩拜单车的用户数据在暗网大卖,标价整体40万,且已经有人买了。
对此,摩拜方面回复澎湃新闻(www.thepaper.cn)记者称,摩拜高度重视用户的安全和隐私保护,收到情报后第一时间启动全量排查,暂未发现数据泄露和入侵的现象,相关网络传言不实。
摩拜是国内共享单车龙头企业。两天前的6月11日,摩拜单车刚刚宣布,在全国百城开启新老用户全面免押,且无任何条件限制,无需信用分。摩拜方面透露,“此次摩拜免押城市大批扩容达至扬州、绍兴、龙岩等百城,涵盖广大二三线城市,实现了半数以上运营城市的无门槛免押金。”
近日,互联网平台数据泄露的传言突然涌现。
6月13日凌晨,AcFun弹幕视频网(俗称:A站)在其官网发布《关于AcFun受黑客攻击致用户数据外泄的公告》称,AcFun受黑客攻击,近千万条用户数据外泄,包含用户ID、用户昵称、加密存储的密码等信息。
A站的公告称,如果用户在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码,如果用户在其他网站使用同一密码,也需要及时修改。
当天即有网络传言称,有网友反映,一些不法网络已经在兜售A站用户数据,并晒出了价目表。根据曝光的截图,暗网上出现的A站用户名+手机号+密码等信息,多达800万条,价格为12000元,平均1元800条用户信息。
上述信息尚未获官方证实。
3、越南批准了网络安全法
2018.6.13 周三
1、A站受黑客攻击:近千万条用户数据外泄 涉ID及密码等
今日凌晨,AcFun发布公告称,受黑客攻击,近千万条用户数据外泄,其中包含用户ID、用户昵称、加密存储的密码等信息。
AcFun向用户表示,如果在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码。如果在其他网站使用同一密码,也请及时修改。
2017年7月7日,AcFun升级改造了用户账号系统。AcFun称,如果在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果密码过于简单,也建议修改密码。
AcFun称事故的根本原因在于没有把网站做得足够安全,在事发后,已在第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。
接下来,AcFun会对服务做全面系统加固,实现技术架构和安全体系的升级。同时,AcFun表示已经搜集了相关证据并报警。
此次事故公告之前,快手刚刚完成对Acfun的整体收购。 未来,A站将保持独立品牌、维持独立运营、保持原有团队、独立发展,而快手会在资金、资源、技术等给予A站大力支持。
同日,Acfun发布招聘贴。网友戏称:“有钱了”。
2、以太坊客户端 Geth 出漏洞,超过 2000 万美元的数字货币被盗
2018.6.12 周二
1、黑客通过崩溃银行的计算机尝试入侵 SWIFT
黑客利用病毒破坏了智利银行的计算机系统,但这么做只是为了让银行工作人员分心,黑客在同一时间尝试通过 SWIFT 交易系统窃取 1100 万美元。这次尝试失败了。黑客使用的病毒被 Trend Micro 的安全研究人员暂时命名为 KillMBR,顾名思义,它通过破坏计算机的主引导记录(MBR)使得计算机无法启动。
病毒据报道崩溃了智利银行超过 9000 台计算机和超过 500 台服务器。攻击发生在 5 月 24 日,导致了全系统的故障。安全研究人员认为发动此次攻击的黑客组织早先曾攻击墨西哥的外贸银行,试图窃取 1.1 亿美元,但那次攻击也失败了。Trend Micro 团队认为对智利银行的攻击是一种转移注意力的策略,最终目标是银行的 SWIFT 网络。
2、韩国一交易所遭黑客攻击:比特币创近三个月最大跌幅
上周日,韩国加密货币交易所Coinrail称系统遭遇“网络入侵”,致使比特币连续三天下跌。彭博社援引Bitstamp数据显示,截止到下午4点,纽约市场比特币价格已跌至6840美元,创出自3月14日以来的最大跌幅,将比特币今年的亏损幅度扩大到52%。
同属加密货币的以太坊和瑞波币的交易价格分别下跌10%和11%。
6月10日,比特币期货(XBT)与美元交叉汇率
Coinrail官网上的一份声明证实,该交易所一些数字货币似乎已被黑客窃取,但未提及具体金额。Coinrail只是说,正在与调查机构及其它交易所合作,以便追捕肇事者并挽回损失。
