首页
社区
课程
招聘
[分享][2019.5.31] 黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器 | 5月安全资讯
发表于: 2019-5-5 10:00 19405

[分享][2019.5.31] 黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器 | 5月安全资讯

2019-5-5 10:00
19405

2019/5/31 周五


1、黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器


Guardicore Labs 的安全研究人员发布了一份报告,该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动,代号“Nansh0u”,且这一攻击源头是中国黑客。报告称,包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击,一旦受到攻击,目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。


这并非典型的加密攻击,它使用 APT (Advanced Persistent Threat,高级持续性威胁,本质是针对性攻击)中经常出现的技术,例如假证书和特权升级漏洞。

该攻击活动于 4 月初被首次发现,但可以追溯至 2 月 26 日,每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载,这期间每周至少会有一个新的恶意负载被创建,受感染的计算机数量在一个月内就已翻倍。



在使用管理权限成功登录身份验证后,攻击者在受感染系统上执行一系列 MS-SQL 命令,以从远程文件服务器下载恶意负载,并以 SYSTEM 权限运行它。

在后台,有效负载利用已知的权限提升漏洞(CVE-2014-4113)来获取受感染系统的 SYSTEM 权限。


然后,有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。



研究人员还发布了一份完整的 IoC(危害指标)列表和一个免费的基于 PowerShell 的脚本,Windows 管理员可以使用它来检查他们的系统是否被感染。

由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合,因此,强烈建议管理员为账户设置一个复杂密码。

调查报告完整版:https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/


来源:开源中国



2、一份报告指出高达86%的加密货币交易量可能是伪造的


上周五,Bitwise发布了一份长达104页的白皮书,该白皮书对加密货币交易中的假交易量进行了调查,发现加密货币交易量中约95%是伪造的或非经济性质的。Bitwise使用screen scrapers从80多个交易所收集几个月的实时交易数据。通过Bitwise测试的唯一10个交易所是binance、bitfinex、coinbase、kraken、bitstamp、bitfiler、gemini、itbit、bittrex和poloniex。

它将网站访问次数与交易所交易量进行比较,以识别参与伪造交易量的嫌疑人,相对于网站访问量而言,交易数字不成比例地高。到目前为止每个网访问量最高的交易所,可能会进行大量交易伪造,包括Conineal,Fatbtc,BW,BitMax,LBank,DOBI Exchange,Bit-Z,DigiFinex,Idcm,DragonEX,ZB,CoinTiger, IDAX,Bibox,CoinBene,BitForex,Bithumb,Negocie Coins,Liquid和OKEx。另一方面,Indodax,BX Thailand,Luno,CEX.IO,Zaif和KuCoin似乎没有伪造任何交易量。

过去六个月,报告的总交易额为1.96万亿美元,其中只有2725亿美元似乎是非伪造的真实交易额。大约86%的交易额量看起来是伪造的,其中65%的交易量来自于Binance和Bitfinex,这两个交易所实际上都没有监管监督。

尽管如此,Bitwise的研究忽略了成百上千交易所的真实交易量,他们认为这些交易量大部分是伪造的。资产管理人估计,如果将HitBTC,Huobi和OKEx的实际交易量近似计算在内,交易量将增加12%。Bitwise表示,虽然参与伪造交易量交易所的实际交易量是不可忽视的,但该公司并不认为它会实质性地改变该白皮书的结论。


来源:网易科技


3、Docker 漏洞允许攻击者获得主机 root 访问权限


目前所有版本的 Docker 都存在一个漏洞,允许攻击者获得对主机服务器任何路径的读写访问权限。漏洞是一个竞争条件的结果,已经有修复补丁但还没有整合。bug 是软件处理某些符号链接 (symbolic links)的方式导致的。研究员 Aleksa Sarai 发现,在某些情况下,攻击者可在路径解析时间和操作时间之间的短时窗内将自己的符号链接插入到路径中。它是 time of check to time of use (TOCTOU) 的竞争条件问题的一个变种。


来源:solidot.org



2019/5/29  星期三


1、易到用车回应遭黑客攻击:恢复还需时间 提现将暂停


就易到平台遭到网络黑客攻击事件,易到用车27日在官方微博发布声明称,已经发动公司全部技术力量,并获得了包括360公司在内的第三方网络安全防护专家的技术支持,一方面争取数据恢复,一方面架设新服务器,争取在最短时间里恢复服务。


目前已经取得了一定成果,但由于黑客造成的破坏巨大,要完全恢复正常,还需要时间。


易到用车严厉谴责这种不法行为,并已向警方报警,北京网安已经开始侦破工作。由于黑客的犯罪行为导致易到各项服务无法正常运转,正在进行中的提现安排将暂停并顺延至服务及数据恢复后继续开展。公司会根据解决此次事件的时长,为车主和用户制定补偿方案。


以下为易到用车声明全文:


各位关心易到的朋友们:


5月25日-26日,易到平台遭到网络黑客攻击,引发了各方关注,现将相关情况与安排通报如下:


2019年5月25日夜间至26日凌晨,易到用车服务器遭到连续攻击,核心服务器被入侵,攻击导致易到核心数据被加密,服务器宕机,绝大部分服务功能受到波及,给用户使用带来严重的影响。攻击者以删除数据、曝光司乘隐私信息向易到勒索巨额比特币。


我司已经发动公司全部技术力量,并获得了包括360公司在内的第三方网络安全防护专家的技术支持,一方面争取数据恢复,一方面架设新服务器,争取在最短时间里恢复服务。目前已经取得了一定成果,但由于黑客造成的破坏巨大,要完全恢复正常,还需要时间。在此诚挚地恳请广大易到车主和用户予以理解和体谅,再耐心等待一段时间,在服务恢复后,我们会第一时间通知大家。


黑客的行为已经严重触犯了我国刑法,涉嫌罪名包括:非法入侵计算机系统罪、破坏计算机信息系统罪、敲诈勒索罪。我司严厉谴责这种不法行为,并已向警方报警,北京网安已经开始对本案的侦破工作。奉劝实施黑客行为的犯罪分子,及早认识到自身行为的严重性,尽快向警方自首,争取宽大处理!


由于黑客的犯罪行为导致易到各项服务无法正常运转,正在进行中的提现安排将暂停并顺延至服务及数据恢复后继续开展。易到团队会根据解决此次事件的时长,为广大车主和用户制定补偿方案。


给大家带来的不便,我们再次表示诚挚的歉意!



