-
-
[分享][9.18] 15行CSS代码 就可以让你的手机软重启 | 9月安全资讯
-
发表于: 2018-8-21 09:37 20868
-
2018.9.18周二
1、15行CSS代码 就可以让你的手机软重启
一个搞安全研发的开发者设计了一段15行的代码,只要你使用Safari点击打开就会出现软重启,也就是 Springboard 崩溃, 这个代码主要是引起的是 Webkit的崩溃。 所有可以渲染HTML页面的iOS设备都会出现软重启的为。
并且在最新的iOS 12 GM上试过了也一样会出现。 如果对方给你发来一个包含这段代码的HTML邮件的话也会引起这个问题。
不信的话可以自行尝试一下, 并没有明确显示会损害你的设备。放心尝试。
来源:MacX
2、印度政府网站遭遇加密货币挖矿恶意软件攻击
据外媒报道,crypto-jacking已经蔓延到了印度。眼下,已有大量的印度政府网站感染了加密货币挖矿恶意软件,这些恶意软件的最终目的是利用被攻击者的电脑来为自己牟取经济收益。获悉,安得拉邦、蒂鲁伯蒂市政当局以及马切尔拉都遭到了该网络攻击。
这一恶意软件最初是由一群来自古瓦哈蒂的安全研究人员Shakil Ahmed、Anish Sarma和Indrajeet Bhuyan发现。他们发现,受影响的网站则是该国访问量最大网站的子域名。
印度政府也证实了这次袭击的真实性。截至昨日,这些网站仍在替犯罪分子挖矿。
至于究竟挖到了多少加密货币目前并未对外公布。根据报告,受影响的页面运行的是用于挖掘加密货币Monero(门罗币)的CoinHive脚本。
除了受影响的政府域名,另外还有119个印度网站被认定也遭到了这一网络攻击。
实际上,这种类型的加密攻击可以让实施方获得大量的利益。就在一个月前,德国亚琛工业大学的研究人员估算,在全球各地运行的CoinHive脚本估计每月能获得价值超25万美元的Monero。
来源:cnBeta.COM
3、Google承认Android 9省电模式启用BUG 已远程调整修复
运行Android 9 Pie的Pixel和其他设备用户近日反馈称,系统中的省电模式会自动启用。而令人奇怪的是启用省电模式时候手机的电量接近满电,并非出于低电量状态。此外援引外媒Android Police报道,该问题仅在最近几周被发现,应该是新版Android系统中存在的某个BUG。起初部分用户认为在没有意识到的情况下启用了省电模式。
对此Google官方承认确实存在该BUG。公司昨晚在Reddit社区上发帖称:“造成这个问题的原因是一项正在内部测试的省电功能被错误的推广给了更多的用户”。因此Google已经远程为受影响的用户进行调整。The Verge网站的部分编辑表示也出现了这个问题。随后Pixel团队在Reddit社区上写道:“我们现在已经将省电模式恢复到默认状态,用户请根据自己的喜好进行配置。”
来源:cnBeta.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
看雪阅读推荐:
4、[原创]逆向及修复最新iOS版少数派客户端的闪退 bug
2018.9.17周一
1、Google Chrome 70将继续在地址栏隐藏www
Google 在本月初释出的 Chrome 69 中引入了一项受争议的改动:隐藏网址中的 WWW 和 m。然而, www.example.com 和 example.com 是有区别的,它们很可能是不同的网站,Google 的做法会带来安全隐患,用户可能会更容易的被钓鱼网站欺骗。
在引发争议之后,Google Chromium 产品经历 Emily Schecter 表示他们听取了社区反馈,决定 Chrome 70 将作出一些改动:继续省略 WWW 但不省略 m。
这个调整和不调整几乎不存在差别。Schecter 声称他们计划启动相关的标准化讨论。
2、魔高一丈?Denuvo防篡改技术最新版本已被攻克
这一版本的D加密技术原本是被Voksi在今年早些时候给处理过。在7月份时,Voksi表示Denuvo已经向保加利亚当局起诉他,之后警察来到他家带走了服务器和他的个人电脑。Voksi也表示不再从事游戏破解,但其他组织自然会接替这一事业。
当然对于Denuvo来说,好消息是这些新破解并没有之前Voksi所做的那样面向公众推出。就目前情况而言,Denvuo现在还在保护着之前提到过的几款作品,但被攻克也只是时间问题了。
来源:3DMGame
3、俄罗斯僵尸网络大亨在美认罪 已逍遥法外七年之久
近日,一位俄罗斯黑客在美国法庭认罪,他承认自己运营了 Kelihos 几乎七年时间。这个 Kelihos 是世界上运营时间最长,同时也是最有害的僵尸网络之一。它不但会发送数不清的垃圾邮件,还能窃取登录凭证,并与银行木马、勒索软件和其他恶意软件一起危害无数计算机。
这位俄罗斯黑客名叫 Peter Levashov,现年 38 岁。美国司法部的一份声明显示,Levashov 已经当庭认罪,他的罪名包括欺诈、共谋、计算机犯罪和身份信息盗窃等。
其实 2010 年末 Kelihos 就大白于天下了,但直到七年后美国当局才最终干掉这个僵尸网络。2017 年 4 月 10 日美国当局的收网行动开始,而一天前他们刚刚抓住 Levashov,当时这位黑客正和自己的家人在西班牙逍遥呢。为了抓住 Levashov 并端掉这个僵尸网络,FBI 的调查行动持续了十年之久。今年 2 月份,西班牙拒绝了俄罗斯的引渡请求,将 Levashov 交给了美国当局。
Levashov 绝对是僵尸网络界的大牛,美国当局的调查显示,上世纪 90 年代末以来,他至少与两起大型僵尸网络案脱不了关系。2009 年时美国当局就对他发起指控,他们认为 Levashov 参与了 Kelihos 前身 Storm 的打造,同时他还与名为 Waledac 的垃圾邮件案脱不了干系。
Kelihos 通过垃圾邮件传播的“典型网站”
“过去 20 多年里,Peter Levashov 都在打造僵尸网络,这让他从受感染的电脑、垃圾邮件和各种恶意软件中‘收割’了海量的个人信息。”首席检察官助理 Benczkowski 本周在一份声明中说道。值得注意的是,Kelihos 感染了超过 10 万台设备,这些设备每天能发送数十亿封垃圾邮件。
美国当局还宣称,Levashov 就是“Severa”或“Peter Severa”网名背后的神秘男人,而这个名字经常出现在许多俄语的网络犯罪论坛中,而这些论坛通常都经营信用卡和身份信息倒卖业务。
事实上,Levashov 的财富带多来自出租自己的僵尸网络,而他的用户通常都是发垃圾邮件的或其他网络罪犯。从法庭记录来看,找他的僵尸网络帮忙发送一百万条垃圾信息只需 200-500 美元。
虽然 Levashov 已经当庭认罪,但判决明年 9 月才会最终宣布。彭博社援引 Levashov 辩护律师消息称,如此漫长的审判并非因为他的客户愿意与当局合作以争取宽大处理。据悉,检察官们可能会让 Levashov 坐 52 年牢。
来源:雷锋网
看雪阅读推荐:
3、某内核注入型外挂样本原理分析。震惊!火绒惨遭利用,蓝洞或成最大输家
2018.9.14 周五
1、Mozilla创始人投诉谷歌:违反GDPR法规 泄露用户数据
Mozilla联合创始人布兰登·艾奇(Brendan Eich)创立的浏览器公司Brave今日在英国和爱尔兰对谷歌和其他广告公司进行了投诉,称这些公司泄露用户数据的行为违反了欧盟新生效的数据隐私法规《通用数据保护条例》(以下简称“GDPR”)。
GDPR于今年5月正式生效。该法规旨在赋予欧盟居民对个人数据有更多的控制权。如果一家公司不遵守这项条例,将面临最高相当于其全球年度营业额4%或2000万欧元(约合2340万美元)的罚款,
Brave和其他一些原告称,谷歌和其他一些广告公司存在大规模、系统性的数据泄露行为。虽然GDPR在正式实施前,已经赋予企业两年的准备时间,但包括谷歌在内的广告科技公司至今仍未遵守该规定。
原告称,当用户访问网站时,谷歌和其他一些广告公司出于拍卖和投放广告的目的,将用户个人数据和访问记录发送到几十家、乃至上百家公司,而且是在用户不知情的情况下。毫无疑问,这违反了GDPR的规定。
对此,谷歌称,已与欧洲监管机构协商,实施了强有力的隐私保护措施,并已承诺遵守GDPR。
2、微软将防病毒软件添加到Office应用程序以解决宏恶意软件问题
微软已将所有Office应用程序与防病毒软件集成,以防止出现宏恶意软件攻击。该公司正在使用反恶意软件扫描接口(AMSI)来处理嵌入在文档中的VBA宏。最近,我们报道了黑客如何使用微软Excel文档来执行CHAINSHOT恶意软件攻击。这些类型的攻击越来越普遍,黑客可以轻松访问受害者的计算机。
各种防病毒公司已经添加了新的AMSI接口,以防止通过恶意JavaScript,VBScript和PowerShell进行攻击。当调用潜在的高风险函数或方法时,Office会暂停宏的执行,并通过AMSI接口请求扫描到那时记录的宏行为。
微软未来指出,解决方案可能并不完美,但好过什么话也没有。也就是说,由于微软正在使用ATP和Windows Defender,因此可以共享结果并阻止新的威胁。默认情况下,在支持VBA宏的所有Office 365应用程序中启用Office AMSI集成,包括Word,Excel,PowerPoint和Outlook。微软将扫描所有宏,除非它们由受信任方签名或者在受信任位置打开。
3、Equifax 在黑客入侵前担心中国间谍
2018.9.13周四
1、仅有22行的JavaScript让38万英国航空客户成为受害者
根据RiskIQ的报告,英国航空公司遭遇的数据泄露事件暴露了大约38万客户的支付卡详细信息,这似乎是Magecart网络犯罪集团的杰作。在对黑客事件进行内部调查后,英国航空公司披露他们的移动应用程序及其网站受到影响,所有付款在8月21日至9月5日期间的付款客户受到影响。
英国航空公司报告提到他们的其他服务,服务器或数据库都没有受到影响,这导致安全研究团队得出结论,支付服务是数据泄露的唯一罪魁祸首,这是Magecart熟知的专业领域。众所周知,这些骗子使用基于网络的卡片撇取器作为窃取信用卡支付数据的手段,这是经典的卡片撇取器的在线版本。
在深入研究英国航空公司网站内网络犯罪分子注入的代码之后,RiskIQ研究人员发现仅有22行JavaScript代码是英国航空公司受该黑客攻击,导致38万名客户数据被盗的罪魁祸首。英国航空公司移动应用程序也受到改变的Modernizr JavaScript库的影响,因为它调用了网站使用的相同脚本资源,以允许客户进行付款。
研究人员表示,这次攻击再次向我们展示了黑客的高水平的规划和对细节的关注,这次攻击简单有效。研究人员还发现,所有被盗数据都被发送到位于罗马尼亚的服务器上的baways.com域,其IP地址为89.47.162.248,由立陶宛VPS(虚拟专用服务器)提供商Time4VPS提供。
此外,为了使baways.com域更可信,骗子使用了由COMODO CA发行的付费SSL证书,而不是购买免费的LetsEncrypt版本。 最近英国航空公司的数据泄露事件表明,Magecart威胁行动者仍然是一个非常活跃的犯罪集团,据称他们已经在2015年开始活动并成功攻击了Ticketmaster和Inbenta等目标。
来源:cnBeta.COM
2、印度生物识别数据库 Aadhaar 的软件被破解
3、韩国议员递交法案要求谷歌、FB、Netflix必须在韩安装服务器
一群韩国立法者希望加强该国对跨国互联网公司的监管,以回应外界的不满。很多相关企业都抱怨这些海外互联网公司并没有受到与韩国本土互联网企业相同的法律监管。由韩国民主党议员Byun Jae-il领导的这10名议员最近提交了4份议案,希望“创造公平的竞争环境”,解决韩国信息和通信科技(ICT)领域存在的“反向歧视”问题。
其中一项议案是对一部现行法律的修订,要求谷歌、Facebook和Netflix等国外互联网公司必须将物理服务器安装在韩国才能在当地运营。
倘若获得通过,这项新规就会强制外国互联网公司为韩国用户提供更加稳定的服务,而且会与韩国ICT公司平等竞争。违规企业将会面临处罚。
这项议案是为了回应去年发生的一起事故,当时有韩国用户因为Facebook与韩国本土电信公司存在分歧而无法使用这项服务——双方当时正在就网络维护和运营费用的分配问题展开谈判。
今年3月,韩国通讯委员会(KCC)对Facebook韩国公司处以3.96亿韩元(36.7万美元)的罚款,原因是他们在谈判网络费用的过程中故意放慢与本地互联网服务提供商连接速度的做法违反当地法律。
此事引发了韩国社会的批评,他们指责跨国互联网公司从该国获取了大量的用户流量和高额利润,但却因为服务器位于海外而不必受到与本土企业相同的监管。包括门户巨头Naver在内的韩国ICT企业认为,这种做法对他们不公平。
除了要求把服务器安装在韩国本土外,这10位立法者还建议对第二部法律进行修订,对YouTube和Netflix等OTT媒体服务平台进行定义和监管。
韩国目前没有对OTT服务出台法律定义和监管措施,因此该行业基本游离于监管之外。这种情况也引发当地付费广播服务提供商的不满。
这项新的议案对OTT服务进行定义,并且在这些服务影响韩国市场或用户时对其行为主张司法管辖权——即使这些行为是在海外实施的也不例外。
除此之外,立法者还建议通过第三项修正案强制OTT服务提供商将其收入的一部分投入到韩国广播发展基金中,广播服务公司之前就采取了这一做法。
第四项议案则希望强制OTT服务提供商每年向KCC的广播市场竞争评估委员会汇报经营情况,后者专门负责收集信息和评估韩国广播市场的现状。
2018.9.12周三
1、特斯拉门锁存在安全漏洞 黑客盗取汽车只需数秒钟
2、趋势科技声称它的数据收集是一次性的 是出于安全目的
安全公司趋势科技旗下的软件 Dr Cleaner、Dr Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery 和 Duplicate Finder 被发现会收集用户的浏览历史并上传到其服务器上,苹果已经从其应用商店下架了相关应用。该公司发表声明称它的数据收集是一次性的,只限于安装前的 24 小时。