数字货币的核心安全问题是,货币本身通常只代表一个独特的数字代码,这意味着一旦数据被盗,其所有者信息就会被抹去。
Coinrail表示,为防止黑客攻击,该公司正在审查系统。该交易所说,已经成功冻结了所有面临被盗风险的NPX、NPER和ATX等数字币种,其它加密货币现在被保存在一个“冷钱包”(cold wallet)里。
根据Coinmarketcap.com的数据统计,Coinrail交易所涵盖超过50种不同的加密货币,交易规模在全球同类市场中排名第98位,24小时的交易量约为265万美元。
3、北京检方发布《网络安全刑事司法保护白皮书》
近年来,随着信息技术的发展,我国已成为全球网民数量第一的互联网大国,互联网在极大促进社会发展的同时,也带来网络安全及数据安全案件的高发。
北京市海淀区人民检察院6月7日发布《网络安全刑事司法保护白皮书》,白皮书显示,网络犯罪主体呈现低龄、低学历化特征,犯罪行为产业化特征明显,日渐形成完整、闭合的产业链条。
据了解,2016年9月以来,海淀检察院共受理网络犯罪案件450件1076人,其中审查逮捕245件588人,审查起诉205件488人,涉及27个罪名。以审查逮捕案件为例,涉案人数较多的罪名包括诈骗罪、扰乱无线电通讯管理秩序罪、侵犯公民个人信息罪、盗窃罪等。
白皮书披露,网络犯罪普遍呈现低龄化,该类案件中“90后”占比近38%,“80后”占比约48%。犯罪行为人普遍学历较低,本科及以上学历人数仅占21%,初中、中专、小学等教育主体占比超过60%。该类犯罪突破了传统地域空间限制,跨地域作案特征明显。被害人分布于各个省份,与犯罪分子相隔万里;共同犯罪的犯罪主体之间,帮助行为主体与实行行为主体往往并不认识,仅通过网络论坛、QQ群、微信群进行联络就能实施犯罪。
此外,网络犯罪的产业化链条特征明显,其上中下游犯罪分工明确。上游负责获取用户电脑中的信息或者直接将用户的电脑予以控制;中游或通过这些信息来盗取财产,或直接将其转卖获利;下游则以盗窃、诈骗等形式将获取的数据变现。在网络犯罪涉及的侵犯财产权案件中,针对不特定公众的诈骗数额虽小,但其影响范围广,受害人数多,因而总体犯罪数额较大。如郭某某电信诈骗案中,行为人先后冒充检察官、警察,以被害人涉嫌刑事犯罪为由骗取其人民币1800余万元。在欧某某非法吸收公众存款案中,行为人以微信公众号的形式宣传其理财产品,向百余名民众吸收存款5000余万元。
基于社会实践和打击的需要,白皮书将网络犯罪分为网络黑产犯罪和网络化的传统犯罪两种基本类型。其中,网络黑产犯罪以计算机数据、程序、系统或者软件等作为犯罪对象,形成了一条封闭的产业链,上游提供工具和平台,中游获取信息、清洗数据,下游精准诈骗、盗窃财产。在实践中,此类案件主要以破坏计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪为主。
随着互联网应用场景和互联网技术的普及,传统犯罪与网络平台、网络技术相结合,开始出现赌博、贩毒、色情等传统犯罪向网络社会延伸和扩张的现象,衍生出网络赌博、网络色情、贩卖毒品、互联网金融诈骗等犯罪,并出现从PC端向移动互联端蔓延的趋势。
针对上述问题,海淀检察院将持续创新专业化办案机制,精准高效办理网络犯罪案件,并积极发挥提前介入优势,引导侦查取证有力。同时积极参与社会治理创新,深化与行政监管机关、行业协会协作,推动风险防治共建,切实推动网络安全保护,进一步延伸职能,推进检企联络,服务区域科技创新发展。
2018.6.11 周一
1、 Oath 将在 7 月 17 日关闭 Yahoo Messenger
2、 微软将数据中心沉入大海 省钱环保拯救地球
【TechWeb报道】6月10日消息,据美媒称,微软公司已在水下部署了一个数据中心。该项目的目的是为了研究利用可再生能源向沿海城市提供互联网服务,增加提升上网速度的可行性。此举除了赚钱外还可以由再生能源提供动力,可谓一举两得。
该数据中心位于海面以下36米的地方,通过奥克尼运行的海底电缆进行供电。此项目是Project Natick项目的一部分,微软将数据中心部署在了苏格兰的奥克尼群岛附近的水域中。该项目的数据中心由864个服务器组成,这些服务器被装在一个约40英尺长的防水容器之内。