来源:新浪科技 


2、GDPR实施一周年:爱尔兰数据监管机构对Facebook展开了最多的调查


根据国际隐私专家协会(IAPP)给出的简单统计数据,除了开出 5600 万欧的罚单,欧盟还在过去一年增设了 50 万名数据保护官员、数据保护机构接收了 20 万+ 的案件、涉及 9.4 万多名申诉人、并且发出了 6.4 万+ 的数据泄露通知。不过英国广播公司(BBC)报道称,社交网络巨头 Facebook,遭到了来自爱尔兰数据监管机构的最多调查。

(截图来自:Facebook 官网)


据悉,自欧盟《通用数据保护条例》(GDPR)实施一年以来,Facebook 及其子公司(包括 Instagram 和 WhatsApp),一直受到爱尔兰数据监管机构的重点调查。


目前爱尔兰数据保护委员会已经启动 19 项法定调查,其中 11 项重点关注着 Facebook、WhatsApp 和 Instagram 。


除了 Facebook,其它社交网络平台也未能独善其身,比如 Twitter 和 LinkedIn 。此外上周,爱尔兰数据监管机构对谷歌使用个人数据来投放针对性广告的行为展开了调查。


此前,法国数据监管机构 CNIL 因‘缺乏透明度、信息不完善、个性化广告未取得用户的有效认可’等原因,向谷歌开出了 5000 万欧元的罚单。


尽管谷歌已就此事提起了上诉,但后续不见得有大翻盘的可能。


此外,大多数美国大型科技企业,都在爱尔兰注册过处理个人数据的业务,包括 Facebook、谷歌、微软、Twitter、苹果、LinkedIn、Airbnb、以及 Dropbox 。


正因如此,爱尔兰数据监管机构 DPC(数据保护委员会)也遵从着欧盟的通用数据保护条例(GDPR),担负起了对上述企业展开调查的责任。


DPC 的九项调查,是在接到个人或企业的投诉后启动的,另有 10 项调查是由该机构自行发起的。最常见的问题,涉及企业对个人数据的收集和处理、缺乏透明度、以及人们访问数的权利。


DPC 通讯负责人 Graham Doyle 表示,自 GDPR 生效以来,个人对于其数据权利的认知,已经有了很大的提升。


同时这也造成了投诉量的急剧增加,从 2017 年的 2500 件、到现在 6500 件。原先才 27 人的办公室,也不得不扩充到了 130 人,预计明年会增加到 200 人以上。


Facebook 发言人称:该公司在 GDPR 合规性上花费了 18 个月的时间。新政策下,隐私设置可以轻松找到、文字描述变得更加清晰易懂、并为人们提供了访问、下载和删除信息的实用工具。


这家社交网络巨头表示其与爱尔兰数据保护办公室(DPC)保持着密切的联系,以确保可以回答该机构提出的任何问题。


Graham Doyle 预计,爱尔兰的数据保护专员 Helen Dixon 有望在 7~8 月作出对某些案件的裁定,并在年底前公布最终的结果。


【背景资料】《通用数据保护条例》(GDPR)让大家知晓了企业是如何收集、使用和存储他们的个人数据的,并赋予了欧盟用户更多的知情权和控制权。


此外,企业有责任保护用户的数据安全。如发生泄露或未经授权的分享,企业必须在 72 小时内通知国家数据监管机构。在 Facebook 发生了剑桥分析数据收集丑闻后,这一点显得尤为重要。


来源:cnBeta.COM



3、电影公司起诉 YTS 等盗版网站的运营者


多家电影公司试图通过起诉关闭流行的 BT 下载网站 YTS.am 和 yifymovies.is。YTS.am 是目前访问量最高的盗版网站,超过了海盗湾。在原 BT 下载站 YTS 在 2015 年关闭之后,YTS.am 非正常的接手了 YTS 的品牌,它是多家尝试复活 YTS 和 YIFY 品牌的网站之一。


它的流行也让它成为版权持有者的目标,电影公司向夏威夷法院起诉 YIFYMovies.is 和 YTS.am 的运营者,指控其诱导大规模版权侵犯。除了要求赔偿外,电影公司还试图杀死 YIFYMovies.is、YTS.ag 和 YTS.am 的域名。


来源:solidot.org

2019/5/28  星期二


1、旧版高通Wi-Fi驱动会导致Windows 10 2019年五月更新无法联网


微软最近承认了另一个有关Windows 10 May 2019更新的问题,但幸运的是,用户实际上可以很容易地解决它。具体表现在Windows 10 2019年5月更新或版本1903会因为旧的高通驱动程序而遭遇Wi-Fi连接丢失。微软没有提供问题驱动程序的详细信息,但表示已经解决问题并提供更新后的驱动程序,建议用户尽快获取它。


“由于过时的Qualcomm驱动程序,一些较旧的计算机可能会失去Wi-Fi连接。应该可以从您的设备制造商(OEM)获得更新的Wi-Fi驱动程序。“微软解释道。


“为了保护您的升级体验,我们已经禁止在设备上使用此Qualcomm驱动程序的用户升级到Windows 10版本1903,直到安装了更新的驱动程序。“

虽然用户可以选择使用Media Creation Tool手动安装May更新,但微软建议不要使用此方法,除非部署了新的驱动程序。



来源:cnBeta.COM 


2、Android Q设备重启不断:谷歌证实将尽快修复


如果你升级到Android Q第三个测试版的话,那么最近是不是被设备不断重启搞崩溃了,事实上也确实如此,因为有很多用户都遇到了类似的情况,大家吐槽谷歌的声音越来越大。不少用户发现,自己设备升级至Android Q Beta 3之后,设备市场会发生重启,而且重启的状态没有任何预警,让人猝不及防。



从一些开发者分析的结果看,上述情况是Project Mainline所导致的。Project Mainline是Android Q Beta 3中主推的更新,谷歌的目标是,尽可能快速、一致、轻松地为用户的手机提供安全更新。


由于用户吐槽的声音越来越多,谷歌方面回应称,确实发现了运行Project Mainline后出现了强制重启设备的情况,不过表示这些问题会在Android Q Beta测试版本中修复,不会出现在正式版本中。


在Project Mainline中,一共包含了14个Mainline组件,涉及安全、隐私、一致性三个方面,而且在全新的模块组件升级机制下,你可以更加便利的升级,比如通过Play应用商城来下载和安装更新。


来源:快科技 


3、人民日报追踪浏览器主页劫持:我的主页我做主


连日来,本报持续跟踪报道“浏览器主页劫持”现象,在网民中引发广泛共鸣。大家纷纷留言,吐露心声,揭露各种网络侵权行为,呼吁主管部门加强监管,督促相关企业严守底线,期盼进一步净化网络生态,实现“我的主页我做主”。



一名网民在专业IT技术社区CDSN网站发帖,讲述他在使用某些浏览器时,自主设置的主页都失效了,一旦打开浏览器,弹出的主页都是“毒霸网址大全”。图为这名网民发帖的截图(局部)。


自己的主页,自己不能做主


在网民留言中,很多是反映自身遭遇,吐槽遇到“浏览器主页劫持”等各种网络侵权行为时的无奈。


有的是反映浏览器被恶意捆绑后严重影响工作生活——


“2345浏览器一直恶意捆绑我的浏览器,害得我重装系统,真是无法无天。”


“驱动精灵安装后卸载不了,自己的主页自己不能做主。”


“只能打开指定网页,不管你怎么操作最终都会到指定网页。”


“这种现象早就该整顿了。电脑越来越慢,主页莫名被篡改,乱七八糟的东西一大堆,对于我们来说真是太伤脑筋了。”


有的是吐槽广告弹窗频繁弹出、软件捆绑安装——


“不少网站是虚假下载链接、下载按钮,并非真下载!”


“除了这个(浏览器主页劫持),还有捆绑安装、频繁弹窗、开机启动、信息非法收集等问题。”


“很多App广告虽然设置了‘跳过’或者‘关闭’,但范围都特别小,不明显,而且操作特别不顺手。”


尊重用户知情权选择权,优化产品、改善服务质量


不少网民在留言中认为,流量劫持行为不仅是一种骚扰行为,更是一种“抢劫”行为——


“各种弹出和骚扰电话有什么区别?”


“这些网络公司,不是靠创新挣钱,而是靠改网页抢钱。”


“网络劫持,不只是骗流量这么简单,还可能收集个人偏好甚至个人信息。最坏的就是个人账号被窃取,太讨厌了。”


还有网民对互联网公司和行业提出了期盼,希望互联网企业能够守住商业底线,要在优化产品、改善服务质量上下真功夫——


“要换主页,也要让用户明确知情,有自主选择权。不能不选就不停地骚扰让你选。”


“守住商业底线,净化营造网上健康环境!”