它称数据收集是出于安全目的,分析用户是否最近遭遇过广告软件或其它威胁,以改进其产品和服务。
同时趋势科技还表示最终用户许可协议内包含了这些数据收集条款。
当然我们都知道作为用户我们是不会去看 EULA。可能是面临的压力太大,趋势随后又宣布移除所有数据收集功能,删除所有保存的用户浏览历史记录。
来源:solidot.org
3、Zerodium 公开 Tor Browser 0day 漏洞
2018.9.11周二
1、只需一根USB充电线就能在你的PC上植入恶意程序
macOS应用被指偷窃和上传浏览记录大牌开发商也不例
一个来自著名的软件开发商趋势科技的Mac App Store应用程序Dr. Unarchiver说服用户访问他们的主目录,并带有一些回报,例如免费提供病毒扫描或清理缓存,实际上是为了收集用户数据 – 尤其是浏览历史记录 – 并将其上传到其分析服务器。用户在Malwarebytes论坛和另一份报告中报告了此问题。其他研究人员随后发现,Mac App Store上“趋势科技”发布的应用程序收集并将用户的Safari、Chrome和Firefox浏览器历史记录上传到他们的服务器。该应用程序还将收集有关系统上安装的其他应用程序的信息,所有这些信息都是在启动应用程序时收集的,然后创建一个zip文件并将其上传到开发人员的服务器。
参考来源:https://www.cnbeta.com/articles/tech/766057.htm
来源:安全帮
2、趋势的 Dr. Unarchiver 被发现会上传用户的浏览记录
安全公司趋势科技开发的 Dr. Unarchiver 应用被发现会将用户的浏览历史上传到其服务器上。该应用已被 Mac App Store 下架。在这之前,另一款 Mac App Adware Doctor 被发现存在类似行为,会将用户的浏览历史上传到中国一家公司的服务器。Dr. Unarchiver 会在解压缩时询问是否快速扫描垃圾文件(Quick Clean Junk Files),用户选择扫描目录之后它被发现会在扫描时将 Safari、Chrome、Firefox 的浏览历史打包成一个压缩文件,上传到趋势的服务器。这一行为显然存在严重的隐私问题。目前尚未看到趋势对此的回应。
来源:solidot.org
3、密码管理公司Dashlane揭秘密码中常用的足球队名
密码管理公司Dashlane的分析显示,随着足球赛季的开始,球队名称经常被用作密码。研究人员使用由弗吉尼亚理工大学计算机科学系助理教授王刚提供的匿名数据库,它专注于国家橄榄球联盟和英超联赛的球队名称。
费城老鹰队,今年超级碗的获胜者,在NFL中名列前茅,而达拉斯牛仔队则排在第二位。在英超联赛球队中,密码中提到的最多的是利物浦,紧随其后的是伦敦队的切尔西队和阿森纳队。
Dashlane首席执行官Emmanuel Schalit表示,“设定密码可能是一种非常个人化和情感化的选择,数据清楚地表明消费者喜欢将他们支持的团队作为密码的一部分。” 作为狂热的足球迷,安全专家可能理解账户密码采用最喜欢的球队名称的冲动,但这是一个主要的安全风险。除了使用名字,学校和其他个人身份信息外,还应该避免使用最喜欢的球队作为密码或者密码的一部分。
下面的图表显示两个联赛中最常用被用作密码的球队名称:
来源:cnBeta.COM
看雪阅读推荐:
1、[原创] 打造Wi-Fi “DOS”攻击工具——Wi-Fi_deauther
2、[原创]8月29号网鼎杯pwn1-impossible简单调试过程
4、[分享]【看雪安全开发者峰会2018】议题:自动逆向机器人
2018.9.10周一
1、安全研究员发现39万个网站因公开的.git repo处于危险中
开发人员和网站管理员应当考虑的一件事是。一个production .git储存库可能包含了敏感数据例如私人API密匙和数据库密码。
Smitka在报告中指出:“这些数据不应该被储存在储存库中,但在之前对各种安全问题的扫描中我发现许多开发人员没有遵循这些最佳做法。”
此外,像.git/index这样的repo文件可以用来收集关于应用程序内部结构的信息,首先想到的是端点和内部应用程序结构。
实际上一开始,Smitka扫描的规模要比现在小得多,他只扫描了捷克和斯洛伐克的网站。然而在发现1925个捷克网站和931个斯洛伐克网站在网上公开git站点之后,他觉得问题比他之前要想象得要严重得多。于是他在收集了2.3亿个域名后用相同的脚本对它们进行了扫描以找到与捷克和斯洛伐克网站链接的错误配置的服务器。
四周后,Smitka发现了惊人的39万个存在暴露问题的网站。为此,他联系了这些网站背后的开发人员让他们知道这一发现并提供了缓解问题的建议。“在发送了邮件之后,我与受影响方交换了大约300条信息以澄清这一问题。我收到了2000封感谢信、30封误报、2封欺诈/垃圾邮件指控、1封威胁要向加拿大警方报警的信件。”
开发人员和网站管理员应当考虑的一件事是。一个production .git储存库可能包含了敏感数据例如私人API密匙和数据库密码。
Smitka在报告中指出:“这些数据不应该被储存在储存库中,但在之前对各种安全问题的扫描中我发现许多开发人员没有遵循这些最佳做法。”
此外,像.git/index这样的repo文件可以用来收集关于应用程序内部结构的信息,首先想到的是端点和内部应用程序结构。
实际上一开始,Smitka扫描的规模要比现在小得多,他只扫描了捷克和斯洛伐克的网站。然而在发现1925个捷克网站和931个斯洛伐克网站在网上公开git站点之后,他觉得问题比他之前要想象得要严重得多。于是他在收集了2.3亿个域名后用相同的脚本对它们进行了扫描以找到与捷克和斯洛伐克网站链接的错误配置的服务器。
四周后,Smitka发现了惊人的39万个存在暴露问题的网站。为此,他联系了这些网站背后的开发人员让他们知道这一发现并提供了缓解问题的建议。“在发送了邮件之后,我与受影响方交换了大约300条信息以澄清这一问题。我收到了2000封感谢信、30封误报、2封欺诈/垃圾邮件指控、1封威胁要向加拿大警方报警的信件。”
2、研究发现:不靠Cookie 网站也能通过 TLS 协议追踪你
你以为禁用浏览器 Cookie 就能避免被网站追踪吗?倡导将 Cookie 追踪选择权还给用户的说法,可能只是烟雾弹,实际上仍能使用最新 TLS 1.3 传输层安全协议追踪用户。目前网站追踪用户的手段,比较流行的仍然是 Cookie 或通过网页浏览器特征进行辨识,而较少受到关注的技术是基于传输层安全协议(Transport Layer Security,TLS)的用户跟踪。
特别是使用 TLS 对话恢复(TLS Session Resumption)机制,而汉堡大学研究员率先对 TLS 对话恢复机制的适用性进行了研究。
由于隐私浏览器技术的日渐成熟,网站越来越无法通过 Cookie 和网页浏览器特征来追踪用户,但道高一尺魔高一丈,现在这些网站会用 TLS 1.3 中的 TLS 对话恢复机制追踪用户。
包括 Facebook 以及 Google 在内的等公司,过去都会使用 HTTP Cookie 以及网页浏览器特征追踪用户,但随着用户越来越注意保护自己的隐私,更多的人开始使用强化隐私的浏览器,以隐私模式或是扩展来限制网页追踪,这使得上述两项技术几乎失灵。另外,通过 IP 位置追踪用户也受到限制,因为用户有可能以 NAT 共享公共 IP 地址,而且网站也无法跨过不同的网络追踪装置。
网站开始把追踪主意打到最新的TLS 1.3协定上,追踪技术开始转向使用TLS对话恢复机制.TLS对话恢复机制允许网站利用早前的TLS对话中交换的密钥,来缩减TLS握手程序,而这也开启了让网站可以链结两个对话的可能性。由于重新启动浏览器会顺便清空快取,所以这个方法仅在浏览器未重新启动的情况下,网站才能透过TLS对话恢复进行连续用户追踪。但是这个使用习惯在行动装置完全不同,行动装置使用者鲜少重新开启浏览器。
网站于是开始把目光瞄向了最新的 TLS 1.3 协议上,它们的追踪技术开始转向使用 TLS 对话恢复机制。TLS 对话恢复机制允许网站利用早前的 TLS 对话中交换的密钥,来缩减 TLS 握手程序,而这也开启了让网站可以链接两个对话的可能性。由于重启浏览器会顺便清空缓存,所以这个方法仅在浏览器未重启的情况下,网站才能通过 TLS 对话恢复进行连续的用户追踪。但是这个使用习惯在移动设备上完全不同,移动设备用户很少重启浏览器。
汉堡大学研究员系统性地研究了 48 种热门浏览器以及 Alexa 前百万热门网站的配置,以评估这些追踪机制的实际配置以及用户追踪可持续时间。研究人员使用了延长攻击(Prolongation Attack),延长追踪周期至超过 TLS 对话恢复的生命周期,接着根据额外的 DNS 数据,分析延长攻击对于追踪时间的影响,以及可永久追踪的用户比例,最终导出用户的浏览行为。
研究显示,即便标准浏览器将 TLS 对话恢复生命周期设置为仅维持一天,用户仍可以被追踪长达8天之久,TLS 1.3 草稿版本建议 TLS 对话恢复生命周期为7天上限,研究人员通过 Alexa 资料集中的至少一个网站,便可永久追踪实验中的 65% 用户。
研究人员也观察到,Alexa 前百万热门网站中,有超过 80% 的 TLS 对话恢复生命周期都在 10 分钟以下,但是大约 10% 的网站使用大于24小时的周期设定,特别是广告商 —— Google 的 TLS 对话生命周期达28小时,而 Facebook 对话恢复生命周期的设定更是高达48小时,在 Alexa 前百万热门网站中位于 99.99 百分位数之上。
汉堡大学研究员指出,要防止网站通过 TLS 对话恢复追踪用户,需要修改 TLS 标准和常见浏览器的配置,而目前最有效的方式就是完全禁用 TLS 对话恢复功能。
来源:开源中国
3、IBM副总裁表示:距离量子计算面市仅剩3年
量子计算是当之无愧的次世代计算技术,凭借着量子的不确定性,量子计算有着超越现代计算机数十倍的计算能力,它也是无数公司学者渴求的科研明珠。尽管第一台商用量子计算机已经于2011年发布,但是严格来说这还算不上真正意义的通用量子计算机,只是能用一些量子力学方法解决特殊问题的机器。那么量子计算技术离我们究竟还有多远呢?
近日,据外媒报道,IBM人工智能和量子计算副总裁Dario Gil和前IBM研究员Chad Rigetti给出了一个时限,距离量子计算来到我们的世界,还有3年时间。
“(量子计算)产生的解决方案比你能做到的更好,更快或更便宜,”Rigetti说:“量子计算已经从研究领域转移到现在的工程学科和工程企业。”
考虑到IBM已经研究量子计算领域超过30年,也已经投入数十亿美元的研发资金,他们对于量子计算的判断还是有一定参考价值的。
实际上,我国在量子计算领域也走在世界前列,目前国内正在建设一个价值100亿美元的安徽省国家量子信息实验室,该实验室与上海接壤,计划于2020年开放。
来源:快科技
看雪阅读推荐:
2、[原创]一个拼凑起来的CVE-2018-8373的EXP
3、[原创]Xposed________监听微信登录帐号和密码
4、[原创]对照Java源码学习smali语法,根据smali代码反推java代码
2018.9.7周五
1、MEGA官方Chrome扩展被加入窃取密码和数字货币私钥的恶意代码
2、技术讨论 | 如何利用Microsoft Edge漏洞获取本地文件?
在2015年,微软发布了Edge浏览器。当它最初被开发时,它被命名为Project Spartan。
与Internet Explorer不同,Edge支持更为广泛的现代安全措施,如内容安全策略(CSP),以及现代JavaScript和CSS特性。放弃InternetExplorer,转而开发诸如Edge之类的现代浏览器,这带来了浏览器安全性的增强,但也带来了一些潜在的问题。
在类似的新项目开发中,有一件事经常被忽视,那就是从多年来对原有产品的安全修复中吸取经验。有相关工作经验的人应该都会知道,在开发新浏览器的过程中,你的团队最初可能会经历更多的错误。
原因在于,随着新型攻击技术的出现,浏览器的安全性也是一个需要被不断重新开发的过程,因为浏览器被黑客和安全专业人士视为潜在攻击面最为丰富的来源之一。在过去的几年里,一些能够导致浏览器中用户数据遭泄露的安全漏洞已经被修复,开发人员完全可以从中吸取经验,但事实证明,这些经验并没有在新浏览器的开发过程中被运用。
这或许正好可以解释为什么Microsoft Edge是我发现的唯一一个易受此漏洞影响的浏览器。
当然,这里需要提一下,此漏洞目前已经被微软修复。
哪些版本受漏洞影响?
我已经在Microsoft Edge 40.15063.0.0上测试了这个漏洞,并取得了成功。
如何窃取本地文件?
首先,我们需要了解,是什么导致我无法窃取到你的本地文件?
我很肯定的告诉你,这是由于浏览器采用了同源策略(SOP)。举个例子来说明一下,同源策略(SOP)会阻止https://attacker.com读取file://C:/your/stuff.txt中的内容,这是因为它们不同源。如果要使用javascript请求读取数据,那么对应的协议、主机名(hostname)和端口都需要匹配。但文件URL有点特殊,file:// protocol和https:// protocol是明显不同的,这也就是为什么攻击者的域名不能读取你的本地文件的原因。
那么,如果我们处理的两个file URL既没有主机名也没有端口(即只有文件协议和路径),结果会是怎样的呢?答案很肯定,两个file URL将被默认来自相同源,因为:
1)端口匹配:因为没有端口;
2)主机名匹配:因为没有主机名;
3)协议匹配:都是file://;
换句话来说,如果浏览器开发人员没有考虑到file://url这种特殊格式,那么在浏览器中打开保存在你的计算机上的恶意HTML文件,我就可以读取任意本地文件中的内容。
当然,你可能会产生质疑:这并不是一个令人信服的攻击向量。因为如果从未下载过任何HTML文件,这种攻击就不会成立。此外,Windows也会阻止此类文件,因为它来自另一台计算机。的确如此,在我测试攻击时就发生过这样的情况。别着急,我们接着往下看。
这是一个真实的威胁吗?还是仅存在于理论上?
你不可否认,攻击者能够以各种方式说服潜在的受害者下载HTML文件并执行它?