该项目的逻辑很明确:使数据中心离更近的用户收益,减少用户与服务器之间的往返距离,从而让用户的网络状况更加顺畅。微软公司表示,全球的半数人口目前生活在距离海洋不到150公里的地方,而且海洋在一定深度之下保持着低温,将数据中心放在海底,可以从预算中节省很大一部分的冷却费用。
目前Project Natick项目的目标是在90天内在世界多数地方大规模部署数据中心,这种部署预计将在一年到两年时间才可以完成。但随着互联网在世界越来越多的地方得到普及,或有可能会加速此项目的进程,或许会缩短完成时间。
对于微软来说,此次部署水下服务器工程是一次探索性实验,用来证明可以在海面以下来部署服务器,从而拓展商用服务器规模的更多可行性。
来源:TechWeb
3、 互联网之父Vint Cerf 呼吁尽快升级到 IPv6
虽然 IPv6 普及度在逐渐提高,但 IPv4 仍然活着。在唱衰 IPv4 许多年之后,它仍然活着好好的。尽管如此,互联网之父 Vint Cerf 呼吁尽可能快的升级到 IPv6。
目前 IPv6 普及度接近四分之一,Vint Cerf 指出这还不够,称有很多理由升级到 IPv6,企业可以通过灰市拍卖购买 IPv4 地址段,但 IPv6 地址空间更廉价更充足。
根据 Internet Society 的报告,有 24 个国家的 IPv6 流量比重超过了 15%,49 个国家 IPv6 流量超过 5%,前 100 万 Alexa 域名有 17% 支持 IPv6,中国、西班牙、俄罗斯、南非、意大利和南非的 IPv6 普及度依旧不到 5%。
2018.6.7 周四
1、脸书数据泄露门牵扯中国公司
根据路透社消息,本周二Facebook证实与华为、联想、TCL以及OPPO存在数据分享合作伙伴关系。Facebook发言人表示,这些数据的分享合作是以便于这些公司为他们的客户创造一种类似于Facebook的体验。
根据Facebook发言人所披露的而消息,自2007年起,Facebook与全球六十多家公司签署了数据分享协议,为他们的用户再创一种类似Facebook的体验,不过,截至目前,已经超过半数的合作关系已经终止,并且与华为的数据分享合作关系将于本周内结束。另外三家中国公司何时结束数据分享合作该发言人并未透露。
根据目前掌握的情况,并没有证据显示这四家中国公司对这些数据有滥用的行为,并且Facebook也表示这些数据会严格受到合同限制。Facebook也表示,这些数据的用途与此前剑桥分析公司的行为不同,剑桥分析公司的目的不纯,目前Facebook已经陆续减少此类API的使用。
2、黑客利用病毒挖门罗币 已获利 60 余万
火绒安全团队截获一批蠕虫病毒。这些病毒通过U盘、移动硬盘等移动介质及网络驱动器传播,入侵电脑后,会远程下载各类病毒模块,以牟取利益。这些被下载的有盗号木马、挖矿病毒等,并且已经获得约645个门罗币(合60余万人民币)。
该病毒早在2014年就已出现,并在国内外不断流窜,国外传播量远超于国内。据”火绒威胁情报系统”监测显示,从2018年开始,该病毒在国内呈现出迅速爆发的威胁态势,并且近期还在不断传播。
火绒工程师发现,该病毒通过可移动存储设备(U盘、移动硬盘等)和网络驱动器等方式进行传播。被该蠕虫病毒感染后,病毒会将移动设备、网络驱动器内的原有文件隐藏起来,并创建了一个与磁盘名称、图标完全相同的快捷方式,诱导用户点击。用户一旦点击,病毒会立即运行。
病毒运行后,首先会通过C&C远程返回的控制命令,将其感染的电脑进行分组,再针对性的获取相应的病毒模块,执行盗号、挖矿等破坏行为。
病毒作者十分谨慎,将蠕虫病毒及其下载的全部病毒模块,都使用了混淆器,很难被安全软件查杀。同时,其下载的挖矿病毒只会在用户电脑空闲时进行挖矿,并且占用CPU资源很低,隐蔽性非常强。
不仅如此,该病毒还会删除被感染设备或网络驱动器根目录中的可疑文件,以保证只有自身会进入用户电脑。由此可见,该病毒以长期占据用户电脑来牟利为目的,日后不排除会远程派发其他恶性病毒(如勒索病毒)的可能。
3、DNA 检测公司 MyHeritage 遭黑客入侵:9200 万账户泄露
北京时间6月6日早间消息,消费级家谱网站MyHeritage宣布,与该公司的9200万个帐户相关的电子邮件地址和密码信息被黑客窃取。
MyHeritage表示,该公司的安全管理员收到一位研究人员发送的消息,后者在该公司外部的一个私有服务器上发现了一份名为《myheritage》的文件,里面包含了9228万个MyHeritage帐号的电子邮件地址和加密密码。