“尊重用户的知情权、选择权。给行业和企业提个醒,确实要在优化产品、改善服务质量上下真功夫。”


“消费者越来越理智,哪怕你公司做得再大,不守住底线,终究会加速自己的消亡。”


“希望广大企业以客户至上、服务第一的原则奋发图强。相信网民必将支持国产,你们也将迅速壮大,不再依靠其他方式获取流量!”


监管要落实到位,提高法律保障能力


针对如何整治、管理,网民在留言中着重强调自律作用有限,需要有关部门落实监管,让违法者付出更大的代价——


“该加强网络管理了,不应该让网络成为法外之地。”


“应该抓住几个问题突出的浏览器狠狠惩治!”


“网络安全还有很多不完善的地方,被人钻空子、打擦边球。希望有关部门行动起来,使之更规范、更健全!”


“自律作用有限,加大查处和处罚力度才是正解。”


“国家要加大打击力度,让那些违法者付出更大的代价。”


“只求监管一定要落实到位,加大惩罚力度,真正起到杀鸡儆猴的效果。”


“早该整治了,希望监管不是一阵风。”


还有网民指出,应该从立法上下功夫,提高法律保障能力,这样才能治本——


“应该出台法律法规,明令禁止浏览器弹窗行为。”


“捆绑浏览器、篡改网址等是突破底线的行为,国家要尽快立法,约束突破底线的企业。”


“网络安全是大事,必须完善法律法规,提高法律保障能力。”


“不光是一个小小浏览器,解决大多数问题都不能单单靠行业自律和外部指导性规定,需要完善立法,明确监管责任,加大违法惩治力度,才能治标又治本。”

(为保护网民权益,隐去网民姓名或网名)


来源:人民日报



2019/5/27  星期一


1、身中21世纪六大病毒 这台笔记本拍卖价约合829.5万元


那些伟大的艺术品要么是大师苦心孤诣打造的精品,要么具备复杂且深厚的人文历史,但今天要给大家介绍一个非常另类的艺术品--装备21世纪6大恶意程序(已经在全球范围内造成了950亿美元的损失)的笔记本,目前拍卖价格为1200749美元(约合829.5万元人民币),而且这个拍卖价格还在不断上升。

这台装备6大恶意程序的笔记本/艺术品出自郭偶东之手,是他和美国纽约网络保护公司Deep Instinct合作推出的,同时也是“The Persistence of Chaos”活动的一部分。在美国地区,如果是以破坏为目的出售恶意软件属于违法行为,因此在拍卖介绍中明确表示这台中毒的笔记本电脑的买主不能连接到互联网上,仅以“艺术品/学术理由”购买。

这台电脑是三星NC10-14GB 10.2吋的蓝色笔记本电脑,因为操作系统为 Windows XP,当时意外感染了6种21世纪以来最强大的病毒,分别为2000年的 ILOVEYOU电脑蠕虫、2003年一种邮件蠕虫与木马的结合 Sobig、2004年传播速度最快的蠕虫 Mydoom、2007年垃圾邮件变种病毒 BlackEnergy、2013年专门窃取金融凭证、公司数据的 DarkTequila以及2017年勒索比特币的软件 WannaCry等。但也因为病毒性能太强,整台电脑还被隔离在特殊空间运行,并且切断网络连线以防扩散,所以只能透过直播来看这台电脑运作,让人相当震撼。

这其中内含的6大恶意程序包括:


1. WannaCry:2017年5月时出现,这款勒索软件在全球发动攻击,只要电脑中标就无法作任何挽救,必须支付“赎金”比特币,电脑的档案才能被解密,否则就只能放弃所有档案重灌。


2. BlackEnergy:自2007年以来一直在流传网络上,主要利用机器人来寄送垃圾电子邮件,进行大量的DDoS攻击,在后期演变出不同的变种病毒,通常会躲藏在应用程式的数据文件中,如 PowerPoint 或 Excel,甚至在2015年12月造成乌克兰大规模停电。


3. ILOVEYOU:首次出现在2000年5月,是一种电脑蠕虫病毒,通过联系人列表,向每个人都发送一封主旨为“ILOVEYOU”的电子邮件,并在附件中夹带“LOVE-LETTER-FOR-YOU.txt.vbs”的档案。只要有用户打开附件,随即将重复再传给该名用户的所有连络人,虽然病毒本身并没有太大的杀伤力,只会感染电脑内的影音文件档,但因为散播快速,短时间内上千万的邮件瘫痪服务器,在一周内就造成全球55亿美金的损失。


4. Mydoom:从2004年1月时开始,是有史以来传播速度最快的电子邮件蠕虫,甚至比ILOVEYOU透过独特的判断系统在USB之间进行感染还要快。它主要通过受感染的电脑发送垃圾邮件,同样触发许多服务器瘫痪。


5. Sobig:一种蠕虫和木马的结合体,最初于2003年8月通过电子邮件中出现,除了如同蠕虫病毒攻击服务器外,还有可能会损坏使用者个人的电脑硬件与软件。但它于2003年9月10日自行停止运作,直到2018年它仍然是世界第二快传播的蠕虫病毒,肇事者也还未被抓获。


6. DarkTequila:自2013年以来一直存在至今,主要影响范围在拉丁美洲的,它可以从电脑中窃取银行金融凭证、公司数据和个人资料,并透过独特的判断系统在 USB 之间交互感染,因此它只能活动在真正的电脑上,而不是隔离的分析环境中。


来源:cnBeta.COM 

2、易到用车服务器遭连续攻击:攻击者索要巨额比特币


5月26日,据易到用车官微消息,2019年5月26日凌晨,易到用车服务器遭到连续攻击,因此给用户使用带来严重的影响。据悉,攻击者索要巨额的比特币相要挟,攻击导致易到核心数据被加密,服务器宕机。我们的相关技术人员正在努力抢修。


易到表示,我们严厉谴责这种不法行为,并已向北京网警中心报案,并保留一切法律途径追究攻击者责任的权利。运营团队会根据解决此次事件的时长制定补偿方案,希望广大用户能够理解和保持耐心等待。


5月22日,针对用户余额减少甚至变成0的状况。易到用车发布《易到用车乘客端账户系统故障说明》表示,在紧急调试全新模式的用户充返活动时,技术工作发生了故障与失误,导致部分用户的账户余额受到影响。


易到表示“已及时的进行了系统修复,此次受影响的用户账户将在7个工作日内陆续恢复。”


来源:快科技 


3、macOS被爆安全漏洞:可轻松绕过门禁功能安装恶意程序


在向苹果反馈三个月之后,一位安全专家详细披露了如何绕过Gatekeeper(门禁),欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示,macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞,现在决定公开披露。



Cavallarin在个人博客上表示:“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后,我公开了这些信息。”



Gatekeeper设计目标根本不是为了防止这种漏洞,而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用,审查通过后予以接受并添加签名,确保应用未经篡改或改动。如果某个应用存在问题,Apple 会迅速从商店中下架。


但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示:“根据设计规范,Gatekeeper将外部磁盘和网络共享视为安全位置,而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择,在下次打开的时候Gatekeeper就不会继续检查它。


Cavallarin继续说道:“Zip档案可以包含指向任意位置的符号链接(包括automount enpoints),并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说,用户可以“轻易”欺骗安装网络共享驱动器,然后该文件夹中的任何内容都可以通过Gatekeeper。