由于这些攻击向量的存在,因此这绝不会仅是一个理论上的威胁。如果你不能通过浏览器传播恶意HTML文件,那么为什么不直接通过电子邮件发送给受害者呢?在过去的几年里,我们就已经开始认识到,打开诸如.exe文件、.js文件,甚至是Word文档之类的未知附件都可能使自己置于危险之中,而HTML文件同样也不例外。
我在另一台计算机上伪造了一封电子邮件,将HTML文件添加为附件,然后在“Mail and Calendar”应用中打开附件。我原以为这款应用会像Edge浏览器一样屏蔽附件,但事实并非如此。我将包含恶意附件的电子邮件发送给了测试用户,当该用户打开附件后,许多本地文件被发送到了我的服务器上,而我完全可以在我的服务器上对这些文件进行转储和读取。可能是由于没有杀毒软件将该附件识别为恶意文件,因此我还可以通过HTTPS连接来提取文件,在这种情况下实施的攻击绝对是足够隐秘的。这里顺带提一下,我所使用的“Mail and Calendar”版本为17.8600.40445.0。
需要注意的是,还有很多方式可以用来传播恶意文件,具体取决于目标计算机已安装的应用。
如何保护自己的文件?
保护自己的唯一方法是将Edge浏览器和“Mail and Calendar”应用更新至最新版本。另外,最好永远不要打开任何来自未知发件人的附件,即使扩展名看起来并非恶意的。
PoC代码
<html> <head> <script> let resultDiv = document.getElementById("result"); let xhr= newXMLHttpRequest(); let user =document.location.href.match(/file:\/\/\/C:\/Users\/([a-z0-9\-]*)\//i)[1]; xhr.open("GET",'file://C:/Users/${user}/Desktop/secret.txt"); xhr.onreadystatechange= ()=> { if(xhr.readyState==4) { resultDiv.innerText = xhr.responseText; } } xhr.send(); </script> </head> <body> </body> <div id="result"></div> </html>
3、腾讯:《王者荣耀》将接入公安系统判定是否为未成年人
9月6日消息,腾讯宣布对《王者荣耀》健康系统再次升级。从届时起,新用户在首次进入游戏时,会启动更严格的实名策略,接入公安权威数据平台进行校验。该项校验能够精准判断相关帐号的实名信息是否为未成年人,进而决定是否将此帐号纳入到健康系统的防沉迷体系中。
本次升级由于涉及游戏客户端的版本更新,根据iOS版本的审核结果,预计将于9月15日前后正式启动,并于9月之内完成新的实名策略对于《王者荣耀》全部新用户的校验。
此前,公安权威数据平台主要应用于金融、信用、政务等对征信安全要求极高、身份识别最为严格的行业,在其他业务领域尚未普及。
按照腾讯规定,12周岁以下(含12周岁)未成年人每天在《王者荣耀》中限玩1小时(同时每日21:00-次日8:00之间禁玩),12周岁以上未成年人每天限玩2小时,超过时间后将被强制下线,当天不能再玩。
2019.9.6周四
不少普通用户为了记忆方便,习惯在多个平台上使用相同的密码,一旦某个网站的数据泄露极有可能被黑客通过社会工程学破解其他网站数据。因此Chrome的密码管理器是值得欢迎的改变,方便用户使用一个账号来管理多个不同密码的网页账户。
Chrome仅仅在浏览器上管理密码,所以当用户在移动端APP或者电视上访问Netflix等应用程序,谷歌账号并不会存储这些账号密码。
2、Google 想要杀死 URL
3、TIOBE 9月排行榜:C++式微 第3名被Python拿下
自 20 世纪 90 年代初首次录入 TIOBE,Python 花了 10 年才首次进入指数前 10 名,随着它的不断应用与发展,Python 逐渐在网络安全与数据科学等领域大放异彩,近年来随着人工智能与数据分析等领域的大热,Python 也得到了前所未有的高度关注,目前在全球范围内它已经是大学的首选编程语言,同时也征服了工业界。越来越多人使用 Python,反映在 TIOBE 指数上就是它稳扎稳打地一步步向上爬,从前 10 到前 5,如今终于进入了前 3。
不过刚刚被挤下去的 C++ 咬得很紧,下个月的榜单第 3 名的宝座上坐着谁还不好说。
榜单前 10 中需要注意的是,SQL 自 2018 年 2 月起被重新添加到了 TIOBE 排行榜中,由于没有以往的数据可以对比,所以会给人 SQL 语言指数突然暴涨的错觉。
本月榜单中值得关注的还有 Objective-C 从上个月的 14 位上升到本月的第 10 名;Rust 从 36 位跳到 31;还有上个月发布 1.0 版本的 Julia 也借势从 50 位一跃排到了 39。
第 51-100 名如下,由于它们之间的数值差异较小,仅以文本形式列出(按字母排序):
4th Dimension/4D, ABC, ActionScript, bc, Bourne shell, C shell, CFML, CL (OS/400), CoffeeScript, Common Lisp, Crystal, cT, Elixir, Elm, Emacs Lisp, Erlang, Forth, Hack, Icon, Inform, Io, J, Korn shell, LiveCode, Maple, Mercury, ML, Modula-2, Monkey, MQL4, MS-DOS batch, MUMPS, NATURAL, OCaml, OpenCL, OpenEdge ABL, Oz, PL/I, PowerShell, Q, Racket, Ring, RPG, S, Snap!, SPARK, SPSS, Tex, TypeScript, VHDL
Top 10编程语言TIOBE指数走势(2002-2018)
历史排名(1988-2018/每5年)
以下排名位次取决于 12 个月的平均值:
编程语言名人堂
历届“年度编程语言”获奖名单如下图所示,该奖项授予一年中评分最高的编程语言:
TIOBE 编程社区指数(The TIOBE Programming Community index)是编程语言流行度的指标,该榜单每月更新一次,指数基于全球技术工程师、课程和第三方供应商的数量。包括流行的搜索引擎,如谷歌、必应、雅虎、维基百科、亚马逊、YouTube 和百度都用于指数计算。具体的计算方式见这里:https://www.tiobe.com/tiobe-index/programming-languages-definition/。
值得注意的是,TIOBE 指数并不代表语言的好坏,开发者可以使用该榜单检查自身的编程技能是否需要更新,或者在开始构建新软件时对某一语言做出选择。
详细榜单信息可以查看TIOBE 官网。
2018.9.5周三
1、Atlas Quantum平台用户信息遭窃,快去查一查账户信息有无泄露
前言
加密货币平台Atlas Quantum遭遇安全漏洞,超过26万条用户信息被黑客窃取,数据包含客户姓名、电话号码、电子邮件地址以及帐户余额。
事件概述
Atlas Quantum提供一个自动化的套利系统,允许用户使用多个平台的账户交易加密货币,通过动态捕捉加密货币的价格和汇率波动来获取利润,平台管理着超过3000万美元的资产。
该公司表示在上周日晚上发现平台的数据库被黑客获取,但用户的资金仍是安全的,用户持有的加密货币没有被偷偷转移,账户的数据也没有被修改,只是客户群被暴露出来。
在事件发生后的第一时间内,该公司加强了数据库的保密措施,明确用户的密码和私钥仍保持加密状态。同时公司立即启动了相关调查,暂时禁用了一些功能。
补救措施
知名网络安全专家Troy Hunt宣布已经将相关数据添加到Have I Been Pwned项目,加密货币平台Atlas Quantum的用户可以通过Have I Been Pwned服务检查帐户和密码是否已经泄露。
网络安全专家认为,黑客仍有空间利用泄露的信息进行欺诈。虽然Atlas Quantum用户没有因此事而丢失资产,但仍不可掉以轻心,因为这个这次泄露的数据可能更大范围网络攻击的第一步。
写在最后的话
随着加密货币市场的繁荣,针对金融机构的网络攻击活动越来越多,而这些金融机构往往缺乏必要的安全措施。对于存储大量用户数据的Atlas Quantum等公司而言,安全性是平台的生命线密。能否快速确定本次数据泄露的原因并消除附带风险,避免对用户造成进一步损害是首先要做的事。
我们已经看到很多平台因用户数据泄露而直接凉了,而持有用户多个账户数据的Atlas Quantum平台会走到哪一步,小编也会时刻关注并及时分享信息。
*参考来源:SecurityAffairs,Freddy编译整理,转载请注明来自 FreeBuf.COM。
2、声波追踪破解法公布:对手机锁屏密码提出新考验
虽然生物解锁的方式越发丰富了,但无论指纹、刷脸还是虹膜等,都还需要同步设置一个4~6位的PIN码。安全机构发现,破解PIN码有了更省时省力的方法。来自瑞典和英国的安全专家展示了SonarSnoop,顾名思义,就是用声波来记录用户手指在屏幕的操作历史。
这项技术除了要黑掉麦克风,还要借助扬声器从手机中发出人耳听不到的、18kHz和20kHz频率的声波。
当然,“黑掉”的前提是手机中由被感染的恶意程序。
经过在基于Android 5.0.1系统的三星Galaxy S4上实验,配合机器学习算法,可以较为快速第排除掉70%的无效PIN码,极大降低试错成本。
看起来,只要算法不断丰富、收集样本量足够,排除率可能会突破90%。
据悉,这是首个公开的调用扬声器、麦克风来破解收集解锁的安全攻击方式,此前有过利用陀螺仪、摄像头、加速计的探索。
来源:快科技
3、7500 台 MikroTik 路由器被植入挖矿代码和流量转发
2018.9.4周二
1、十年前,有人黑进了耶鲁大学的服务器
十年之前,我不认识你,你不属于我…不好意思走错片场了!十年前,有人成功入侵了耶鲁大学的服务器,但是由于这件事情发生在十年之前,因此我们无法得知关于此次事件的详细信息以及发生的前后经过。
在十年之后的今天,耶鲁大学发布了一份安全公告,并在公告中表示,十年前发生的这一黑客入侵事件导致学校泄露了大约12万名用户的个人信息。
这名攻击者在2008年4月份至2009年1月份之间,成功入侵了耶鲁大学的一台服务器,而这台服务器只托管了一个数据库。耶鲁大学在官方发布的安全公告中表示:“在今年的7月底,我们已经通过电子邮件将此次事件告知了耶鲁社区的相关用户(即受此次攻击事件影响的用户),其中包括校友、教师和工作人员等等。”
据了解,被入侵的数据库中包含了跟耶鲁大学有关的用户个人数据,而且在2018年6月份所进行的安全审计中,研究人员并没有发现2008-2009年那次未经授权的访问行为。
入侵了数据库之后,攻击者访问了耶鲁大学用户的姓名、社保号码、出生日期和耶鲁校内邮箱地址,除此之外,攻击者还访问了部分用户的家庭住址信息。
不幸的是,我们现在不仅无法得知攻击者是如何入侵这台服务器的,而且也没有办法调查清楚攻击者的真实身份以及攻击意图。
但好消息就是,耶鲁大学表示此次攻击事件并没有泄露关于学校和用户个人的财务数据,目前校方已经向耶鲁社区中97%的受影响用户发送了通知信。
值得一提的是,在2016年3月份至2018年6月份,耶鲁大学的同一台服务器又受到了一次网络攻击,而此次事件校方已通过邮件告知了新罕布什尔州的总检察长。这一次入侵导致了33名用户的姓名和社保号码被曝光,但奇怪的是,这些用户中没有一个人是住在新罕布什尔州的。
耶鲁大学目前正在和Kroll安全公司合作,以监控受影响用户的数据安全情况,但就目前收集到的数据来看,泄漏的数据并没有被攻击者滥用。
*参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
2、美情报机构希望科技企业透露加密信息 称隐私并非绝对
2016 年的“圣贝纳迪诺枪击案犯 iPhone 解锁事件”,引发了各界对于加密和隐私的激烈辩论。尽管事件以苹果坚持不退让告终,但有关部门并没有放弃破局的想法。近日,美国及其情报联盟向全球科技公司发出“最后通牒”—— 让我们访问加密数据和设备,不然我们会采取强制手段。
在上周于澳大利亚举行的会议上,来自美、英、加拿澳大利亚、新西兰的 “五眼情报联盟”,探讨了有关网络安全、国家安全和日益增长的恐怖主义威胁的新形势。
五国部长级会议(FCM)发表了多项联合声明,其中就包括了一份“关于获取证据和加密的原则”声明、并传达了一个强烈的信息 ——“隐私并不是绝对的”。
信息、通信技术、服务提供商 —— 即运营商、设备制造商、顶级服务提供商 —— 将受到法律的约束,其中包括协助当局合法访问数据的要求、包括通信内容。
一方面,目前加密技术的使用和复杂程度越来越高,有关部门需要进一步的协助。
鉴于该声明的被重视程度,今后苹果、三星等硬件制造商,以及谷歌、WhatsApp 等服务提供商,都可能“被迫协助”访问其平台上的通信。
加密之战并不是新鲜事,政府和情报机构表示,他们需要访问加密通信、以便监控儿童剥削、恐怖主义等犯罪行为。
另一方面,科技企业和数字版权倡导者表示,在加密通信中开放所谓的“后门”,或导致所有人的安全和隐私性受损,因此决不能开这个口子。
作为迂回,政府方面呼吁科技企业“自愿”地在他们的软硬件中构建相关功能,以便执法部门能够轻松实现利用。
那,如果它们“不配合”呢?