“没有证据表明文件中的数据被犯罪者利用。”该公司周一晚些时候在声明中说。
MyHeritage允许用户制作家谱、搜索历史记录并寻找潜在的亲人。该公司2003年创办于以色列,2016年推出了MyHeritage DNA,用户只要发送一份唾液样本即可进行基因检测。该网站目前拥有9600万用户,其中有140万曾经接受过基因检测。
据Heritage介绍,该漏洞发生在2017年10月26日,受影响的用户都是在那一天之前注册的。该公司还表示,他们并没有存储用户的密码,所有密码都经过所谓的单项散列方式进行加密,不同用户的数据需要使用不同的密钥才能访问。
但在之前的黑客事件中,这类机制曾经遭到破解,从而转换出密码。倘若如此,黑客便可获在登录用户帐号后获取其个人信息,包括家庭成员的身份。但即使黑客能够进入用户帐号,也不太可能轻易获取原始基因信息,因为想要下载这些内容,需要通过电子邮件进行确认。
该公司在声明中强调,DNA数据存储在“隔离的系统上,与保存电子邮件的系统相互分离,其中包含额外的安全层。”
MyHeritage已经组建了全天候支持团队,为受影响的用户提供帮助。该公司还计划聘请独立网络安全公司调查此事,并有可能加强安全措施。与此同时,他们也建议用户更改密码。
随着消费级DNA测试发展成为一个9900万美元的行业,关于用户私密数据的安全性问题也引发越来越多的关注。在调查者通过某家谱网站追踪到“金州杀手案”嫌疑人后,关于DNA数据的隐私担忧也大幅提升。
2018.6.6 周三
1、Steam客户端发现远程代码执行漏洞:已放补丁
大家熟知的游戏平台Steam客户端,竟然存在了一个至少10年的远程代码执行漏洞……近日有安全公司的研究人员Tom Court曝出了这一发现。据悉,这个漏洞会影响到每月1500万的活跃用户,因此游戏公司Valve在收到安全通知后,12小时内就放出了安全补丁。
Steam客户端发现远程代码执行漏洞
Steam客户端程序库的堆积(Heap)崩溃漏洞能被远端触发,该区代码是用来处理并重组多个UDP数据封包,Steam客户端依赖自定义协议进行通讯,这个协议建立于UDP之上。简单来说,这个错误发生于,客户端程序没有对分段数据包的第一个封包进行基本的检查,来确保指定的封包长度小于或是等于总数据包的长度,Tom Court认为这是一个疏忽,因为在后续传输的封包都有经过检查。
在现阶段的操作系统中,单独的堆积崩溃漏洞很难控制,因此也不容易被利用于远程代码执行攻击,但是Steam自定义的内存分配器,以及在2017年7月之前,steamclient.dll二元档中还没有使用绕过地址随机化(Address Space Layout Randomisation,ASLR)保护技术,因此大幅提高了这个漏洞被利用的可能性。
在Tom Court看来,这是一个简单的漏洞,在缺乏现代化信息安全技术的保护下,漏洞被利用起来也相对简单许多。他在今年2月告知Valve该漏洞,而Valve也在12小时内就在客户端测试版发布了修正补丁,并在3月22日以将正式版推送给所有玩家,目前没有证据显示该漏洞曾被利用来发动攻击。
不过,这个漏洞之所以存在这么久还没有被发现,Tom Court认为,由于这部分程序运作良好,开发者似乎也没有特别的理由更新。但显然这对于程序开发商来说,倒应该是一个很好的教训,而且定期检查包含老旧代码在内的程序,无疑就变得更为重要了。
来源: 中关村在线(北京)
2、比特币谷歌搜索量下滑75% 市场兴趣显著降温
随着价格的下滑,比特币今年在互联网上的热度也随之降温。基于对“谷歌趋势”(Google Trends)的研究表明,年初至今“比特币”一词的搜索量下滑了75%,最近三个月的跌幅接近50%。市场研究公司DataTrek Research联合创始人尼古拉斯·克拉斯(Nicholas Colas)认为,“比特币”搜索量的下滑将来可能影响到比特币的价格。
克拉斯说:“我们利用‘谷歌趋势’来追踪比特币搜索量,以此作为潜在买家的统计依据。将来比特币要再次赢得全球关注,需要有新的动力。”
“谷歌趋势”用数字来体现全球网民对搜索内容的兴趣,“100”代表最高的流行度。今年1月1日,比特币的搜索指数为“37”,而6月2日则降至“9”,流行度明显降低。