在向苹果反馈三个月之后,一位安全专家详细披露了如何绕过Gatekeeper(门禁),欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示,macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞,现在决定公开披露。



Cavallarin在个人博客上表示:“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后,我公开了这些信息。”



Gatekeeper设计目标根本不是为了防止这种漏洞,而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用,审查通过后予以接受并添加签名,确保应用未经篡改或改动。如果某个应用存在问题,Apple 会迅速从商店中下架。


但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示:“根据设计规范,Gatekeeper将外部磁盘和网络共享视为安全位置,而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择,在下次打开的时候Gatekeeper就不会继续检查它。


Cavallarin继续说道:“Zip档案可以包含指向任意位置的符号链接(包括automount enpoints),并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说,用户可以“轻易”欺骗安装网络共享驱动器,然后该文件夹中的任何内容都可以通过Gatekeeper。


来源:cnBeta.COM



2019/5/26  星期日


 1、传Facebook明年推出GlobalCoin加密货币


据BBC新闻报道,Facebook计划在明年第一季度推出加密货币。该公司预计将在2019年晚些时候开始测试之前披露更多有关该货币的详细信息。据报道,该货币在内部被称为“GlobalCoin”,将在十几个国家/地区推出。它无需银行账户即可为人们提供价格合理且安全的付款方式。


该货币在推出之前需要克服众多技术和监管障碍。据英国广播公司新闻报道,上个月,Facebook首席执行官马克·扎克伯格会见了英国央行行长马克·卡尼,讨论了Facebook计划中的数字货币机遇和风险。然而,Facebook在印度可能会遭遇阻碍,印度对加密货币采取敌对态度。据报道,印度市场是Facebook加密货币的重点,Facebook希望通过WhatsApp将印度海外工人的钱汇回国内。


该公司一直在与美国财政部以及西联汇款等转账公司进行谈判,以讨论与加密货币相关的运营和监管问题。外界去年5月首次听说Facebook的加密货币野心,据报道,曾担任Coinbase董事会成员并于2012年至2014年间担任PayPal总裁的David Marcus领导该公司新的区块链部门。


据报道,Facebook的加密货币可能被设计为“稳定币”,其价值与美元挂钩,以尽量减少波动。然而,即使没有与大多数加密货币相关的波动性,Facebook仍然需要做很多工作才能让用户信任GlobalCoin这种加密货币。



来源:cnBeta.COM 


2、美国建设民用紧急通讯系统 使用黑色SIM卡


美国官方9/11报告的一个关键结论是,当时紧急通讯系统一团糟。外界可能认为美国很久以前就解决了紧急通讯系统问题,但直到现在美国才有一个新的移动网络FirstNet专门用于紧急通讯,它将蜂窝网络用作关键任务的基础设施。


FirstNet是一个移动网络,使用Band 14,这是从2009年开始的美国向数字电视过渡期间从UHF电视广播中回收的700 MHz频谱片段。FirstNet的Band 14频谱位于700 MHz无线电波的中间和高频范围内。在2017年美国官方寻求将该频谱转变为紧急通讯网络的投标中,AT&T赢得了25年的合同,美国所有50个州,华盛顿特区和美国五个主要海外领都签署了文件支持FirstNet。


美国国会为这个项目注入了65亿美元,以帮助支付支持Band 14的无线电设备和网络核心设备。AT&T估计FirstNet将在2019年完成一半。FirstNet不仅用于紧急通讯,在轻度紧急情况下使用时,常规移动流量也可以通过FirstNet的Band 14路由,但是紧急情况的呼叫和数据优先于其他任何情况,包括能够在紧急情况使用高峰期间,抢占或阻止消费者流量。


FirstNet还能够抵御破坏移动网络的灾难性事件。一支由70辆轻型卡车组成的车队,在全国范围内快速部署,从卫星资源中提取互联网接入,并将其转换为地面4G LTE。在即使是卡车无法进入的情况下,也可以使用三台FirstNet无人机来做同样的事情。所有这一切的核心是几乎神话般的黑色SIM卡,它允许设备进入FirstNet。该SIM卡可在专为紧急响应者设计的专用手机当中使用,或在兼容Band 14 700 MHz的新型iPhone和Galaxy手机当中使用。



来源:cnBeta.COM 


3、Chrome等移动浏览器曾有1年多空窗期 没有警告钓鱼网站


根据本周发布的研究报告,在过去一年多时间里包括Google Chrome、Mozilla Firefox和Safari在内的浏览器均没有及时更新钓鱼网站黑名单,无法在用户上网过程中提供妥善的保护。研究小组表示:“我们发现主流移动浏览器在保护措施方面存在巨大漏洞。令人震惊的是,移动端Chrome、Firefox和Safari尽管在安全设置中启用黑名单保护,但是无法对2017年年中至2018年末的钓鱼网站发出提醒。”


这个问题只有使用Google Safe Browsing link blacklisting技术的移动端浏览器受到影响。该研究小组由亚利桑那州立大学的学者和PayPal工作人员组成,随后他们向谷歌通报了这个问题,直到2018年年底才正式修复。

研究人员表示:“根据我们的调查,我们发现由于过渡至新的移动API(设计优化流量使用),导致移动GSB黑名单出现不一致的情况,最终不能按照预期运行。”2017年年初,名为PhishFarm的学术研究项目中发现了这一重大安全漏洞。


在调查期间,研究人员创建并部署了2,380个模仿PayPal登录页面的网络钓鱼页面。研究人员没有测量他们的网址在网址黑名单上的速度,而是使用使用“隐藏技术”部署网络钓鱼页面,旨在欺骗URL黑名单技术,然后记录这些“隐形”网络钓鱼页面落在“危险网站”列表上所花费的时间。


为了推进PhishFarm,科研小组对 Google Safe Browsing、Microsoft SmartScreen以及其他US-CERT、Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee和ESET管理的URL黑名单进行了测试。


来源:cnBeta.COM

2019/5/25  星期六


1、女黑客SandboxEscaper又曝光4个Windows 10零日漏洞


两天前名为SandboxEscaper的安全研究人员发布了一些针对Windows 10系统的零日漏洞,并承诺后续会公开更多Windows 10零日漏洞。昨天这名安全研究人员兑现承诺,又发布了四个零日漏洞,所幸的是其中的一个漏洞已经在本月的补丁星期二活动日中进行了修复。



根据她的博客内容,她希望将她发现的漏洞出售给那些“讨厌美国的人”,显然是FBI对她谷歌账号发出传票的报复行为。GitHub概念验证(proof-of-concepts)中包含了三个Windows本地权限提升(LPE)安全漏洞,以及一个在IE 11浏览器中的沙盒逃脱漏洞。不过其中一个LPE漏洞已经在本月补丁星期二活动中修复。

在3款尚未修复的零日漏洞中最为严重的是编号为CVE-2019-0863漏洞,是针对Windows Error Reporting服务的LPE漏洞,在CVSS 3.0严重性评分中为7.8分(高)。


来源:cnBeta.COM 


2、调查发现一位工程师伪造SpaceX火箭所用部件的检查报告


来自纽约州北部的一名男子被指控为SpaceX的Falcon 9和Falcon Heavy火箭以及国防部雇用的其他航空航天承包商提供的部件提供虚假检查报告和测试认证。由于美国NASA总检察长、联邦调查局和空军特别调查办公室进行调查,这一不当行为被曝光。