若政府继续遇到阻碍,未能合法获取有助于保护国家公民的信息,那我们可能会采取技术、执法、立法或其它措施,以实现相关解决方案的合法准入。
来源:cnBeta.COM
3、2018年全球互联网十大数据泄露事件盘点
2018年已经过了一大半,在过去的8个月里,“数据泄露”的字眼总是活跃在我们眼前,全球各地深受数据泄露事件的困扰,已造成数以万计的损失。据《2018数据泄露损失研究》评估显示,大型数据泄露代价高昂,百万条记录可致损失4000万美元,5000万条记录可致损失3.5亿美元。遭遇数据泄露事件的公司企业平均要损失386万美元,同比去年增加了6.4%。
根据全球各地频发的数据泄露事件,这里整理了2018年上半年度的10起国内外影响最大的数据泄露事件,希望以此引起广大网友对数据安全的重视。
1).Aadhaar
泄密指数:★★★★★
泄密数量:10亿条
事件时间:2018年1月3日
事件回顾:
今年1月份,印度10亿公民身份数据库Aadhaar被曝遭网络攻击,该数据库除了名字、电话号码、邮箱地址等之外还有指纹、虹膜纪录等极度敏感的信息。
印度Tribune报道指出,他们能够通过一个WhatsApp匿名群组花上500卢比就能获得访问该数据库的一个账号。通过输入任何一个Aadhaar号码(一个12位的唯一标识符,每个印度公民会使用到它)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后,任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。
2).Facebook
泄密指数:★★★☆☆
泄密数量:超过8700万条
事件时间:2018年3月17日
事件回顾:
今年3月,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息,但经过Facebook的确认,最初的估计实际上很低。今年 4月,该公司通知了在其平台上的8700万名用户,他们的数据已经遭到泄露。
不幸的是,随着对Facebook应用程序更深入的审查,看起来Cambridge Analytica丑闻可能只是冰山一角。6月27日,安全研究员Inti DeCeukelaire透露了另一个名为Nametests.com的应用程序,它已经暴露了超过1.2亿用户的信息。
3).Panera
泄密指数: ★★☆☆☆
泄密数量:3700万条
事件时间:2018年4月2日
事件回顾:
4月2日,安全研究员DylanHoulihan联系了调查信息安全记者Brian Krebs,向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录,这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞,但他告诉Krebs,他的报告被驳回了。在此后的八个月里,Houlihan每个月都会检查一次这个漏洞,直到最终向Krebs披露。随后,Krebs在他的博客上公布了这些细节。在Krebs 的报告发布后,Panera Bread暂时关闭了起网站。
尽管该公司最初试图淡化此次数据泄露事件的严重程度,并表示受到影响的客户不到1万人,但据信真实数字高达3700万。
4).UnderArmour
泄密指数:★★★★☆
泄密数量:1.5亿条
事件时间:2018年5月25日
事件回顾:
3月25日,美国著名运动装备品牌Under Armour称有1.5亿MyFitnessPal用户数据被泄露了,MyFitnessPal是一款Under Armour旗下的食物和营养主题应用,以跟踪用户每天消耗的卡路里、设置运动目标、集成来自其他运动设备的数据、分享运动成果到社交平台而受到广大欢迎。
据该公司称,此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码,但并没有涉及到用户的社会安全号码(Social Security numbers)、驾驶证号、和银行卡号等隐私信息。
5).MyHeritage
泄密指数:★★★★☆
泄密数量:超过9200万条
事件时间:2018年6月4日
事件回顾:
6月4日,MyHeritage的安全管理员收到一位研究人员发来的消息称,其在该公司外部的一个私有服务器上发现了一份名为《myheritage》的文件,里面包含了9228万个MyHeritage帐号的电子邮件地址和加密密码。在检查文件后,MyHeritage的安全管理员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。
随后该公司发布的一份声明称,由于MyHeritage依赖第三方服务提供商来处理会员的付款,黑客破解了密码机制,获得哈希密码,但不包含支付信息。服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上,该公司表示,没有证据表明文件中的数据被黑客利用。
6).Ticketfly
泄密指数:★★☆☆☆
泄密数量:超过2700万条
事件时间:2018年6月3日
事件回顾:
5月31日,美国票务巨头Ticketfly遭遇黑客攻击勒索,导致音乐会和体育赛事票务网站遭到破坏,并离线和中断一周。据报道,此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞,并要求其支付赎金。当遭到该公司的拒绝后,黑客劫持了Ticketfly网站,替换了它的主页。
据黑客IsHaKdZ表示,他手中拥有完整的数据库,里面包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)。
7).Sacramento Bee
泄密指数:★★☆☆☆
泄密数量:1950万条
事件时间:2018年6月7日
事件回顾:
今年2月,一名匿名攻击者截获了由SacramentoBee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据,而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后,攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求,并删除了数据库,以防止在将来这些数据库在被利用来进行其他更多的攻击。
根据Sacramento Bee的说法,这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。
8).AcFun
泄密指数: ★★☆☆☆
泄密数量:800 万条
事件时间:2018年6月14日
事件回顾:
6月14日凌晨,国内著名网站弹幕视频网站 AcFun(A 站)在官网发布 《关于AcFun 受黑客攻击致用户数据外泄的公告》称,该网站曾遭遇黑客攻击,近千万条用户数据已发生外泄,其中包括用户ID、昵称以及加密存储的密码等数据均遭泄露。
其实早在今年 3 月份,暗网论坛中就有人公开出售 AcFun 的一手用户数据,数量高达 800 万条,而价格仅为12000元,平均 1 元能买到 800 条。而在AcFun 发布此次数据泄露公告之前,暗网中也早有人兜售其 Shell 和内网权限,主要卖点就是数据量大以及日流量高。
9).圆通
泄密指数:★★★★★
泄密数量:10亿条
事件时间:2018年6月19日
事件回顾:
6月19日,一位ID为“f666666”的用户在暗网上开始兜售圆通10亿条快递数据,该用户表示售卖的数据为2014年下旬的数据,数据信息包括寄(收)件人姓名,电话,地址等信息,10亿条数据已经经过去重处理,数据重复率低于20%,并以1比特币打包出售。
并且该用户还支持用户对数据真实性进行验货,但验货费用为0.01比特币(约合431.98元),验货数据量为100万条。此验货数据是从10亿条数据里随机抽选的,每条数据完全不同,也就是说用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息,而10亿条数据则需要43197元人民币。
10).华住旗下多个连锁酒店开房信息
泄密指数:★★★★★
泄密数量:5亿条
事件时间:2018年8月28日
事件回顾:
华住旗下多个连锁酒店开房信息数据正在暗网出售,受到影响的酒店,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等,泄露数据总数更是近 5亿!
从网络上流传的截图可以看出,黑客目前正在数据信息如下,有几大数字值得我们注意:
A. 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约1.23 亿条记录;
B. 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;
C. 酒店开房记录,包括内部ID账号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID账号、房间号、消费金额等,共66.2 G,约 2.4 亿条记录;
数据之齐全,令人咋舌。
发帖人声称,所有数据脱库时间是 8 月 14 日,每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币,按照当天汇率约约合 37 万人民币。而经过媒体报道之后,该发帖人称要减价至 1 比特币出售……
据研究人员表示,此次泄露的原因是华住公司程序员将数据库连接方式及密码上传到 GitHub 导致的。而数据库信息是20天前传到了Github上,而黑客拖库是在14天前,黑客很可能是利用此信息实施攻击并拖库.
信息化时代的今天,面对数据泄露事件的层出不穷,国家,企事业单位,个人都应提高对数据安全的重视,加强对自身数据的保护措施。
来源:ITPub
看雪推荐:
3、[原创]看雪安全峰会—《从WPA2四次握手看KRACK密钥重装攻击》
4、[原创]看雪.京东 2018CTF第十五题 智能设备 writeup
5、[原创]第十三题 NeuralCrackme Writeup
2018.9.3周一
1、Android API breaking漏洞曝光:可泄露设备相关数据
常规APP通常会用于合法目的来截取这些数据。但流氓APP在窃听这些数据之后,极有可能会导致敏感数据的泄露。攻击者可能会用于发起针对本地WiFi的网络攻击,以及使用MAC地址来追踪指定的Android设备。此外使用数据库查找,还可以通过网络名称和BSSID进行地理标记。
研究人员表示“虽然系统中对于阅读此类消息的功能进行了严苛的限制,但应用开发者往往忽略了如何正确的部署这些限制以及如何更好的保护敏感数据。这在Android系统中APP比较普遍,一旦设备被恶意APP感染,就会被黑客处于监听的状态,并且截取其他APP的广播信息。”
2、9月全球数据库排名:MongoDB 最耀眼 分数连续增长11个月
DB-Engines 发布了2018年9月份的全球数据库排名,排名前六的一如既往还是 Oracle、MySQL、Microsoft SQL Server、PostgreSQL、MongoDB 和 DB2。而排名第五的 MongoDB 无疑是本月排行榜中最耀眼的一个。因为稳定排名前六的数据库中,本月只有 MongoDB 的分数依然保持增长,而且还是整个排行榜中增长幅度最大的一个,整体分数较上月增加了 7.81,这个增长成绩用“秒杀”来形容也绝不过分!
观察上个月的排行数据,我们可以看到当时 MongoDB 的增长幅度在排名前五的数据库中是最小的,而这个月它不仅来了一个华丽丽的逆袭,而且还是以独领风骚的姿态呈现。
排名前二十如下:
可以看到,分别排名第二和第三的 MySQL 和 Microsoft SQL Server,分数都出现不小的下降(-26.33, -21.37),而且也是整个排行榜中分数下降得最多的两个数据库。而深受欢迎的 PostgreSQL 数据库本月的分数出现了不小的下滑(-11.07),若按此趋势,MongoDB 今年或者有望将 PostgreSQL 挤下第四名的位置。
其他方面没有十分值得关注的变动,完整排名请查看 https://db-engines.com/en/ranking
最后我们不妨看一下前十名的趋势变化图:
可以看到,较为明显呈现增长趋势的只有 PostgreSQL、MongoDB 和 Redis 这三个。其他的基本是持平,甚至下降。
DB-Engines 根据受欢迎程度对数据库管理系统进行排名,排名每月更新一次。排名的数据依据 5 个不同的指标:
Google 以及 Bing 搜索引擎的关键字搜索数量
Google Trends 的搜索数量
Indeed 网站中的职位搜索量
LinkedIn 中提到关键字的个人资料数
Stackoverflow 上相关的问题和关注者数量
这份榜单分析旨在为数据库相关从业人员提供一个技术方向的参考,其中涉及到的排名情况并非基于产品的技术先进程度或市场占有率等因素。无论排名先后,选择适合与企业业务需求相比配的技术,才是最重要的。
来源:开源中国
3、Mozilla:云端 DOH 比传统 DNS 更安全 性能差别不大
Mozilla 今年3月时,在 Firefox Nightly 版本进行了 DOH(DNS Over HTTPS)与传统 DNS 的比较实验,探讨后者是否能被前者取代,结果显示虽然 DOH 服务平均比传统 DNS 慢6毫秒,但是相比之下,DOH 不止服务更安全,而且在极端情况下,甚至能比传统 DNS 的回应还快几百毫秒。
现在的浏览器用户依赖不够安全的传统 DNS 协议来访问目标网站,可能面临被追踪(Tracking)或是欺骗(Spoofing)等风险。Mozilla 引用了2018年 Usenix 安全研讨会的论文,研究显示 DNS 服务现在正受到严重的干扰,而且面临各种资料收集的隐私威胁。Firefox 开发了 DOH 技术,让浏览器从一个或多个可信任的服务中获取 DNS 信息,以提供高安全与高隐私的 DNS 服务。
由于以可信任的 DOH 云端服务取代传统 DNS 是一个剧烈的改变,在选择 DOH 服务器时需要考虑很多因素,因此 Mozilla 对此展开了测试,主要想了解两个问题,第一个,使用 DOH 是否能取代传统 DNS?第二个,使用 DOH 是否会出现额外的连接错误?在7月的时候有约 25000 名 Firefox Nightly 63 使用者参与了 Cloudflare 与 Mozilla 共同举行的测试,测试总共收集到了超过十亿条的 DOH 数据,目前测试已结束。
结果显示,与传统 DNS 相比,和云端服务供应商合作使用 HTTPS 发出 DNS 请求,在无缓存的 DNS 查询上,性能影响很小,大多数的查询只慢了约6毫秒,但从权衡安全性和保护隐私数据的角度出发,这是可以被接受的成本。而且在某些情况下,甚至能比传统 DNS 还快几百毫秒。
另外,这个测试除了解性能方面的影响,还考虑了连接错误率,在软故障(Soft-fail)模式下使用 DOH 云端服务的用户,和传统 DNS 用户相比,错误连接率并没有明显差异。软故障模式主要使用 DOH,当域名无法正确解析或是 DOH 提供的地址连接失败时,便退回使用传统 DNS。
Mozilla 提到,他们正努力于创造一个可信任的 DOH 供应商生态,以满足较高标准的数据处理需求,后续会在一组供应商中或是依照地理位置划分 DNS 传输,这项试验可能会在不久之后进行。
来源:开源中国2、[原创]觉醒之战Ⅰ:洞察HW程序员的脑洞
3、[原创]几种常见的注入姿势
2018.8.31周五
1、网友说:没有隐私的国度,无论是官方还是民间,都在作恶
华住的库被拖了,1.3亿人开房数据正在暗网售卖。
数据包含我们所熟知的汉庭、桔子、全季以及美爵、禧玥、漫心、诺富特、美居、CitiGO、星程、宜必思尚品、宜必思、怡莱和海友,共计14家酒店。
酒店开房记录包括了内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共计约2.4亿条信息。
可能是近5年内国内最大最严重的个人信息泄露事件。
在暗网论坛中,发帖人表明如果已购买数据包之后,如果权限不丢失,后续数据还可以免费提供给已购买的用户。这就意味着酒店系统或服务器中或许已经出现漏洞。
28日下午,华住集团酒店官方微博回应此事,称“引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我们也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。”
此外,上海市长宁公安分局官方微博8月28日晚间也发布消息,称警方已介入调查。
B.大家来找茬
有媒体发布文章称:依照华住目前的体量,渡过此次事件的危机或许并不难,难的是其在事后如何表现——在完善自身信息安全系统的基础上,带动整个行业对于信息安全系统的建设和完善。经过此次事件,最该成长的可能不是“华住们”,而是消费者自己。对于企业而言,如果愿意并且认真去做,加大投入、完善信息安全系统并不难实现;但如果消费者自己都不够重视个人信息保护,企业又怎么会有动力去推动并完成这一切呢?