数字加密货币行情网站CoinDesk数据显示,今年比特币的价格已下滑约50%,本周一的交易价格不到7500美元。相比之下,比特币价格去年上涨了1300%,去年12月一度达到近2万美元。
除了比特币,其它数字加密货币的搜索量也显著下降。例如,第二大加密货币以太坊搜索量下滑了70%,瑞波币下滑了87%,比特币现金下滑了82%。
来源:新浪科技
3、“杀毒软件教父” John McAfee 宣布将竞选 2020 年美国总统,借此推动加密货币
据外媒CNET报道,杀毒软件先驱及加密货币“福音传教士”John McAfee当地时间周日宣布将在2020年竞选美国总统,并将其与他现在推动加密货币的角色联系起来。McAfee表示:“我相信通过为我们提供终极竞选平台,这将最好地服务于加密社区。”
2016年John McAfee曾竞选美国自由党总统候选人。不过他最终败给了前新墨西哥州州长Gary Johnson,未获提名。McAfee曾在推文中表示:“如果自由党再次提出要求,我会和他们一起参加竞选。否则,我将创建自己的党派。”
McAfee似乎对他此次的总统竞选并不抱有期望,他发推文称:“不要以为我有获胜的机会,我不这样认为。但真正改变美国不是总统,而是选出一个美国总统的过程。”
McAfee对加密货币的迷恋可能很快会带来另一个不寻常的转折。5月下旬,他宣布将发行一种名为“McAfee兑换单位(McAfee Redemption Unit)”的加密货币纸币。他将其形容为“与区块链联通,可兑换、转换或收藏。”
今年四月份他还透露,想要让他帮助推广加密货币项目和初始投币产品(ICO),收费标准是每条推文10.5万美元。
2018.6.5 周二
1、黑客称破解苹果内部工具 网上叫卖
腾讯科技讯 据外媒报道,一名黑客宣称已破解苹果内部工具,可以用来返回苹果用户的账户信息。
这名匿名的黑客在其Twitter个人资料页面上宣称破解了苹果的内部工具。他还发布了几张照片,看起来像是访问苹果全球服务交换(GSX)系统的截图。该系统只有获得授权的员工才能够使用,主要用来处理维修请求和售后支持。
有记者联系到了这名黑客,希望求证他的说法是否属实。
记者给了这名黑客一个有效的Apple Watch序列号,结果他在几分钟后就返回了一个截屏,其中包含有这款智能手表的款型、序列和类型等准确的信息。
但是,这个截屏还包含有其他信息。例如,它显示这款设备“已过质保期”,然而这个信息并不准确。
这名黑客拒绝给记者提供他宣称拥有的这款设备的相关账户信息。
“这个我不能告诉你。”这名黑客说。
这名黑客用糟糕的英语说,他的苹果系统破解工具每天至少可以销售给20个人,以用于获取苹果系统的用户名和密码。
一名熟悉苹果系统的消息人士对此嗤之以鼻。他表示,这名黑客所谓的苹果内部工具的网址只是GSX工具的“测试版本”,仅用于开发用途。
“它包含的数据都是虚拟的。”该消息人士称。该系统已不能够返回真实的账户信息或保修信息。
对此,这名黑客尚未作出回应。
现在尚不清楚,这名黑客是否真的破解了苹果的内部工具。
苹果发言人拒绝对此发表评论。
在过去几年中,苹果一直是黑客青睐的目标。这些黑客的目的主要是为了敲诈苹果或无知消费者。
去年,有骗子宣称获得了数百万个苹果ID记录,并威胁称如果苹果不缴纳赎金,那么他们将会远程删除这些账号。但是最后的结果证明,这些黑客不过是虚张声势,他们索要赎金的目的最终也没有达成。
2、Twitter开始封杀13岁以下用户账号 响应欧盟GDPR
受欧盟新数据隐私法规《通用数据保护条例》(以下简称“GDPR”)正式生效的影响,Twitter已开始封杀那些13岁以下用户的账号。事实上,多年来Twitter的政策一直是要求注册用户年龄至少要达到13周岁。但是,GDPR于5月25日正式生效后,Twitter也开始更加严格地执行这项政策。
Twitter表示,由于无法分清哪些内容是用户在13岁之前或13岁之后发布的,因此决定暂停那些出生日期显示其年龄不到13岁的账号。例如,Twitter已经封杀了加拿大记者汤姆·云(Tom Yun)的Twitter账号,但汤姆·云的年龄显然已经超过13岁。
GDPR旨在赋予欧盟居民对个人数据有更多的控制权。如果一家公司不遵守这项条例,将面临最高相当于其全球年度营业额4%或2000万欧元(约合2340万美元)的罚款,以高者为准。
3、安全厂商Avast推出面向Edge浏览器的电商比价扩展