这位名叫他叫詹姆斯·斯莫利的男子,是PMI工业公司的质量保证工程师,这是一家位于纽约罗切斯特的机械加工公司,生产各种航空航天零件。2018年1月,SpaceX指导PMI工业公司SQA服务部门进行内部审计时,发现许多用于确认零件安全性和质量的PMI检验报告和测试证书上伪造了检查员签名。具体来说,斯莫利据称复印了SQA检查员的签名,然后复制并粘贴到报告上。



根据纽约西区的美国检察官办公室的说法,Smalley被指控篡改了SpaceX的Falcon 9和Falcon Heavy火箭线中使用的关于38个关键部件的报告。调查还发现,多达76个没有通过检测,或者根本没有被检测的PMI产品被送到了SpaceX。总而言之,SpaceX承包的政府任务中有多达10个任务可能受到影响,其中包括7个NASA,2个空军和1个国家海洋和大气管理局任务。一些伪造的报告甚至影响了NASA 2018年4月发射的系外行星探测航天器TESS。


根据美国检察官办公室的说法,如果罪名成立,Smalley可能面临长达10年的监禁,并支付25万美元的罚款。


来源:cnBeta.COM 

3、Windows Defender Application Guard​扩展登陆Chrome和Firefox


对于那些注重安全的Google Chrome和Mozilla Firefox用户,微软今天带来了一个新的浏览器扩展程序--Windows Defender Application Guard。适用于两款热门浏览器的WDAG提供了和Microsoft Edge相同的硬件隔离技术,当用户访问不受信任的网站时候自动将用户重定向至隔离的Edge会话中。



该扩展程序完成安装之后,用户可以通过点击浏览器上上的扩展图标来打开Windows Defender Application Guard。公司解释道:“在隔离的浏览器会话中,用户可以自由地导航到尚未明确定义为企业信任的任何站点,在该模式下的访问不会对系统的其余部分产生任何影响。配合我们即将推出的动态切换功能,如果用户尝试在隔离会话中访问受信任的企业网站,用户将会被切换回默认浏览器。”


适用于Chrome和Firefox扩展程序需要在Windows 10 PC上对 Windows Defender Application Guard进行配置,此外IT管理员需要对网络隔离设置进行定义,以及Microsoft Store安装新的Windows Defender Application Guard配套应用程序。此应用程序是允许Chrome和Firefox用户在隔离的Microsoft Edge环境中浏览不受信任站点的必要组件。



下载: Google Chrome  |  Mozilla Firefox


来源:cnBeta.COM


2019/5/24  星期五


1、一指纹识别技术漏洞曝光:可跟踪Android和iOS设备


据美国科技媒体ZDNet报道,一项新的设备指纹识别技术可以使用出厂时设置的详细传感器校准信息,跟踪互联网上的Android和iOS设备,任何应用或网站都可以在没有特殊权限的情况下获取这些信息。这种新技术称为校准指纹识别攻击或SensorID,它通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现;也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。


(题图 via ZDNet)


根据英国剑桥大学的一个学术团队的说法,SensorID对iOS设备的影响大于对Android设备的影响。


原因是苹果喜欢在其工厂生产线上校准iPhone和iPad传感器,但却只有少数Android供应商通过这一过程来提高智能手机传感器的准确性。


研究小组在昨天发表的一份研究报告中说:“我们的方法是通过仔细分析来自传感器的数据,这无需对网站和应用程序提供任何特殊许可即可访问。”


“我们的分析推断出制造商嵌入到智能手机固件中的每个设备的工厂校准数据,他们通过这种方法来补偿系统制造失误。”研究人员说。


然后,该校准数据可以当做指纹,产生唯一标识符,广告或分析公司可以使用该标识符来跟踪用户的上网情况。


SensorID - Sensor Calibration Fingerprinting for iOS Devices(via)


https://v.youku.com/v_show/id_XNDE5Mjc2ODExNg==.html?spm=a1z3jc.11711052.0.0&isextonly=1


此外,由于校准传感器指纹在使用应用程序或网站提取时都是相同的,因此该技术还可用于跟踪用户在浏览器和第三方应用程序之间的切换,允许分析公司全面了解用户的设备使用情况。


“提取校准数据通常需要不到一秒的时间,并且不依赖于设备的位置或方向。”研究人员说,“我们还尝试在不同位置和不同温度下测量传感器数据,我们确认这些因素也不会改变SensorID。”


即使在重置出厂设置之后,传感器校准指纹也永远不会改变,从而允许跟踪实体把访问标识符作为不变的唯一IMEI码。


此外,由于无需获取特殊权限,因此用户无法察觉这种类型的跟踪。


发现这种新跟踪载体的三人研究小组表示,他们分别于2018年8月和2018年12月通知了苹果和谷歌。


苹果在今年3月发布iOS 12.2修补了这个问题。但谷歌只告诉研究人员他们会展开调查。之所以出现这种情况,很可能是因为iOS设备比Android智能手机更容易受到这种类型的跟踪。


来源:新浪科技 


2、首款数字断路器获得商用认证


世界第一款数字断路器本周获得了商用认证。这种新型断路器能让电力更容易管理,比机械断路器快 3000 倍,但也引发了安全方面的担忧,因为它可以通过互联网远程管理,而互联网从来不是安全之地,如果黑客劫持了数字断路器的网络连接控制了你家的电源勒索你支付赎金否则就没有电力?


数字断路器由 Atom Power 公司发明,公司 CEO Ryan Kennedy 在数十年的从业生涯中认识到基于模拟电路的基础设施无法实现精细的电力控制。他的公司从 2014 年开始设计使用数字断路器的基础设施,使用固态半导体和软件去管理来自分布式电源的电力。


Kennedy 说,不是用机械切换开关而是用数字输入,可以通过 iPhone 和 iPad 远程管理电力,这将可以改进安全和效率,可以实现不同电源的无缝自动切换,灯光将不会再闪烁。



来源:solidot.org 

3、伦敦地铁将于7月开始使用Wi-Fi接入点跟踪所有乘客的手机


从7月8日开始,伦敦交通局(TfL)将默认开始跟踪伦敦地铁的乘客电话。首都260个站点的Wi-Fi接入点将使用乘客手机的MAC地址跟踪乘客,这将使TfL能够看到他们从一个站点移动到另一个站点时查看他们通过的网络以及通过各个车站的路线。


由于系统依赖于手机在尝试连接时自动发送到Wi-Fi接入点的MAC地址,因此选择退出此系统的唯一方法是完全关闭手机的Wi-Fi。但是,TfL将对其收集的数据进行匿名化,MAC地址将被标记化,这意味着它们将被替换为无法追溯到智能手机或拥有它的客户的标识符。运输当局表示不会从设备收集任何浏览或历史数据。


跟踪的目的是更好地了解人们如何使用地铁网络并提供有关站点拥挤程度的实时信息。伦敦交通局已经可以使用门票来了解人们在哪些车站之间旅行,但是从今年晚些时候开始,伦敦地铁工作人员将可以访问人群数据,以便为人们提供更好的旅行建议。 TfL还计划通过其网站和社交媒体渠道发布拥挤警报。


也许更重要的是,人群数据也将通过权威机构现有的API提供,理论上允许Google Maps和Citymapper等地图公司定制他们的公共交通建议,以避免高度拥挤的地区。TfL表示,该计划还将通过实际乘客量,来利用其广告空间,如大量乘客通过某个走廊,TfL希望该数据将提供给潜在的广告客户。