是什么让机构数据库如此不堪一击?30日,新华社发布的文章做出了大致分析,称:在愈发频繁的数据泄露事件中,机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。
安防力量薄弱,防范意识不强。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示,去年勒索病毒爆发前夕,各机构有58天的时间可以进行补丁升级等安全布防工作,但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦,致使其最终遭受勒索病毒攻击。
用户数据市场需求旺盛。如今,越来越多的人开始习惯刷微博、网购、线上理财等生活方式,在此背景下,根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告,坏人用你的数据来对你诈骗勒索。”用户数据倒卖在我国已形成相对成熟的黑灰产,打包出售用户数据的情况在黑市中随处可见。
数据流转程序较多,部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为,用户数据在外卖、快递等行业随着商品同时流动,流转过程较为复杂,中间环节出现泄露的可能性也同时增加。张威表示,一些企业认为自己并非互联网行业主要参与者,不会成为被攻击对象,因此在用户数据保管上没有做好安全措施,最终导致大批量用户数据泄露。
外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现,除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外,鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系,后续调查结果也未向公众披露,间接导致行业内对用户数据保护氛围恶化。
法律说:
律师
对照我国法律关于公民个人信息的定义,用户在华住公司旗下酒店官网注册的个人信息、登记的开房记录等属于我国法律保护的公民个人信息的范围。根据《网络安全法》、《消费者权益保护法》的规定,网络运营者不得泄露收集的个人信息,应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。因此,律师认为,如果这一事件属实,无论是华住公司的员工上传数据过程中造成信息泄露的,还是黑客主动攻击华住公司的网站窃取信息的,华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎,依法应承担相应的行政责任和民事责任。
《网络安全法》
《网络安全法》规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。如果黑客采取技术手段非法窃取、截获和贩卖用户信息,情节严重的,将涉嫌触犯《刑法》规定的侵犯公民个人信息罪,最高可以判处7年有期徒刑并处罚金。根据相关司法解释规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;或者非法获取、出售或者提供前两项以外的公民个人信息五千条以上的;或者违法所得五千元以上的,即到达刑事立案追诉的标准。
《刑法修正案九》
针对有的网络运营商懈怠履行信息安全保护义务的现象,《刑法修正案九》及相关司法解释特别规定,如果网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法的规定以拒不履行信息网络安全管理义务罪追究法律责任。该规定正是为了促使网络服务提供者保护用户信息安全,采取有效的技术手段和安全措施确保用户信息不会被泄露。对此,网络运营商都应高度重视相应的法律风险和法律责任。
GDPR
另外,据有文章称:“华住酒店集团股价暴跌,在很大程度上是因为投资者担心其会因此受到严厉处罚。伴随着欧盟《通用数据保护条例》(GDPR)的实施,各个国家都在加强企业数据保护方面的合规监管。如果查实该数据属实,华住恐怕罪责难逃;若欧盟介入,处罚可能会更加严厉。以GDPR为代表的数据隐私法规,即是中国企业当下面临的重大合规经营挑战。一旦出现问题,很可能会给相关企业带来灭顶之灾,但却至今没有引起大家的重视。而在上个月,美国加州也紧接着推出《消费者隐私法案》,加大消费者对个人数据的处置权。这一法案将于2020年1月起生效。”
C.行业状况揭秘
近年来,酒店行业信息泄露的事件屡见不鲜,凯悦、洲际、汉庭、7天等国内外酒店均未能幸免。可即便如此,该现象并未得到有效的遏制。
对此,酒店行业资深业者表示,再强大的系统也会存在可被破解的漏洞——信息泄露事件虽在情理之中,但其如何泄露才是关键所在。在其看来,在信息社会,数据安全是任何企业都应该做好的底层工作;而国内的酒店集团普遍在技术安全保障和管理流程机制方面有所欠缺,且整体落后于国外。据其介绍,国外酒店集团的信息化标准十分严苛,细致到每个系统的补丁、版本升级标准、岗位权限设置等等,均有详尽的规定。可即便如此,国外酒店也依旧难以避免信息泄露的问题。如此看来,国内酒店对信息安全的不够重视,实则埋下了巨大的隐患。
另一位酒店从业者还感概:大多数国内酒店并没有完全绷紧信息安全这根弦,还是没有足够痛的领悟;另外,大部分中国消费者对于个人隐私保护的意识不足,并没有充分认识到信息泄露的严重性,这就导致酒店集团犯错的成本很低。同时,酒店信息安全体系的建设及维护是一笔非常大的投入;对于意图迅速抢占市场份额的酒店集团来说,也是最容易忽视的一个版块。而这种现状已经持续了一段时间,如果借此事可以引起整个行业的重视,酒店业的信息安全也会向前迈出一大步。
2018年2月,国内知名网络安全媒体freebuf就在其发布的《酒店行业信息安全现状很糟糕》文章中提到酒店业当前信息化安全现状:
高度依赖信息化作业:如果说开房住店使用WIFI等可能泄露个人信息,那酒店里的安全问题可多了。先谈一谈酒店与信息数据的关系,现在智能酒店很依赖信息化,特别是大型的高档酒店,信息系统出现严重故障会让酒店罢工。根据酒店管理系统模块使用量的不同,可能会让住客办不了入住手续、上不了楼、进不了房间、出不了门、结不了帐、退不了房……
不重视IT,待遇差,留不住高手:酒店管理系统比你想像中的更脆弱,像摇摇欲坠的墙,只差人去推一把。酒店行业IT待遇太差,所以高手一般都不愿呆在那儿,入门人员和混日子的IT人也没有水平和心思琢磨这些。他们宁愿让厂商来维护,而厂商的人员无非就是做做系统支持,弄台服务器,安装个服务器端软件,搞个培训!产品中设置一个授权时间,到时报警或停用不就得了,用得了下逻辑炸弹?
安全监控系统功能单一化:除了酒店管理系统的前台和客房模块,会员、预订、收银、门禁等模块也往往在前台操作,安全监控系统往往和消防等等是独立给安全部门的,较少有整合。国内多数酒店的业务工作流和信息数据流还不够完全无纸化,所以在信息架构上也还不科学。一般来说,酒店至少要有两套隔离的网络,一套自家用,一套给客人连接到互联网。通常,客人不会接触到酒店自家使用的网络信息系统,但实际上勇敢地去尝试一下并不难找到突破点。找到酒店自用网络的接入点,金矿就来了。披着“渗透测试”的外衣,轻轻松松拖几个数据库和复制一批住客的信息。
安全问题被刻意忽视:究其原因,软件公司和程序员不遵守软件开发的基本准则,在功能上急于争先,在安全上刻意忽视,造成后期问题爆多、维护工作量巨大、安全隐患日益突显。想要快刀斩乱麻,规范化的IT管理很重要,酒店IT管理人员应该注意短痛不如长痛,评估和选用经过科学认证的管理系统,替代高危的软件,并且加强员工们的信息安全意识教育,保障终端安全,防范黑客入侵和窃密。
E. 酒店行业数据安全解决思路
不仅是酒店行业,对于各个行业来说,数据正在引领新的商业模式的变革,但显然,当前整体数据安全思路是缺乏的,数据的管理与安全使用未成体系,数据安全市场现状不容乐观:
数据库“安全底子”不统一
尤其非关系型数据库存在安全问题,大数据安全的基础保障体系尚未建立。
互联网业务创新带来前所未有新风险
在万物互联,数据共享的互联网时代,各个行业的系统之间实现了紧密联结,业务的访问直达数据库,与此同时,安全防护体系的搭建却落后不止一步,一旦前端出现安全问题,后端数据将面临巨大风险。
共享交换时代数据去隐私化处理
在数据共享趋势下,数据安全问题凸显,数据的去隐私化成为焦点,因此,网安法对于网络运营者个人信息隐私的保护提出了明确要求。
上云后数据主管权问题
云计算时代,企业上云最担忧的莫过于云上数据的安全,云上数据的主管权一刻没有厘清,这种担忧就一刻不会离开。
如何进行数据资产管理而确保数据的高效、安全使用被提上日程。
凡事就怕“认真”二字,酒店行业一旦敬畏法律、尊重客户的个人信息隐私,重视起数据安全建设问题,健全数据安全管理制度,就完成了至关重要的第一步。
当前酒店行业数据泄露无非源于两大类安全威胁:1、外部黑客攻击;2、内部人员(包含外包IT团队)作案。
酒店管理系统是酒店信息化的载体,既有对外开放的业务系统,供客户、携程等第三方合作预定、查询等,也有对内开放的运营系统,包含前台接待、前台收银、客房管家、销售POS、餐饮管理 、娱乐管理、 公关销售、财务查询、电话计费、系统维护、经理查询、工程维修等功能模块。
针对应用侧的安全防护:防外部黑客
尽管酒店行业信息化程度高,但是信息安全建设却相对薄弱,因此,很容易遭受来自外部的入侵。
数据库防火墙技术可以通过虚拟补丁、SQL注入特征库、影响行数限定、黑白名单策略等技术手段重点针对漏洞攻击、非授权人员访问等外部及应用侧的威胁行为进行访问控制,防止数据泄露及篡改。
针对数据资产的安全防护:内外皆可防
而从数据本源出发,利用数据库加密技术进行防护或是最好的选择。加密技术直接作用于数据本身,使得数据即使遭遇了泄漏危机,被窃取或者丢失的数据其核心内容还是受到加密技术的防护。成熟的数据库加密产品要具备以下几点:
1)确保自主可控安全。加密产品需要具备独立于数据库的密钥管理体系,保证密钥不出设备,确保数据即使被拖库,依然安全。
2)三权分立机制。加密产品要具备三权分立机制,确保实现DBA、安全管理员和审计管理员权责分离,做到相互监督、相互制约。
3)具备独立的权限体系。产品可实现基于密文的增强访问权限控制,防止DBA及高权限用户对敏感数据进行访问。所有数据库用户想要访问密文数据,必须经过授权。
4)应用身份鉴别。实现应用系统、应用用户和数据库用户的绑定,只有受信的应用通过授权的应用账户才具有密文访问权限,防止数据库用户口令泄露后,绕开合法业务系统,对数据库直接访问。
针对运维侧的安全防护:防内部/外包等
我们知道酒店的业务相关系统主要采用业务外包形式由第三方公司代为开发,且后期系统及数据维护可能由不同部门相关管理人员和第三方开发商共同完成,在开发过程中存在以下风险:
数据库管理员对数据库有最高访问权限,并且风险操作及高危操作无法管控;
运维人员存在对生产数据库批量导出操作漏洞;
数据分析员对数据库存在越权访问及操作;
第三方运维、测试、开发、数据分析人员对核心数据库的运维操作无法监控;
酒店行业的开发、运维工作多交给了第三方外包人员,这就让安全管理难度加大。由于缺乏细粒度的管控手段,数据库运维工作普遍存在内部人员、甚至第三方外包人员间的账号共享、主机共享、高权限账户滥用等情况,加之人工操作无法保证100%的准确度,数据库日常运维操作面临:操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故不可溯等一系列安全风险。
因此,实现数据库运维侧的安全管控,就需要在审批环节中满足两方面能力:其一,能够整合审批流程,为内部运维人员、第三方外包人员、业务主管等多角色提供细致统一的审批平台,能够提供对操作人、操作对象、操作内容、操作时间、相关审批人等等细粒度的申请条件,使审批过程清晰、透明。其二,能够提供对申请内容的智能分析能力,能够对操作申请进行风险预估和异常行为评测,为审批者提供决策依据,在操作前最大可能的降低运维事故概率。
安华金和长期专注数据库安全建设,致力于让数据自由而安全的使用,帮助用户建立公众信任,守护个人隐私,提升全社会安全感。
当安全事件发生,愿每一个身处其中的人,不要站在阴影里,不要再沉默。
来源:微信公众号安华金合2、 为什么未来的数据存储仍然是磁带
数据是新时代的石油。今天被记录下来的数据容量每年增长 30% 到 40%,但现代硬盘的容量增长速度不到这个增速的一半。幸运的是,绝大部分信息并不需要即时存取。对于此类信息,磁盘是完美的解决方案。
是的,世界大部分的数据仍然保存在磁带上,包括基础科学如粒子物理学和射电天文学,文化遗产和国家档案,电影,金融、保险和石油勘探等。
最近微软的 Azure Archive Storage 还使用了 IBM 的磁带存储设备。
磁带的一大优势是廉价,而且其容量仍然在不断增长,平均每年增长 33%,意味着每两年或三年其容量将会翻一番。磁带可能属于最后一批仍然遵守摩尔定律的信息技术。
3、知名OCR软件被曝泄露超过20万份客户文件
前言
知名OCR软件ABBYY FineReader软件开发商的MongoDB服务器因配置错误导致超过20万份客户文件泄露。
ABBYY在文档识别、数据捕获和语言技术的开发领域中占据一定的领先地位,ABBYY FineReader是其主打的OCR及文档转换软件,可提供一条龙的PDF解决方案。
得益于较早的起步时间和全面的服务支持,其客户涵盖国内外的企业和个人,这也是本次文档泄露事件发生之后引起各大厂商注意的原因。
事件回溯
独立安全研究员Bob Diachenko于8月19日在AWS上发现了该数据库,大小为142GB,无需登录即可访问。
客户扫描数据并将其保留在云中,该数据库包括敏感的扫描文件,包括合同、保密协议、内部信件和备忘录等,还有一些文件名包含“documentRecognition”和“documentXML”这样的字段,可能是某些数据识别公司基础数据库的一部分。
数据库属于ABBYY的证据来自另一组文档,该文档包含公司电子邮件地址和经过加密的密码字段。
Bob发现给问题后即通知了Abbyy安全团队,两天后对该数据库的访问通道才被切断。
从什么时候开始存在这个问题以及多少人访问了这个数据库目前尚不清楚,但这个数据库可谓是价值连城。
ABBYY的客户涵盖来自各个领域的知名企业,如大众汽车、德勤、普华永道、百事可乐、Sberbank和麦当劳,这还只是冰山一角。
*参考来源:Bleeping Computer,Freddy编译整理,转载请注明来自FreeBuf.COM。
2018.8.30周四
Oath向华尔街日报承认公司确实进行了邮件扫描,但通常只是扫描来自零售商的促销邮件信息。用户也可以在雅虎邮箱中进行设置,避免系统进行扫描。Oath认为电子邮件是非常昂贵的系统,人们不期望获得没有价值交换的免费服务。
报道中还指出,即使启用了雅虎的高级邮件服务(月费3.49美元),如果用户不选择禁用系统依然会对邮件进行扫描。在Oath的算法中,那些经常购买机票的用户就会标记为出差频繁人士,那么他收到的邮件邀请大多会包含Lyft或者出行方面的广告内容。广告业主可根据Oath的服务来更高效的投放广告。
来源:cnBeta.COM
2、来自11家OEM厂商的智能手机容易遭到隐藏AT指令攻击
前言
国外的安全研究人员发现,来自11家智能手机OEM厂商的数百万台移动设备容易遭到隐藏AT命令攻击。
AT(ATtention)命令是20世纪80年代早期开发的短字符串(ShortString)命令集合,通过电话线和控制调制解调器传输。将不同的AT命令字符串合并在一起,可用于告知调制解调器进行拨号、挂断或更改连接参数等功能。
普通用户可能不知道,现代智能手机也集成了基本的调制解调器组件,允许智能手机通过其电话功能连接到互联网。虽然国际电信机构已经推出了标准化的标准化的基本AT命令,所有智能手机必须支持这些指令。可出于实际需要,供应商还是为自己的设备添加了自定义AT命令集,可用于控制一些非常危险的手机功能,例如触摸屏界面、设备摄像头等。
针对数以千计Android固件的研究
来自佛罗里达大学、斯托尼布鲁克大学和三星研究美国的11名科学家组成团队,研究了现代Android设备目前支持哪些类型的AT指令以及影响。
该研究团队分析了来自11个Android OEM的超过2000个Android固件映像,如华硕、谷歌、HTC、华为、联想、LG、LineageOS、摩托罗拉、三星、索尼和中兴。发现这些设备支持超过3500种不同类型的AT指令,其中一些可用于访问非常危险的功能。
USB接口暴露AT指令
这些AT指令均通过手机USB接口暴露,这意味着攻击者必须获得用户设备的访问权限或接入隐藏的USB底座、充电器或充电站内的恶意组件。
一旦攻击者通过USB连接到目标手机,他就可以使用手机的一个隐藏AT指令重写设备固件,绕过Android安全机制以获得敏感的设备信息、解锁屏幕等。有些AT指令仅能在手机处于USB调试模式时才可用,但研究人员也发现许攻击者可以直接访问的AT命令,即使手机已进入锁定状态。
在许多情况下,运行这些指令完全没有日志记录。最大的风险是攻击者可模拟触摸屏点击,使得攻击者完全控制设备并安装恶意应用程序以进行进一步的行动。
厂商已收到通知
该研究团队已通知所有相关供应商,还在网站上发布了包含手机型号和固件版本的数据库。
研究人员仅通过USB接口测试了对Android设备上AT命令集的访问,还计划测试Apple设备以及通过远程访问(如手机的Wi-Fi或蓝牙连接)来运行AT命令。该团队还发布了一个Shell脚本,在研究期间使用它来检查Android固件并查找包含AT指令的字符串,可在GitHub上下载。
*参考来源:BLEEPINGCOMPUTER,Freddy编译整理,转载请注明来自 FreeBuf.COM。
3、Mozilla 公布 DNS over HTTPS 实验结果
Mozilla 早些时候 发布了 Firefox 的 Nightly 版本,引入了 DNS over HTTPS (DoH) 功能。它邀请了用户测试被称为 Trusted Recursive Resolver (TRR)的加密域名解析功能。今天的 DNS 解析通常没有加密,不安全,采用 DoH 将让 DNS 解析更安全。
现在,Mozilla 公布了DNS over HTTPS 的实验结果。有大约 2.5 万用户参与了实验,产生了超过 10 亿 DoH 事务。
来源:solidot.org
看雪推荐阅读:
3、[翻译]国外2018最新区块链教程英文版,大胆翻译,助力论坛『区块链安全』开设第四棒!