安全公司Avast刚刚推出了针对Microsoft Edge浏览器的扩展程序,但它与自家公司开发的防病毒软件没有任何关系。该扩展名称为SafePrice,其目的是让微软Windows 10浏览器的用户能够找到他们想要在线购买的产品的最佳价格,优惠券和特别优惠。
这一插件也可用于Google Chrome等其他浏览器,Avast SafePrice可以非常简单的方式工作,并在您在线购物时自动检查更优惠的交易。
“Avast SafePrice将自动检查每一个其他值得信赖的信誉良好的购物网站,并为您提供最好的网上优惠和免费优惠券的全面清单。然后,您只需点击您想要的交易,然后我们就会将您带到那里,并且您可以完成购买任务,“Avast在微软商店中发布的扩展说明中提到。
2018.6.4 周一
1、美票务巨头Ticketfly遭黑客勒索比特币 已停业24小时
本周四,美国票务巨头Ticketfly遭遇黑客攻击勒索,出现了严重的数据泄露,损害了其中一些客户的个人信息。截至目前,公司暂停营业的时间已经超过24小时,正在进行全面深入的调查。本周五,Ticketfly首次针对这一事件给出回应。看上去,情况并不是很乐观。
公司在其支持网站上表示:“现阶段,我们正在尽全力对这一网络安全事故进行调查。短时间内,公司网站和其他服务都将不会对公众开放。至于公司的业务运营什么时候能够回归正常,目前我们也无法给出一个准确的时间和答复。”
至于这一网络安全事故的开始,还得回到周三晚上。当时,有用户发现Ticketfly出现了一些可疑的操作和活动。黑客在网站上留言道:“Ticketfly已经被IsHaKdZ黑了,网站已经出现了安全问题。”
当然,遇到黑客攻击,最大的受害者还是用户。有时候,黑客虽然蓄意黑了网站,但却不会对基础设施作出实质性的破坏。但可惜的是,这次Ticketfly并没有这么幸运。
黑客通过邮件向外媒表示,自己一开始是发现了Ticketfly网站的漏洞,本想告诉他们。但Ticketfly员工与黑客的邮件往来显示,黑客希望用比特币作为交换漏洞的条件没有得到满足,由此才利用漏洞黑了网站。
据IsHaKdZ表示,他手中拥有完整的数据库,里面有从Ticketfly偷来的敏感信息。据外媒报道,黑客手中有着好几份包含几千位网站用户和员工个人信息的文件,包括他们的姓名、家庭住址、邮箱地址和电话号码。
而且,他还扬言要公开另一个数据库,但目前并未透露其中包含哪些文件。至于Ticketfly,虽然没有公开被盗的信息,但也坦言确实丢失了一些数据。到目前为止,公司的官方对外说法就是,某些用户的信息资料遭到了损害。
针对这件事,Ticketfly母公司Eventbrite的发言人是这样回应的:
“目前,我们可以确定的是Ticketfly.com确实成了黑客攻击的目标。谨慎起见,我们会暂时关闭Ticketfly.com的系统,同时继续进行事故调查。我们充分认识到这一决定的严重性,但用户数据的安全是我们现在的头等大事。接下来,我们将会不遗余力借助第三方专业人士的帮助,尽快让网站回归正轨。”
作为一家票务网站,Ticketfly目前的日常业务已经受到了严重影响,线上服务将全部转为线下服务。为了应付这样一种局面,目前它已经推荐一些活动承办方采用社交媒体来完成购票或检票服务。
2、5月全球浏览器市场份额:Chrome 再次出现下滑
NetMarketShare 公布了最新的浏览器市场份额数据,排名前三的分别是:Chrome、Internet Explorer 和Firefox 。Chrome 浏览器依然是全球最受欢迎的桌面浏览器,但从 4 月起已出现轻微下滑趋势。5 月份 Chrome 从 61.69% 降至 60.98% ,下降了 0.71 个百分点。
Firefox 在 5 月初发布了 Quantum 系列的最新版本 —— Firefox 60.0 ,在进一步提升性能的基础上更加注重用户隐私的保护,并新增了一些新的开发者功能,包括对 ES6 模块的支持,对 IndexedDB 的支持改进等。其市场份额再次迎来增长,从 10.17% 涨至 11.47 % 。
微软系的 Internet Explorer 和 Edge 均处于下降状态。
移动端方面,同样是 Chrome 一骑绝尘,以 62.65 % 的成绩遥遥领先。Safari 以 27.29% 排名第二,第三名是国产的 UC 浏览器,占比 2.76 %。