来源:cnBeta.COM


2019/5/23  星期四


1、谷歌发现G Suite漏洞:部分密码明文存储长达十四年


据美国科技媒体The Verge报道,谷歌在博客文章里披露,公司最近发现一个漏洞,导致部分G Suite用户的密码以明文方式存储。博文中称,该漏洞自2005年以来就存在,但谷歌未能找到任何证据表明,任何人的密码被非法访问过。公司正在重置可能受影响的密码,并已告知各G Suite管理员。

G Suite是Gmail和谷歌其它应用的企业版本。显然,G Suite中出现的这个漏洞源于专为企业涉及的功能。一开始,公司的G Suite应用管理员可以手动设置用户密码——例如,在新员工入职前——如果管理员这样操作了,管理控制台会以明文方式存储这些密码,而非哈希加密存储,之后,谷歌便删除了这个管理员功能。


谷歌的帖子详细地解释了加密哈希的工作原理,似在为了分清楚与这一漏洞有关的细微差别。虽然密码是以明文方式存储,但它们至少是明文存储在谷歌的服务器上,因此比起存储在开放互联网上,这些明文密码还是比较难访问的。虽然谷歌并未明确说明,但谷歌似乎也在努力让人们相信,这次的漏洞与其他遭到泄露的明文密码问题不一样。


另外,谷歌并未说明具体有多少用户受到这一漏洞的影响,只是表示该漏洞影响了“我们部分的企业G Suite用户”——估计是2005年时使用G Suite的那些人。尽管谷歌也没有发现任何人恶意使用这一访问权限的证据,但我们也无法清楚地知道究竟谁访问过这些明文密码。


目前这个漏洞已经修复,同时谷歌在博文最后表达了歉意。


来源:新浪科技 

2、全世界谁最有钱?他们的信息全被泄露了


全世界谁最有钱?他们住在哪里?手机号是什么?富豪们买了什么?想必你跟我一样好奇。这些信息很值钱,这些信息也很危险。最近,富豪们要瑟瑟发抖了。5月21日据Forbes报道,位列福布斯全球2000强榜单的Hindustan Computers Limited(HCL)在多个子域上托管的可公开访问的页面和Web界面暴露了大量的员工和商业信息。


该公司拥有200多名财富500强以及600多名来自福布斯全球2000强名单的重要客户,这也为其客户企业带来机密信息泄露的重大风险。


HCL什么鬼?


没错,上述故事中担任“坑货”公司的原型就是HCL(Hindustan Computers Limited)。HCL是一家印度跨国信息技术(IT)服务和咨询公司,其总部位于北方邦的诺伊达。


其业务涉及多个领域,包括航空航天和国防、汽车、银行、资本市场、化学和加工业、消费品、能源和公用事业、医疗保健、高科技、工业制造、保险、生命科学、制造业、媒体和娱乐,采矿和自然资源、石油和天然气、零售、电信、旅游、运输、物流和酒店等等。


这意味着什么?HCL内部存储了海量行业企业的商业信息及数据。


HCL内部数据遭泄露


OK,到这我想你已经猜到接下来要讲什么了。


根据安全评估公司UpGuard的说法,此次HCL暴露的公共数据“包括新员工的个人信息和明文密码,客户基础设施安装报告以及管理人员的Web应用程序。”



暴露的HCL人力资源管理系统


据悉,UpGuard的研究团队在5月1日发现这些被暴露的数据,当时在HCL域上检测到可免费下载并包含客户关键字的文档。文档中包含了其他可公开访问的页面以及个人和商业数据。


鉴于包含泄露数据的页面托管在多个HCL子域上,并且只能通过Web界面访问,研究人员最终决定在五天后才公开信息的详细分析结果。


5月6日,UpGuard在进一步分析泄露的信息后发现了一个电子统计表,其用于管理新雇用的共364条人事记录。


UpGuard研究人员称,364天记录中最古老的可以追溯到2013年。而直到2019年仍有超过200条相关记录在其中,这里面有54条记录是2019年5月6日加入的新员工。



暴露的SmartManage报告系统


暴露的数据包括候选人ID、姓名、手机号码、加入日期、加入地点、招聘人员SAP代码、招聘人员姓名、创建日期、用户名、明文密码、BGV状态、接受的要约以及候选表格的链接。


客户机密信息“危在旦夕”


正如上面所提,通过员工通行密码,黑客能够在HLC的内部系统之间“畅游”。而最新发现表明这些风险有极大可能会波及到其客户。


研究人员在其他不需要身份验证的页面上发现了更多泄露信息,这些信息中有超过2800名员工的名称和SAP代码可以被用于操控HCL内部的SmartManage报告系统查找或执行“停用”命令,以此管理全部客户的安装报告及项目数据。


SmartManage报告索引


UpGuard还发掘了一份内部分析报告数据库,其中列出了超过5700个事件记录,其中包含了大约18000个条目记录了每周的客户报告详细内容,而最早的安装报告甚至可以追溯到2016年。


真高冷?还是慌!


对于上述发现,UpGuard向HCL发送了一份通知并详细说明了泄露数据的性质——两个可公开访问的页面、一个包含子域名的列表,以及向HCL的数据保护官员公开展示其业务信息。


报告发送后尚未得到任何回复。


尽管如此,5月7日UpGuard研究团队发现其上报的数据泄露通知的一部分内容得到了保护——发送的两个页面目前都需要访问所需的身份验证,并且相对安全。然而,其他的页面则仍然没有被“纳入”HCL的保护范围内。


UpGuard称:“该研究人员尝试再次发送了一封电子邮件,其中包含与HCL数据相关的其他泄露数据的页面信息。截止5月8日晚间,研究人员验证并确认匿名用户已经无法访问这些页面。”


该研究人员表示,虽然HCL没有与报告数据泄漏的公司建立任何形式的沟通渠道,但UpGuard报告得出的结论是“HCL的此次泄漏事件应该引起商业领袖们的注意,他们很可能因此被沦为下一个受害者“。


HCL似乎准备联合BleepingComputer发表正式声明。但外媒核实情况后,截止本文发布前依旧未收到任何回复。


来源:雷锋网 

3、北京通信管理局出重拳 治理95短号码骚扰电话


近日,针对近期“95”短号码骚扰电话举报增多,给通信用户造成困扰的问题,按照工业和信息化部的要求,北京管局对北京恢弘科技有限公司等8家呼叫中心企业进行了行政约谈,同时,督促基础电信企业加强线路资源管理,对5月17日被工信部约谈的南京颢志苍信息科技有限公司等9家在京接入的呼叫中心企业的“95”短号码全部予以了关停处理。


北京管局要求呼叫中心企业要充分认识到骚扰电话问题的危害性,认真反思,严格落实企业主体责任、规范自身外呼行为、完善商业营销外呼管理机制,不得营销扰民。针对举报投诉问题突出的情况,各公司要深入剖析问题原因,立即整改,确保短期内取得实效。基础电信企业要建立对“95”短号码骚扰电话问题的动态监测机制,对于违规企业要及时处置,并采取联动机制,形成“一处违规,处处受制”的局面。


下一步,北京管局将持续深入推进综合整治骚扰电话专项行动。一是严肃问责,对整改效果未达要求的呼叫中心企业将依法依规采取行政处理措施。二是建立健全“95”短号码的监测防范和处置机制,组织基础电信企业加强对接入呼叫中心企业平台接入资源和外呼行为的管理。三是加强基础电信企业骚扰电话个性化拦截软件的服务能力和对外宣传。四是组织基础电信企业进一步完善骚扰电话的监测、统计和数据报送机制。五是及时落实12321举报投诉的核查处置工作,坚持以人民为中心的发展思想,真抓实干,为首都营造良好的通信环境。