4、[原创]看雪安全峰会—《从WPA2四次握手看KRACK密钥重装攻击》
2018.8.29周三
1、商业云服务平台正在成为黑客对用户下手的渠道
前言
来自国外的Threat Stack网络安全团队的研究人员表示黑客利用正在利用商业云服务平台的特性对目标用户发起恶意活动,并隐藏自己的行踪。
越来越多的证据表明,黑客正在将目光对准云服务用户,利用公共云平台常见的功能来隐藏活动以长驻目标网络进行恶意活动。
来自Threat Stack网络安全团队数年来一直在跟踪和观看黑客利用云服务的模式。一个明显的分水岭是2016年,他们注意到利用亚马逊网络服务(AWS)进行攻击的复杂性陡然上升。在2017年这种趋势更加明显。该团队指出,问题不在于AWS服务和软件存在漏洞,而在于黑客能够以巧妙的方式利用它的特性。
举个简单的例子:
黑客通常可以通过窃取AWS密钥来获得存储在开放S3容器中的资源路径,或者启动新的Amazon Elastic Compute Cloud(EC2)来挖矿。这种情况已经很常见了,在过去的几年里配置错误的S3容器好几次都登上了头条新闻。亚马逊强调默认情况下S3容器是安全的;,还推出了Macie以保护AWS S3数据,并通过Trusted Advisor提供免费的容器检查。
针对亚马逊推出的一系列安全服务,黑客这边也没有闲着。利用AWS进行恶意活动变得越来越复杂,针对性越来越强,可与基于网络的入侵攻击相结合。
工作原理
大多数这些攻击都始于凭证被窃取,黑客通过网络钓鱼窃取访问密钥或凭据,部署恶意软件以获取用户名和密码,或者是其他感兴趣的信息。
在获取凭证之后,下一步是确定可以获得的权限级别。如果没有黑客想要的东西,他可能会尝试在AWS中创建其他账户或凭据,然后在目标环境中启动新的EC2实例。
此时,黑客可在网络中调用EC2实例来扫描主机。登陆新主机后,黑客会检查其AWS权限。如果只是在寻找少量数据,那么在受感染的终端或主机上绕过DLP工具即可。具体怎么做取决于黑客的动机。
行为模式
这种情况通常出现在针对性的持续攻击中,黑客试图获得对特定数据的访问权限,包括制造业、金融业和高科技行业等都是他们的热门目标。
如何获取数据和数据量多大还是取决于目的。举个例子,如果公司存储医疗保健信息或选民记录,则黑客可能会批量查找数据。而黑客瞄准媒体公司的话,可能只想要知道即将发布的产品信息或更具体的内容,这样只要复制和粘贴或截取屏幕截图即可,这种方式更难察觉到。
总结
在AWS场景中,横向攻击难以被检测到的一个原因是,大多数安全监控技术都假设攻击者潜入主机并升级权限。而在这种情况下,黑客会尽量离开主机层返回到AWS控制平面,大多数安全人员可能都不会注意到这种操作。
*参考来源:DARKRing,Freddy编译整理,转载请注明来自 FreeBuf.COM
2、Google 披露 Fortnite Android 版安全漏洞,Epic 抨击 Google 不负责任
3、小米有品回应信息泄露:供应商内部漏洞 已报警
针对小米旗下电商平台小米有品出现用户信息泄露一事,小米有品方面回应称,初步判断由于某供应商的内部系统漏洞,产生部分信息泄露。 已及时报警,公安机关已介入调查。近日,有微博和知乎网友反映在小米有品购物,个人信息被泄露,遭遇了电信诈骗。有用户被诈骗金额高达上万元。
小米有品方面向新浪科技回应称,本次信息泄露并非有品系统原因。初步判断由于某供应商的内部系统漏洞,产生部分信息泄露,从而导致骗子冒充有品行骗。已及时报警,公安机关已介入调查。
小米有品方面还称,也多次短信提醒相关用户骗子行骗方式,谨防上当。 对于供应商数据权限也进行了全面检查,升级安全措施。
以下为小米有品回应全文:
有品非常重视用户信息的保护,本次信息泄露并非有品系统原因。 初步判断由于某供应商的内部系统漏洞,产生部分信息泄露,从而导致骗子冒充有品行骗。 已及时报警,公安机关已介入调查。同时有品也多次短信提醒相关用户骗子行骗方式,谨防上当。 对于供应商数据权限也进行了全面检查,升级安全措施。
来源:新浪科技
2018.8.28周二
1、美国公司参与建设印度的全国监控计划
美国科技巨头正参与建造史上最具侵入性的公民监控计划之一。过去九年,印度收集了近 13 亿人口的指纹、虹膜和照片,建立了世界上最大的生物识别数据库。这个名为 Aadhaar(意思是证据)在美国科技巨头眼里可能是一座金矿。微软的 CEO 多次称赞该项目。当地媒体经常报道印度政府与苹果、Google 和三星等公司的高管讨论如何制造支持 Aadhaar 的设备。而与此同时,Aadhaar 在印度也日益受到争议,印度最高法院预计最快在本月决定项目的未来。Aadhaar 最初是设计简化印度贫困人口获取福利,但如今它已经成为印度各种服务的入口。它的错误反而导致数百万贫困人口失去援助。安全研究人员和学者担心该项目是印度朝着建立一个堪比中国的监控社会迈出的第一步。
来源:solidot.org
2、WireGuard VPN 评测
一种新的 VPN 实现 WireGuard 正引起越来越多人的兴趣,甚至 Linus Torvalds 在内核邮件列表里称赞说,相比 OpenVPN 和 IPSec,WireGuard 就是艺术品。系统管理员 Jim Salter 对 WireGuard 进行了一番简单评测,认为 WireGuard 代码更少,配置更简单,加密算法更强,握手更简单,连接也更快,不过缺点是 WireGuard 目前只支持 Linux,Android 和 BSD,短时间内还不会支持 Windows,而 Windows 桌面的数量远多于 Linux 和 OS X。WireGuard VPN 运行在内核,它已经准备合并到内核主线。
来源:solidot.org
3、青少年可轻易破坏州选举结果?黑客大会组织者:你们想多了
本月在拉斯维加斯召开的 Def Con 大会上,有一条趣闻占据了许多媒体的头条。这让一些人认为,渗透美国选举网站、并影响 2018 中期选举的结果,将成为孩子们的一场游戏。文章报道称,参会的青少年黑客能够“挫败即将到来的中期选举”,且“一个 11 岁的孩子只需 10 分钟就能改变选举结果”。然而,事实真的如此吗?(网站截图)Politico Magazine 用一个 17 岁青少年的第一人称口吻说到,去年 11 月的时候,他攻击关停了一个统计选票的网站,让那次选举来了个急刹车。但是现在,选举专家们开始担心由这次事件导致的误解 —— 他们中有许多人是被组织者煽动起来的 —— 让人们对其影响力有一种扭曲的感觉。在 Def Con 青年部分(r00tz Asylum)召开前,一家网站刊文称:组织者表示,学生们将尝试破解国家选举网站的一个精确副本。其可称之为‘完全克隆’的‘复制品’。不过会议结束后,描述语被精简成了‘克隆’这一个单词。实际上,学生们正在为那些有需要发现的漏洞副本做相似的工作。组织者为他们提供了备忘单,因为成年人已经走过同样的道路了。前美国国家标准与技术研究院选举专家、兼 Def Con 发言人之一的 Josh Franklin,直接将这些副本称作‘仿品’(fake)。他叹道 —— 我得知他们没有使用精确的副本,且没有采取任何措施来更好地复制底层基础设施,这点还是令人挺失望的。选举创新与研究中心执行主任 Franklin 和 David Becker 也指出,尽管州选举网站可以公布投票结果,但实际上并不负责列举出选票。这些信息是分开保存的,即便黑客入侵了现实投票总数的网站,也不会影响到真实的票数统计。制表系统所属的选举管理系统,是不会与互联网直连的,那样也太疯狂了。组织者 Jake Braun 辩护道,虽然活动有些张扬,但选举网站的安全问题确实没有得到足够的重视。他坚称,那些质疑模拟网站技术细节、及其漏洞是否真实的人,都忽略掉了这一点。我希望选举官员开始制定通信冗余计划,以便他们敲定协议、与选民和媒体等进行沟通 —— 如果这种情况发生在选举日的话!Braun 向 ProPublica 提供了一份报告,即 r00tz 计划更广泛地传播、解释模拟网站的技术基础。报告称,其设计易受常见的 SQL 注入攻击影响。富兰克林承认,一些州选举报告网站确实存在这种漏洞。但他表示各州意识到此类情况已持续数月,且正在对其进行防范。
[编译自:ProPublica] 来源:cnBeta.COM
看雪推荐阅读:
3、Nexus6P 7.1.2 内核编译修改 TracerPid
4、[原创]阶乘算法性能分析与 DOUBLE FAULT 蓝屏故障排查 PART I
2018.8.27周一
1、PhishPoint网络钓鱼攻击:一种绕过Microsoft Office 365保护的新技术
PhishPoint是一种新型的SharePoint钓鱼攻击,在过去的两周内,大约有10%的Office 365用户受到了这种攻击的影响。安全专家警告称,已经有很多网络诈骗份子开始使用这种新型的攻击技术来绕过目前大多数电子邮件服务商所部署的高级威胁保护(ATP)机制了,其中受影响的就包括Microsoft Office 365在内。
根据Avanan发布的安全报告显示:“在过去的两周内,我们检测到并成功阻止了一种新型的钓鱼攻击,目前全球大约有10%的Office 365用户受到了此次攻击的影响。PhishPoint是一种升级版的网络钓鱼攻击,攻击者主要利用电子邮件和SharePoint来收集终端用户的Office 365凭证信息。在攻击的过程中,攻击者会使用SharePoint文件来托管钓鱼链接,通过向SharePoint文件插入恶意链接(而不是向电子邮件中插入),攻击者将能够绕过Office365的内置安全机制。”
在PhishPoint的攻击场景中,目标用户会受到一份包含指向SharePoint文档链接的电子邮件,文件中的消息内容跟标准的SharePoint邀请合作函是完全一样的。
当用户点击了伪造邀请函中的超链接之后,浏览器将会自动打开一份SharePoint文件。这个SharePoint文件的内容会伪装成一种标准的OneDrive文件访问请求,其中会包含一条“访问文档”超链接,而这个超链接实际上是一条恶意URL,它会将用户重定向到一个伪造的Office 365登录页面。
这个登录页面会让目标用户提供他们自己的登录凭证。
安全专家强调称,微软所部属的保护机制会检查邮件中的主体内容,包括里面附带的超链接,但由于PhishPoint中的链接指向的是一个实际的SharePoint文档,因此保护机制将无法识别这种威胁。专家表示:“攻击者利用的是微软链接扫描机制的漏洞,因为这种机制的扫描深度只有一层,它只会扫描邮件主体中的链接,而不会扫描托管在其他服务方的文件,例如SharePoint。为了识别这种威胁,微软需要扫描共享文档中的其他链接以检测钓鱼URL。”
专家表示,如果邮件的主题行中有类似“URGENT”(紧急)或“ACTION REQUIRED”(待办公事)等字样的内容,请一定要小心,并在确定了邮件来源之后再点击访问。除此之外,每当你看到了登录页面之后,请一定要三思而后行,在仔细检查了浏览器地址栏的链接地址之后,再访问相关资源。还有一点,请不要忘记开启双因素身份验证功能。
* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
2、 智能车收集你的数据咋办?有人:活得轻松点 上交吧
网易科技讯 8月26日消息,《华尔街日报》发布撰稿人乔·昆南(Joe Queenan)的文章称,智能汽车知道你最近去过哪些地方,通常到哪里喝咖啡,收集关于你的各种信息。该如何应对呢?最好的办法就是主动给那些数据挖掘者交出数据来。不管怎么样,他们最终都会得到那些信息数据,所以没有必要纠结。
以下是文章主要内容:
上周,《华尔街日报》报道称,新车辆可以收集大量有关我们行为的数据,以至于它们及其爱窥探隐私的公司主人最终会知道我们每天的通勤路线,以及我们通常去哪里喝咖啡。
让我来给那些数据采集器节省些时间和精力吧:我会开车从Wilson Park Drive 前往Beech Lane,然后再去麦基尔(McKeel),最后将车子停在Hillside上。如果我需要进城,我通常会从Wilson前往Cobb Lane,,接着左转到百老汇(Broadway),再在威尔迪(Wildey)右转,最后穿过H桥,直接把车停在塔里敦健身中心前面。
在饮食活动方面,我有时会在Pastry Chef那里买一份中等分量的无咖啡因面包,我也可能会买一份原味羊角面包,不过大多数时候我会在Bella’s Restaurant餐厅喝咖啡和享用烤罂粟面包圈。我没有把面包圈挖空,因为觉得那么做太做作了。我自愿提供所有的这些信息;你们这些在我车里捣鼓的数据挖掘者可以想怎么处理你们发现的信息,就怎么。
全美公民不应该极度偏执于隐匿个人信息避免在线上被窥探,那样会适得其反。不管怎么样,那些家伙都会得到那些信息数据,所以为什么要那么纠结呢?大家为什么不让自己生活得更轻松一点,直接主动交出数据来呢?