3、多家加密货币公司表示将根据GDPR进行调整
欧盟在2016年专门为了保护用户数据出台了明确的法律法规,即《通用数据保护条例》(简称GDPR)。虽然该条例是在两年前获批通过的,但是该法律也为相关公司提供了一个过渡期,实际生效时间为今年5月25日。据《卫报》报道,这条新生效的欧洲条例已经影响了多家服务和网站,像《纽约每日新闻》、《芝加哥论坛报》、《洛杉矶时报》、《奥兰多前哨报》以及《巴尔的摩太阳报》均已无法访问。
为了防止加密货币服务面临相同的命运,欧洲的加密货币平台已经根据GDPR规定推出了很多新的隐私政策,旨在避免最高可达2000万欧元的罚款或者全球年营收额4%的罚款。后者的金额会更高一些。
比特币存储提供商Xapo相当于是比特币的外汇交易所,它还提供将比特币转化为法定货币的借记卡服务。公司宣布调整过后的隐私政策符合新条例的要求,并指出保护私人数据是公司的头等大事。为此,隐私政策中新增了一些具体内容,包括用户可以利用个人数据做什么以及不能做什么、如何依靠GDPR条例行使自己的隐私权。
“对我们来说,保证透明以及用户信息安全非常重要,这也是我们一直致力于调整隐私政策的原因。最新的隐私政策将在2018年5月25日即刻生效。”Xapo在向所有客户发送的官方声明里这样说道。
云挖矿服务Genesis Mining也宣布调整了自己的隐私政策,从而确保遵守GDPR条例。公司还表示这些变化不会对用户使用其服务产生任何影响。
开发者、首次代币发行创企以及加密货币创企最常使用的博客平台Medium也表示基于新的欧洲法律进行了调整。不论用户来自何地,调整的内容都将适用于所有用户。“除了在新的隐私政策中明确表明我们会收集哪些信息并且如何利用以外,我们还为用户提供了新的资源。比如说,你现在可以从Medium的设置界面中下载自己的私人数据。”声明写道。
Polybius Foundation也宣布对其隐私政策进行了修改,但未具体表示有哪些变化。不过,根据Polybius平台向所有用户发送的声明,我们可以获悉公司针对“收集的用户私人数据类型、利用数据的方式、处理和存储私人数据相关的法律细节、安全政策、如何保护用户数据、和哪些第三方分享数据以及用户的私人数据权利”几个方面进行了调整。
2018.6.1 周五 六一快乐!
1、Git 爆任意代码执行漏洞,所有使用者都受影响
Git 由于在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击,多数代码托管服务皆已设置拒绝有问题的代码储存库,但建议使用者尽快更新,避免不必要的风险。
Microsoft Visual Studio 团队服务项目经理 Edward Thomson May 在 DevOps 博客中提到,Git 社区最近发现 Git 存在一个漏洞,允许黑客执行任意代码。 他敦促开发人员尽快更新客户端应用程序。 微软还采取了进一步措施,防止恶意代码库被推入微软的 VSTS(Visual Studio Team Services)。
此代码是 CVE 2018-11235 中的一个安全漏洞。 当用户在恶意代码库中操作时,他们可能会受到任意代码执行攻击。 远程代码存储库包含子模块定义和数据,它们作为文件夹捆绑在一起并提交给父代码存储库。 当这个代码仓库被来回复制时,Git 最初会将父仓库放到工作目录中,然后准备复制子模块。
但是,Git 稍后会发现它不需要复制子模块,因为子模块之前已经提交给父存储库,它也被写入工作目录,这个子模块已经存在于磁盘上。 因此,Git 可以跳过抓取文件的步骤,并直接在磁盘上的工作目录中使用子模块。
但是,并非所有文件都可以被复制。 当客户端复制代码库时,无法从服务器获取重要的配置。 这包括 .git 或配置文件的内容。 另外,在 Git 工作流中的特定位置执行的钩子(如Git)将在将文件写入工作目录时执行 Post-checkout 钩子。
不应该从远程服务器复制配置文件的一个重要原因就是,远程服务器可能提供由 Git 执行的恶意代码。
CVE 2018-11235 的漏洞正是犯了这个错误,所以 Git 有子模块来设置漏洞。 子模块存储库提交给父存储库,并且从未实际复制过。 子模块存储库中可能存在已配置的挂钩。 当用户再次出现时,恶意的父库会被精心设计。 将写入工作目录,然后 Git 读取子模块,将这些子模块写入工作目录,最后一步执行子模块存储库中的任何 Post-checkout 挂钩。