来源:工信部网站

2019/5/22  星期三


1、想雇个黑客?小心他是个诈骗分子


2015年,一家提供“黑客服务”的网站Hacker’s List正式在新西兰成功注册成为公司。该网站采用了中介的形式,给雇主和职业黑客提供了有保障的交易。网站页面会列出了“黑掉Facebook账户”、“黑掉Gmail账户”、“黑掉某网站”,以及“黑掉某商业账户”等等项目。国内也有类似有相关的网站,只需要在搜索框内输入“黑客服务”就可以看到相关的网站。



就像购物网站上的物品有好有坏,有真有假,黑客服务也不例外。


近日,谷歌和加利福尼亚大学的研究人员通过伪装成有所需求的买家,直接与27个提供黑客服务的买家接触,并要求他们针对所选择的Gmail账户进行攻击。结果显示,大多数网上提供的黑客雇佣服务都是诈骗或者无效的。


黑客服务测试过程


首先,研究人员会创建一些Gmail账户。这些受害Gmail账户其实是研究人员与谷歌一起协调设计好的蜜罐,用来进行此次研究。账号允许研究人员记录其与受害者的关键互动行为,以及其它方面信息,如商业网络服务器、朋友或合作伙伴的电子邮件地址。


将蜜罐部署好以后,研究人员开始伪装成有需求的买家,与 27 个提供黑客服务的买家进行接触,并要求他们针对所提供的Gmail账户进行攻击。


在参与的 27 项黑客服务中,有 10 项从未回复过他们的请求,12 项做出了回复,但并没有真正尝试过发动攻击,只有 5 位黑客最终发起了针对测试Gmail帐户的攻击。在响应请求但没有发动攻击的 12 人中,有 9 人表示他们不再攻击Gmail帐户,而其他三人似乎是诈骗份子。

研究人员表示,如果按小时计算的话,黑客雇佣的价格在28美元到300美元之间浮动,完成一个黑客任务获得的报酬,则会达到100美元至500美元之间。,而且没有人使用自动化工具进行攻击,所有攻击都涉及社会工程,黑客使用鱼叉式网络钓鱼来微调针对每个受害者的攻击。在实验中,一些黑客询问了研究人员要攻击的受害者的详细信息,而其它人则不过问,并且选择使用可重复使用的电子邮件网络钓鱼模板。


黑市与黑客服务


黑市的存在使得雇佣黑客成为一件很简单的事情。


暗网和地下黑市除了售卖武器毒药、恶意软件、漏洞利用工具等各种商品,也会出售黑客服务。其中最为常见的几种黑客服务包含:


1、窃取信用卡、支付凭证、社交账号、邮箱账号等各种数据信息;

2、个人信息搜集和调查(Doxing);

3、DDoS攻击服务。


戴尔安全工作室曾在2016年发布的一份俄罗斯地下黑客市场的报告,披露了诸多黑客攻击手法的雇佣价格。从软件售卖到黑客教学,再到银行卡盗窃、DDoS攻击等各种网络攻击服务,应有尽有。


有趣的是,黑客还提供客户支持,不收预付金,并承诺最快时间完成任务(依据入侵目标的复杂性),而且还保证完全的隐蔽性,“目标都不会注意到自己被黑”。


但是,从2016年4月开始,欧盟通过了《一般数据保护条例》(General Data Protection Regulation),2017年,我国颁布的《中华人民共和国网络安全法》全面施行。各国政府在打击暗网犯罪方面大有突破。


“四大”暗网交易市场中的AlphaBay、Hansa Market和RAMP在2017年相继被警察查封关闭。暗网最古老的市场之一Dream Market也于今年3月份宣布关闭。黑客服务的市场也随之缩减。



黑客服务不再只是影视剧中那样高风险的遥不可及的服务,而是可以解决人们日常生活中入侵系统的需要。然而这个领域的合法性似乎还颇具争议。无论如何,我们应该对网络安全知识有正面积极的认知,而不是触碰法律底线,游走在法律和道德的边缘。


来源:开源中国、计算机与网络安全、freebuf



2、人民日报:手机App过度索取权限何时休


记者在调查浏览器主页劫持现象的过程中发现,手机App(应用程序)也是互联网技术霸凌的重灾区。“灾情”如何?记者进行了调查。“我的手机App一打开网页,就弹出各种抽奖小广告”“看个视频,却要求获取我的通讯录权限,不打开权限就无法观看”“下载后安装App,需要获取我的地理位置信息,不同意就装不了”……手机App要求权限过多、过度收集信息非常普遍,也是被吐槽和投诉的技术霸凌“重灾区”。


■安装时要求权限过多、收集信息过度,App技术霸凌时有发生


记者在百度搜索框敲入“App权限”,马上就自动显示“App权限过大”和“App权限哪些需要禁止”的搜索提示。“App权限过大”的百度相关搜索结果量超过400万个,“App权限哪些需要禁止”的搜索结果量也超过200万个。


在对40多万款App进行调查后,中国人民大学信息学院教授孟小峰团队发现,目前App的各类权限接近40个,但大部分权限跟App实现功能的正常需求并不匹配。


前不久,上海市消费者权益保护委员会对39款手机App涉及个人信息权限的测评显示:超过六成App在用户安装时申请了很多敏感权限,却不提供实际功能,包括读取通讯录、电话权限、短信权限、定位权限等。


DCCI互联网研究院首席专家胡延平告诉记者,为了提供服务、提升体验,一些App要求权限、收集信息是合理的,但应该有边界。“大多数用户并不知道App要这些权限做什么,也不会仔细了解每个权限的风险,很容易不知不觉地掉进风险盲区。”


安装App时,在用户不知情的情况下,违规捆绑无关软件、违规搜集用户个人信息……手机App中的“恶意分子”所引发的技术侵害则更加难以防范。据中国科学院信息工程研究所副研究员刘奇旭介绍,这类App技术入侵主要通过3种方式实现——


一是将正常的App安装包替换成攻击者的安装包,或是在用户正常安装时,关联安装恶意App,“操作者”通常是第三方应用商店或者手机中的恶意软件;


二是手机中的恶意软件监测手机App的运行状态并进行攻击。例如,当用户打开某个App的界面时,被恶意软件探知后,启动其仿冒界面来覆盖原界面,导致用户在仿冒界面中输入自己的账号信息,并被攻击者获取;


三是手机中的恶意软件会中途“劫持”用户对某个页面的访问,代之以返回错误或含有恶意代码的页面。例如用户在使用App时会被插入不良广告,操作者通常是不良运营商和手机中的恶意软件。



■影响体验,泄露隐私,App劫持的背后是经济利益驱动


安全专家表示,App存在的过度要求权限等技术霸凌行为,不仅影响用户使用体验,还可能导致隐私泄露,甚至造成财产损失。腾讯发布的《2018年手机隐私权限及网络欺诈行为研究分析报告》显示,手机App是重要的隐私泄露渠道之一。


智能手机是人们目前常用的移动互联网终端,存放着用户的社会交往、行为喜好、生活规律、账号密码、照片视频等隐私数据,甚至还包括商业机密文件。胡延平说,一些App越界获取权限,用户不小心就掉进“天罗地网”,手机里的个人信息随时处于“裸奔”状态,无异于被App“数据劫持”。