我不介意不明的、甚至邪恶的公司知道我开什么车,开多长时间。目前,我在开一辆有14年历史的Sienna LE面包车,它已经累计行驶了14.3万英里长。在那之前,我有过一辆Previa面包车,它陪伴我走了18年,行驶了16.8万英里。所以如果你想给我推销一辆新车,2022年再来推销吧。推销起亚、别克和福特的:别来打搅我。推销玛莎拉蒂的也是。
我不介意电子间谍是否知道我的宗教信仰、我支持的球队。我现在和未来都将是罗马天主教徒,我支持民主党,是费城人队的球迷,我永远也不会去麦迪逊广场花园、金神大赌场或罗马斗兽场听罗德·斯图尔特(Rod Stewart)演唱《The Great American Songbook Vol. 4》。所以请不要向我推送有关罗德·斯图尔特的弹出式广告。
你也不要再尝试让我加入希望我跳出思维定势的自由主义团体。我完全可以“在盒子里思考”。
在笔记本电脑方面,我只买苹果,而不买该品牌价格高昂的iPhone。手机的话,价格在300美元以下的Moto X4就可以了。我永远不会使用亚马逊的语音助手Alexa或者智能音箱Echo,所以不要再问我这个了。我已经去过明尼阿波利斯五次了,所以你不要再给我发送价格提醒,通知我去双子城的航班有大幅折扣。辛辛那提也是。我任何时候都讨厌去亚特兰大,是有据可查的;我可以免费提供这些信息。
兴趣爱好方面,我的吉他包括马丁D-28、Guild古典樱桃盒吉他和雅马哈12弦吉他。如果有人能帮我买到Gibson Les Paul的好产品,一定要给我发电子邮件。我在我的原声吉他上基本都是使用20毫米的D 'Addario弦,在Washburn Hollowbody Electric上则使用大一点的弦。向我推销价格不菲的手工弦乐器等于白费功夫。我不是那种喜欢手工弦乐器的人。
我不相信美国中央情报局(CIA)与肯尼迪遇刺或俄克拉荷马城爆炸案有任何关系,我也不相信有来自联合国的载人黑色直升机正在我的车库上空盘旋。因此,你可以跳过那个数据挖掘操作阶段。我对前往中国、匈牙利、保加利亚或俄罗斯没有兴趣,但如果到设得兰群岛的廉价航班开通,请记得告知我。向我推销维生素补充剂也会是白费功夫,我也没有兴趣注册成为瑜伽会员。
网易科技讯8月25日消息,据《快公司》杂志报道,美国短租平台Airbnb日前针对纽约市颁布的一项新法规,起诉了纽约市政府,指控后者违法迫使自己提交手中的房东数据信息。
纽约市政府新颁布的这项新法规旨在监管那些用长租公寓来充当短期租赁房的房东,而这些房源通常也被当地政府称之为是“非法旅馆”。
目前,Airbnb在纽约州南部地区法庭提交了起诉文件,在起诉书中,Airbnb称纽约市的这条新法规是一个“政府权力越界的异常法规”。
Airbnb指控纽约市政府违反了美国的《储存通讯法案》(Stored Communications Act)、美国宪法第一修正案(First?Amendment)和美国宪法第四修正案(Fourth?Amendment),它们保护像Airbnb这样的公司在未经同意或是没有合法证明的情况下,不必向政府公开它们的用户数据。
而纽约市政府在7月18日通过的这项法令,要求Airbnb公司每个月均应向其披露如下信息:
1.姓名、地址、电话号、邮箱地址
2.短期租赁房的地址需要包含单元号、街区和邮编号
3.出租房的Airbnb域名地址和其它相关账号
4.房东是出租他所拥有的房间还是出租整套房子
5.房子被出租的天数
6.Airbnb收到了多少租金
7.房东挣了多少钱
8.同房东的收款账号有关的其它信息
在本次诉讼案中,Airbnb称纽约市政府颁布的这项法令并未解释清它是否,或是如何确保这些用户信息的安全。
“这条法令中并未提及如何防止特别执法办公室向其它机构分享用户数据,或是防止它向其它民众转交用户数据,”起诉书中这样写道。
在2016年的时候,Airbnb就曾起诉过纽约市政府,彼时纽约市通过了一项法令,重罚了那些非法的民宿共享出租房的房东,在两个月后,Airbnb同纽约市政府就此事达成了和解。
纽约市其实并不是美国唯一一个要求提交共享出租房房东信息的城市,然而,在其它诸如旧金山、芝加哥、西雅图等出台了类似法规的城市中,政府都是要求共享出租房房东本人在市政府相关部门进行注册,提交他们的个人数据。而纽约市的情况有些许不同,它直接要求Airbnb取得房东同意,代表房东提交他们的数据。
针对共享出租房如何被监管的问题,Airbnb似乎永远被困在了同各大城市的庭审交锋当中,究其原因,这或许是因为起诉政府真得是Airbnb解决各城市立法问题的唯一途径了。
Airbnb其实不缺钱,它在去年刚刚完成了金额高达10亿美元的最新一轮融资,并且有报道称,Airbnb将于今年实现盈利。
来源:网易科技报道
看雪推荐阅读:
1、[原创]剖析2018腾讯游戏安全竞赛题目(上)-『CrackMe』-看雪安全论坛
2、[原创]GSLab2018-第一题标准版分析-『软件逆向』-看雪安全论坛
4、[原创]Android通用脱壳机FUPK3-『Android安全』-看雪安全论坛
2018.8.24周五
1、 左手便利,右手危险 | 盘点物联网安全的七个薄弱点
前言
诸如智能家居等形式的物联网设备正在深入人们的生活,在企业环境中物联网设备早已无处不在。因此物联网安全的重要性也越来越高,本文罗列了7个物联网应用的薄弱点供大家参考。
A. 千奇百怪的网页用户界面
用户都喜欢一个好看、好用的网络交互界面。在物联网应用领域,网络用户界面可用于实现设备的控制、设置和集成功能,如使用多个智能LED灯泡构建Mesh网络等。功能很多,随之而来的问题也不少。
网页用户界面
物联网设备的用户界面和企业网络安全领域的痛点类似,虽然不会被SQL注入这种问题困扰,但命令注入、跨站点脚本和请求伪造等手段仍可为犯罪分子大开方便之门,黑客可获取完整的系统权限并随时访问设备,监控甚至干扰用户的生活。
好在大多数物联网设备的网页界面安全问题可以部署常规解决方案,比如验证输入、强密码、不公开凭据、限制密码重试次数以及可靠的密码和用户名恢复流程等。
B. 被忽视的身份验证步骤
人们在选购物联网设备时,注意力往往会放在功能是否丰富这一点上,如控制家居产品、居住环境(如空调或者灯光氛围)、通过音视频对区域进行监控等功能,在帮助用户监控区域安全的时候,很少有厂商将设备的安全性当成卖点来吸引用户。这也从侧面反应出厂商和用户多少对设备本身的安全性重视得不够。很多物联网应用都缺乏对于身份的基本验证步骤,而有认证步骤的其实做得还不够。
对于物联网应用而言,需要两种类型的身份验证:
用户身份验证。鉴于物联网环境的复杂性,是否要求特定区域中的每个物联网设备进行安全认证,还是一次认证即可通行整个生态系统,这是在产品设计时厂商们常常面临的问题。大多数系统设计人员因为便利性而选择后者,这样一来,对于处在该物联网系统中心的设备或各设备共用的统一入口而言,可靠的身份认证步骤绝对不能少。
设备身份验证。由于用户不会在每个设备上进行身份验证,因此物联网中的设备应进行互相的身份验证,防止黑客将一些不受信任的设备,如被黑的路由器等,接入该网络。
解决上述风险的思路和第一条一样,就是要重视物联网应用的开发,不要光卖硬件,将配套的固件/软件当作卖点来开发。没有用户界面,设备间只是各种API接口的调用,因此无需设备的身份验证这种理由可以束之高阁了。
C. 千篇一律的默认值
用户名是“Admin”,密码也是“Admin”,这种情况在一些普通的路由器上很常见。用户用起来方便,不过“别人”用起来也方便。现在这个问题跑到了物联网设备身上。
默认的用户凭证信息会为物联网设备的安全带来巨大的风险。如果网络被黑客入侵,通过简单的猜解即可进入设备后台,获取端口信息、为每个用户设置管理员权限、设置网络参数等,这些都是和网络安全息息相关的设置。不仅是入口设备,整个系统中的设备都有可能被黑客全面接管。
除了完善入口网络或者基础设备的安全性之外,为每台产品设置不同的默认值将会是一个简单有效的方法。这一点主要还是厂商要付出努力,相比网页用户界面和身份验证体系的开发而言,要解决这个问题相对来说比较简单。
D. 不受重视的固件漏洞
物联网设备的硬件和软件两个领域发展历史不长,技术积淀也不够厚重,所以漏洞也频发。
开发人员也会经常积极推出漏洞补丁或者是功能性的更新。问题是它不像手机操作系统,对于用户而言难以感知,有时候哪怕是知道有新的固件,也懒得去更新。还有一种情况是,没有用户界面的物联网设备也是进行固件更新的一大障碍。
一般情况下,物联网设备放在某个地方时候就不会怎么移动,这样就给黑客提供了充裕的时间来实验各种方法和手段。之前发生的巴西20多万台路由器被劫持用于挖矿就是一个典型的例子,厂商早在漏洞发现后的第一时间里发布了新版固件,但是数月后仍有很多用户由于各种原因没有部署该固件,从而导致海量路由器被大面积劫持。
因此,有新的就用新的,要是实在用不了,看到了相关问题也要留个心眼,通过其他方法,如增加/调整网络防火墙、提升安全检查的频率来加固系统。
E. 人见人爱的云端
物联网设备的蓬勃发展离不开国内外各大厂商对于云端系统的大量投入,现在没有几个消费电子领域和商业领域中的物联网系统,能够不依赖云端进行大量的任务处理和命令识别和运行等操作。如果要进行语音识别/交互时,这就更跑不开了,而设备与云端建立的链路可能成为一个薄弱点。
物联网设备与云端通信所用的消息类型多种多样,有简单的数据包传递,也有会语音和视频流的发送,处理任务列表、日历事件,以及运行DevOps框架和工具指令等高级任务也是常见。这些敏感数据流是否通过加密隧道传输?你知道吗?