为了解决这个问题,Git 客户端现在将更仔细地检查子文件夹文件夹名称。 包含现在非法的名称,并且它们不能是符号链接,因此这些文件实际上必须存在于 .git 中,而不能位于工作目录中。
Edward ThomsonMay 提到,Git,VSTS 和大多数其他代码托管服务现在拒绝使用这些子模块配置的存储库来保护尚未更新的 Git 客户端。 Git 2.17.1 和 Windows 的 2.17.1 客户端软件版本已经发布,微软希望开发人员尽快更新。
来源:iThome
2、过半数公司过去一年中发生过云服务数据泄露事件
根据调研机构RedLock公司的调查研究,云安全仍然是许多公司面临的主要问题。因为在过去一年中有半数以上的组织的云存储服务发生数据泄露事件。
过去一年,许多采用亚马逊网络服务公司的AWS S3简单云存储服务的企业(其中包括道琼斯、威瑞森、联邦快递和特斯拉等公司)都遭遇了数据泄露的违规行为。但是在大多数情况下并不是AWS公司云平台的问题。例如联邦快递和特斯拉公司,这两家公司的AWS S3存储服务器没有设定密码进行保护,其关键数据暴露无遗。
如今,很多企业试图快速将业务迁移到云计算,却忽略了流程中的关键安全步骤,特别是身份管理和访问控制。
RedLock公司的调查报告发现,由于云安全故障,27%的组织在过去一年遇到了潜在的帐户安全问题。近四分之一的企业(24%)已经在公共云中丢失了高严重性漏洞补丁,这意味着对网络犯罪分子开放了门户。报告指出,包括MongoDB、Elasticsearch、英特尔、Drupal公司在内的全球主要公司在过去一年都受到了云计算漏洞的影响。
调查报告发现,网络犯罪分子通过采用云计算资源以窃取加密货币的做法也成为了一种主流。2018年第二季度约有25%的组织遭遇勒索事件,比上一季度的8%有所上升。
ReLink公司的首席技术官Gaurav Kumar在一份新闻稿中说,“我们对于大量的企业IT基础设施面临不堪重负的情况表示理解,很多企业的业务缺乏足够的安全性,并且有迹象表明很多企业正在采取措施以尽量减少漏洞,但肯定还有更多的事情要做。云计算为企业带来巨大的灵活性和规模经济,但是如果没有顶级安全性,其具有的优势和好处毫无意义。”
来源:中国IDC圈
3、T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息
T-Mobile客户:您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug,一位安全研究人员最近在T-Mobile的网站上公开可见的一个子域中发现了一个bug,这个bug让任何人都只用一个电话号码就可以访问客户数据。感觉T-Mobile想要赢一个最佳bug奖。
这一次,在promotool.t-mobile.com上的一个被隐藏得不够明显的API中,这显然是一个针对员工的“Customer Care Portal”,它允许任何人通过将客户的电话号码附加到这个URL的末端来访问T-Mobile客户数据- 不需要密码。
据ZDNet称,这样做会泄露客户的全名,账单账号,账户状态信息(例如过期账单或账户暂停)以及账户PIN(用于启动客户服务交互)。在某些情况下,税务识别号码会被暴露。
安全研究员Ryan Stevenson发现了这个bug,并在4月初向T-Mobile报告,为此他收到了1000美元的bug奖励。在Stevenson提醒他们的一天之后,这家运营商终止了该API。
“我们已经快速了修复了该错误,而且我们没有证据显示有任何客户信息都被访问过,”T-Mobile发言人告诉ZDNet。
这应该听起来很熟悉,因为去年秋天它曾出现过类似的bug。在这种情况下,尽管T-Mobile宣称它在24小时内进行了纠正,但黑客似乎还是有几周的时间可以利用这个漏洞。去年年底,该运营商解决了暴露用户登录记录的另一个网站bug。
如果您是T-Mobile的客户,并认为您的个人信息被盗,并被用于了设置新帐户或对当前帐户进行更改,您可以与运营商合作纠正这种情况。
来源:搜狐科技
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