这里的问题前面几个一样,主动权并不掌握在用户手里。设备采用哪款物联网芯片?接入哪个云平台?使用的API接口是什么?接口支持的加密协议有哪些、启用了哪个?如果身边有物联网设备的朋友可以自己问问自己清楚这些问题的答案否。
用户侧目前能做的只有加固防火墙、部署入侵防御系统(IPS)设备或是其他安全工具来做些弥补。
F. 难以防御的内部根源
写得不好的物联网应用程序对于网络防火墙来说也是个大麻烦,恶意代码/信息可以搭乘获得防火墙信任的物联网设备数据流自由进出,好比是在防火墙上挖来了一个洞。
物联网设备通过网络内部调用其控制服务器,然后通过心跳信号来维护链路。建立连接后,攻击者可以利用未加密和未经身份验证的流量漏洞,在开放链路发送/传输恶意流量。这样的话黑客就可以从外部进入用户的系统并利用物联网设备的漏洞进行恶意活动。
有些人可能会说黑客要预先知道设备的连接类型才能利用漏洞,他们可能没有听说过Shodan。通过简单的Shodan搜索,可以在不花费太多精力或时间的情况下找到各种设备、通信方式和开放端口。定位到设备之后就可以使用简单的脚本实现自动化攻击。
G. 一半是天使,一半是恶魔的通信协议
工业控制领域的通信协议,如MQTT的应用面非常广泛,通信协议本身并没有什么问题,而是实现它们的方式导致海量的系统遭受安全风险。
以前,工业控制安全的模式很简单:
首先,系统要尽可能少地连接到任何广域网络;
接下来,就看谁想要攻击工业控制系统了。
现在越来越多的工业控制系统依托于互联网,这就变成了各路黑客的香饽饽和练手的对象,都希望能够通过各种协议访问或控制物联网设备,获取能够卖掉的数据或是搞点破坏。
总结
保护物联网部署的关键是知识:了解物联网中实际部署的内容、这些设备在网络上的作用以及本地设备与其依赖的云系统之间的数据流。
*参考来源:DARKReading,Freddy编译整理,转载请注明来自 FreeBuf.COM。
2、19岁黑客用SIM卡交换诈骗加密货币 购买迈凯伦跑车
据报道,美国警方逮捕了一位加州利用SIM卡交换技术实施诈骗的诈骗者,19岁男子Xzavyer Clemente Narvaez利用SIM卡交换技术劫持交换了多位手机用户的手机号码,并以此访问受害者的数字加密币账号和社交信息,盗取了大量的比特币及其他种类数字加密货币。
SIM卡交换是指将被攻击目标的电话号码转移到了攻击者所持有的SIM卡上。一旦黑客收到电话号码,他们就可以用来重置受害者的密码并侵入他们的账户,这其中就包括了加密货币交易所的账户。许多在线服务都是用手机号码验证身份,也为黑客开启了后门。
据报道他用获得的非法收入购买了各种奢侈物品,包括20万美元的迈凯伦跑车。损失最多的受害人报道被窃取了等值15万美元的数字加密货币。
来源:cnBeta.COM
3、澳大利亚禁止华为参与 5G 网络建设
澳大利亚政府禁止中国电信巨头华为为其 5G 移动网络提供设备,理由是存在遭受外国干预的风险。澳大利亚的立场与美国相似。美国也以国家安全担忧为由限制或禁止使用华为的电信设备。澳大利亚政府在声明中称,“那些可能受制于外国政府法外指令的”供应商,将使其网络容易受到未经授权的访问或干预。声明没有指明是哪家中国公司,但一位不愿透露姓名的政府官员称,这项命令针对的是华为,旨在阻止其参与 5G 网络。华为通过推特表示此举“对消费者来说是一个极其令人失望的结果”。
来源:solidot.org
2018.8.23周四
1、Skype 支持端对端加密,但没有默认启用
2、黑客干扰美国国会选举?俄外交部:微软说法毫无证据
针对微软公司所说的“俄黑客试图干扰2018年美国国会中期选举”一事,当地时间8月21日,俄罗斯外交部发表声明称,微软公司上述说法毫无证据。日前美国微软公司发表声明称,俄罗斯黑客组织已参照美国哈德森研究所、国际共和研究所以及国会参议院官方网站建好了虚假网站,诱骗访问者点击进入,从而达到入侵访问者电脑的目的。
对于这种说法,俄外交部当天发表声明称,微软公司的说法毫无证据,明显是在最大程度地哗众取宠。
俄外交部说,对微软这样在俄经营多年的大型美国企业也不得不参与反俄活动而感到遗憾。
俄外交部表示,俄方一直以来提议就网络安全问题与美方举行工作组会议。会议上俄美专家可就具体问题进行讨论。“但很明显,美国同行们不想出示任何所谓俄方干涉的证据”。“他们其实也没有(证据),也无法出示”。
当天俄总统新闻秘书佩斯科夫也表示,微软方面的说法“没有任何一点可被证实”。
自特朗普当选美国总统以来,美国会以及独立检察官一直就“俄黑客影响美国大选”等事件进行调查,目前已有多家俄公司和数名俄黑客被起诉。
2018年11月,美国国会将迎来中期选举。美国有政客呼吁,应避免2016年总统大选事件重演。对于相关调查和类似呼吁,俄方多次表示,所谓的“俄干涉美大选”根本不存在。
来源:cnBeta.COM
3、腾讯如何审查微信图像
2018.8.22周三
美国范德堡的大学的一位计算机科学家本周二发布报告,对谷歌的数据收集行为展开了分析。这份报告显示,谷歌会利用搜索引擎、网络浏览器、移动操作系统、Gmail、YouTube和Nest等产品和平台收集数十亿人的数据。
虽然这份报告并未包含轰动性消息,但却可可以帮助我们大致了解谷歌为了尽可能获得用户信息所采取的各种措施。这份报告正值外界对科技公司的数据保护措施愈发担忧之际,人们希望了解这些企业的究竟收集了多少信息,如何利用这些信息以及如何确保数据安全。但由于Facebook最近成为众矢之的,所以谷歌受到的关注大幅减少。
“在剑桥分析丑闻曝光后,人们显然都很关注Facebook。” Digital Content Next CEO詹森·金特(Jason Kint)说,“这份报告展开了量化分析,而且建立了一条基线,让人们了解谷歌所作的一切。”Digital Content Next是一家贸易组织,他们代表包括CNN在内的许多媒体内容发布商。这份报告就由Digital Content Next负责发布。
但谷歌发言人回应称:“该报告由专业的华盛顿游说团体委托制作,撰写报告的人是甲骨文与谷歌打官司时的证人。所以,这就难怪其中会包含很多误导信息了。”
该报告称,谷歌收集的信息远多于Facebook,而且该公司还是全球最大的数字广告公司。从Android到谷歌搜索,再到Chrome和Google Pay,其庞大的服务组合创造了一个数据水龙头。
道格拉斯·施密特(Douglas Schmidt)教授和他的团队在Android手机向谷歌服务器发送数据的过程中对其进行拦截。他们还对谷歌通过其My Activity和Google Takeout工具提供给用户的信息进行了分析,并参考了谷歌的隐私政策以及之前针对这类问题展开的研究。
这些研究人员表示,你在网上的一举一动几乎都会被收集和整理,从音乐品味、上班路径和新闻偏好,到日程安排、网页访问和购买记录都包含在内。
该报告称:“总之,谷歌可以非常精确地判断用户的兴趣。”
即使在你不使用手机的时候,谷歌仍然可以收集你的数据。这项研究表示,当Android手机处于休眠状态时,如果Chrome浏览器在后台运行,便可在24小时内向谷歌服务器发送340次地理位置。该研究称,在经过一天“典型的”上网活动之后,Android设备向谷歌服务器传送的数据达到11.6MB。
这些数据包含了用户使用谷歌搜索和谷歌地图查询信息时提供的内容。但在此次研究中,谷歌有三分之二的数据是在用户没有输入任何信息的情况下收集的。Android操作系统、Chrome浏览器、谷歌搜索、谷歌地图、Google Analytics网站工具和AdWords广告系统,都会在用户不知道或无法控制的情况下,通过网络搜索、地图请求以及其他活动收集信息。
谷歌曾经表示,该公司使用其中的大量数据来改进产品。例如,这些信息可以帮助其提高搜索结果的相关性。但他们也会使用很多信息来提升广告效果,这在今年第二季度为其贡献了大约86%的营收。谷歌越是了解用户的兴趣,就越能提升广告的精准度。
多数人早已明白:免费使用谷歌的产品就意味着要提供自己的数据。所以该报告并没有阐述加强隐私保护的有效方法。
谷歌自己的设置也未必能阻止这种数据搜集活动。美联社最近的调查显示,即便是在用户关闭了位置历史选项后,该公司仍然会记录定位数据。
研究人员表示,从Android转用iOS之后,便可尽可能减少数据收集数量。他们认为,除非使用谷歌产品或者访问使用谷歌追踪工具的网站,否则iOS设备通常不会把定位数据发送给谷歌。但研究人员并未与iPhone发送给苹果服务器的数据进行对比。
不过,即便是在iPhone上,使用Safari并删除所有的谷歌应用之后,用户仍然会通过广告和网站工具与谷歌分享信息。谷歌还拥热门的营销和在线广告服务。
“几乎不可能在不让谷歌收集你的数据的情况下,在数字世界里从事任何事情。”金特说。
来源:网易科技
2、Google 开始向 Gmail 移动用户推送“保密模式”
3、美国22个州联名诉FCC 要求恢复"网络中立"规则
当地时间周一晚些时候,一个由22名州检察长和哥伦比亚特区组成的小组,要求美国一家上诉法院恢复奥巴马政府2015年出台的具有里程碑意义的网络中立规则(Net neutrality)。美国联邦通信委员会(FCC)去年12月投票表决,废除了关于禁止互联网服务提供商阻塞、限制流量或提供付费快车道(也称付费优先次序)的规定。
FCC表决通过的新规定于6月初生效,新规定授予互联网服务提供商广泛的新权力,改变了美国人使用互联网的方式。
各州认为,FCC的新规定会伤害消费者。这些州还表示,FCC没有任何“有效权威”来越过州及其保护网络中立性的地方法律。截止目前为止,有六个州的州长签署了关于网络中立的行政命令,三个州颁布了网络中立法律。
资料:
网络中立性,亦称为互联网中立性(Internet neutrality),要求互联网服务供应商及政府应平等处理所有互联网上的数据,不差别对待或依不同用户、内容、网站、平台、应用、接取设备类型或通信模式而差别收费。
来源:新浪科技
2018.8.21 周二
1、Intel新至强Cascade Lake架构细节公布:硬件底层仍存漏洞
从图中可知,基于侧信道的推测执行攻击主要有五种形态,包括熔断/幽灵(含变体)以及L1TF(一级缓存终端故障),即便是尚未发布的Cascade Lake处理器(新至强),也仅仅在V3(幽灵)和V5(L1TF)上实现了硬件免疫,V1/V2/V4仍需要操作系统/虚拟机管理器、固件(主板BIOS)等升级来防御。
因此,Intel所谓的性能拉回正轨的还存在变数。
Cascade Lake其它特性:
当然,Cascade Lake会支持一种新扩展指令集AVX512_VNNI用于加速深度计算和AI相关负载。另外,Cascade Lake将率先支持Optane非易失DIMM内存条,单通道(128G LRDIMM+512GB Optane),也就是单路处理器平台最大3840GB。
根据Intel Business官推,傲腾非易失性DIMM内存条(128GB/256GB/512GB)已经在8月份开始出货了。
2、史上最大数据泄露案告破 上市公司竟窃取30亿用户信息
8月20日,浙江绍兴越城警方侦破史上最大规模30亿条用户数据窃取案。该犯罪团伙通过与全国多家运营商签订营销广告系统服务合同,非法从运营商流量池中获取用户数据,进而操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、加群、非法获利。
截至目前,该团伙中6名犯罪嫌疑人被抓获,案件主犯邢某闻风潜逃,案件正在进一步的侦查中。
据了解,今年6月下旬,越城区公安分局网警大队先后接到市民李某、董某、等人报案,声称在不知情的情况下,自己的微博、QQ等社交账户添加了陌生好友、关注,手机经常莫名其妙收到各种垃圾广告、短信,他们怀疑自己的个人信息已被泄露。
浙江绍兴越城区公安分局网警大队大队长张野平向记者透露:“通过调查我们发现,8个IP地址在4月17日多次异常访问报案人李某的账号,而这8个IP地址隶属的IP段,还先后访问了超过5000人的账户。”
随后,在阿里安全归零实验室提供的技术协助下,警方锁定该IP段背后,是北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)为核心的多家公司在操控,且多家公司实际控制人和作案团伙均系同一拨人。
经警方调查,从2014年开始,瑞智华胜等公司就以竞标的方式,先后与覆盖全国十余省市的电信、移动、联通、广电等多家运营商签订营销广告系统服务合同,为其提供精准广告投放系统的开发、维护,进而拿到了运营商服务器的远程登录权限。
由于软件开发业务的收入并不多,却能接触到运营商流量,让犯罪团伙萌生了更赚钱的方式——清洗cookie(账号的登录凭证),操纵用户账户。通过cookie不需要输入账号和密码,就可以进入账号,从中获取注册信息、搜索记录、开房记录等数据,也可以用用户的账户执行加关注、刷量等操作。
拿到用户数据后,瑞智华胜就开始通过加粉等所谓的“互联网营销和推广”进行盈利。根据瑞智华胜的财报数据显示,2015年做软件开发服务时,其营收仅187万元、净利润2万元;转型做互联网营销之后的2016年,公司营收3028万元,净利润达1053万元。
值得注意的是,此次案件中阿里巴巴安全部通过技术协助警方锁定了IP背后的实际作案团伙。“用户数据保护已成为国内各家互联网公司的首要任务,以阿里为代表的互联网公司都有一套完整的数据安全系统,对用户数据安全开展多项防控措施,”阿里安全高级运营专家皓剑向21世纪经济报道记者表示,阿里安全将用技术协助各界解决黑灰产这一社会问题。
来源:21世纪经济报道
3、美国科技巨头大力游说 印度数据本地化方案遇阻
尽管保护用户数据在全球范围内日益受到关注,但印度的举措可能会受到企业在印度市场上的投资计划的影响。
科技高管和贸易组织已经商量向印度总理莫迪政府提出他们的担忧。另外,根据两名知情人士透露,行业还打算在即将于9月份在新德里召开的美印会谈上将此问题引申为贸易问题。
虽然最终决定尚未出台,但协商恰逢美国和印度陷入美国关税增加的纠纷以及印度限制医疗器械价格的政策之际,后者给美国的制药企业带来不少损失。
“这个问题十分重要,足以放到美国与印度两国的贸易层面进行讨论,”互联网公司Mozilla公司的全球公共政策顾问安巴·卡克(Amba Kak)说,“数据本地化不仅关乎商业,也可以使得政府监控变得更加容易,这才是更令人担心的地方。”
更严格的本地化规范将帮助印度政府在进行调查时更加容易地获得数据,但批评者认为这也可能会导致政府对数据访问的需求增加。
科技公司担心,这种强制措施可能会意味着建立新的本地数据中心,从而导致成本上升,进而损害投资计划。
购物和社交网络等数字平台在印度的广泛使用使得这里越来越成为科技公司竞相追逐的利润丰厚的市场,但是越来越多的数据泄露事件则促使新德里决心制定更加强有力的数据保护规则。
莫迪经济咨询委员会成员Shamika Ravi表示,数据本地化是一个全球趋势,印度也不例外。
广泛会议
上个月,主要的数据隐私政府委员会提出一项法律草案,建议对数据流加以限制并提出所有“重要的个人数据”均应仅在国内进行处理。至于重要的个人数据如何定义,仍需政府来决定。
对此,全球企业正团结起来试图阻止这项措施。
五名消息人士称,上周,在美国印度战略合作论坛的游说组织召开的会议上,来自Facebook、万事达卡、Visa、美国运通、PayPay、亚马逊、微软等高管讨论了接触印度立法者的方案,这些目标人员包括印度针对信息技术和金融成立的议会小组。
另外,消息人士称,行业还讨论了通过接触媒体与互联网组织来解释数据本地化对印度蓬勃发展的IT、电商和支付领域的不利因素的可能性。
美国印度游说组织称,“在不受到牵连的情况下,在这样一个全球数据环境下”实施“如此针对行业的监管几乎是不可能的”。该组织并未对近来的会议发表评论,但称将继续推动政策讨论。
美国商务部的游说组织——美国印度商务委员会——已经邀请Covington & Burling律师事务所来就印度的数据保护法提供建议。
路透社获得的该公司长达43页的建议草案显示,其中移除数据本地化要求被列为首要任务,并将新德里的提议称为“保护主义方法”。
美国印度商务委员会并未评论其将如何就Covington & Burling律师事务所给出的建议采取行动。后者亦拒绝予以置评。
该游说组织的主席尼莎·比斯瓦尔(Nisha Biswal)则表示,印度的隐私法草案“十分重要”,组织将直接向政府传达其顾虑。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!