一些权限如果被恶意App获取,会引发更大的风险。比如,App要求的日历权限允许读取、分享或保存日历数据,如果该权限被恶意App利用,可能用来追踪用户每天的行程;电话权限被恶意App利用,可能会产生额外的电话费用、泄露智能设备的独有编码信息;通讯录权限被恶意App软件获取后,不仅联系人信息被泄露,还很有可能被传播垃圾邮件、短信或电话的人利用,轻则给日常生活带来骚扰,重则还会引发诈骗、勒索等后果。


“App技术霸凌给用户的手机带来了新隐患,使其可能成为攻击者攻击其他目标的跳板。尤其是获取高权限的App,更是能够随心所欲地控制用户手机。”刘奇旭说。

面对App的技术霸凌,用户缺少选择权,整体上处于任人宰割的弱势地位。


App运营方为什么要获取这么多的权限和数据?专家分析说,大数据的应用,让个人数据变得越来越有价值。一些App运营方通过各种手段,甚至在没有获得用户同意的情况下收集用户信息,主要是大数据背后的经济利益驱动。


“比如,App抓取广大用户的手机通讯录后,会将通讯录上所有人的电话、姓名、地址等信息汇聚形成一个用户数据库,借此给用户精准‘画像’,通过推送广告等获取收益。”胡延平说,“这些信息和数据甚至会被反复、多次出售,被网络黑色产业链利用。”


■专家呼吁完善相关法律,为App获取个人信息划定边界


针对App过度和越界索求手机权限,安全专家表示,App获取个人信息应遵循3个原则:一是最小必要原则,即App获取的信息是不是服务的必要数据;二是用户知情原则,即第一次使用App时,需要提示用户是否开启某项服务,即使选择不开启,也不能影响App其他功能的正常使用;三是必要保护原则,即App合规收集用户的数据时,要保证数据安全,确保不被泄露、贩卖和滥用。


“应该通过法律规范明确个人信息的收集边界,除特定情况并征得用户授权外,用户本人应绝对掌控自己的个人数据,信息采集方也无权违规使用。”北京师范大学网络法治国际中心执行主任吴沈括说。


吴沈括认为,与个人隐私相关的信息重点在于保护,与个人隐私不相关的个人数据重点在防止滥用,“维护数字生态健康发展,必须区分哪些数据是企业可以收集的,哪些数据的收集是要征得用户同意的。”


避免个人信息泄露,用户也有必要逐步提高自身安全意识。专家建议,用户要选择正规的渠道下载App,同时要重视手机隐私权限管理,及时关闭不必要的App权限。


对互联网技术霸凌现象,记者将继续跟踪报道。


人民日报 本报记者 喻思南 吴月辉 刘诗瑶 谷业凯 冯 华 余建斌


来源:人民日报 


3、 John the Ripper 支持 FPGA 破解密码 


流行的开源密码破解软件 John the Ripper 释出了 Ripper 1.9.0-jumbo-1。自 1.8.0-jumbo-1 发布以来新版本历经了 4.5 年的开发,包含了 6000+ commits,有两位华裔开发者贡献了超过 80 个 commits。新版一个备受期待的功能是支持 FPGA 破解密码。使用 FPGA 破解密码在多种情况下比使用 GPU破解性价比更高成本更低。FPGA 破解支持七种哈希函数 bcrypt、descrypt (包括 bigcrypt 扩展)、sha512crypt & Drupal7、sha256crypt、md5cryp(包括 Apache apr1 和 AIX smd5 ) & phpass,其中多种是首次实现 FPGA,测试结果显示有的强于 GPU 有点则弱于 GPU。


来源:solidot.org

 


2019/5/21  星期二


1、黑客论坛被黑 竞争对手公开其数据库


劫持其他用户帐户的黑客发现自己成为了被劫持的对象。Ogusers.com 论坛的管理员在 5 月 12 日发帖解释了最近的下线事故,称一块硬盘损坏抹掉了过去几个月论坛帖子和私人消息,他已经恢复到了备份,但这个备份日期仅截至 2019 年 1 月。


Ogusers 管理员可能不知道的是,在硬盘故障的同时他的网站遭到了入侵。5月16日,竞争对手 RaidForums 的管理员宣布上传了 Ogusers 的数据库供任何人免费下载,“Ogusers 管理员承认了数据损坏,但没有说出网站被入侵,所以我猜我是第一个告诉你们真相的,他没有网站的最新备份我这里有。”


泄露的数据库包括了约 11.3 万用户的电子邮件地址、哈希密码、IP 地址和私人消息。已有用户抱怨他们的电子邮件开始收到钓鱼邮件。



来源:solidot.org


2、Linux内核曝出RDS漏洞 影响Red Hat, Ubuntu, Debiand与SuSE


如果您不习惯使用最新版本的Linux内核,那么现在可能是考虑升级的好时机。基于早于5.0.8的内核版本的系统在通过TCP实现RDS时已经发现一个缺陷。如果没有打补丁,该漏洞可能会使攻击者破坏系统。


Red Hat,Ubuntu,Debian和SUSE都受到了这个漏洞的影响,并且这些发行方均已为其Linux发行版发布了安全建议。值得注意的是,“攻击复杂性”被评为“高”,因此虽然安全漏洞的影响可能很严重,但成功实施攻击的难度较大。


在对该漏洞的分析中,红帽表示:在Linux内核的TCP上RDS实现中发现了一个漏洞。加载了rds_tcp内核模块的系统(通过运行listen()的本地进程通过自动加载或手动加载)可能会导致在释放后使用(UAF),其中攻击者能够操纵网络命名空间的处理套接字状态,从而可能导致内存错误和权限提升。


Canonical的Ubuntu漏洞报告的语气则稍微和缓一点,他们表示目前没有看到证据支持这种可以远程利用的说法。将rds.ko模块列入黑名单可能足以防止易受攻击的代码加载。自14.04 LTS以来,kmod软件包的默认配置包括/etc/modprobe.d/blacklist-rare-network.conf中的RDS。


无论如何,该问题已在Linux内核的5.0.8版本中进行了修补,因此如果您还没有这样做,请更新它就可以一次性解决问题。


了解更多:

https://access.redhat.com/security/cve/cve-2019-11815

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-11815.html


来源:cnBeta.COM 


3、思科针对 Nexus 数据中心交换机发出危急安全预警


日前,思科发布了 40 个左右的安全报告,但只有其中的一个被评定为“危急”:思科 Nexus 9000 系列应用中心基础设施(ACI)模式数据中心交换机中的一个漏洞,可能会让攻击者隐秘地访问到系统资源。这个新发现的漏洞,被通用漏洞评分系统给到了 9.8 分(满分 10 分)。


思科表示,它是思科 Nexus 9000 系列的安全 shell (ssh)密钥管理方面的问题,这个漏洞允许远程攻击者以 root 用户的权限来连接到受影响的系统。


思科表示,“这个漏洞是因为所有的设备都存在一对默认的 ssh 密钥对,攻击者可以使用提取到的密钥材料,并通过 IPv6 来创建连接到目标设备的 SSH 连接。这个漏洞仅能通过 IPv6 来进行利用,IPv4 不会被攻击”。


型号为 Nexus 9000 系列且 NX-OS 软件版本在 14.1 之前的设备会受此漏洞的影响,该公司表示没有解决这个问题的变通办法。


思科公司已经为解决这个漏洞发布了免费的软件更新。


该公司同样对 Nexus 9000 系列发布了一个“高危”级别的安全预警报告,报告中表示存在一种攻击,允许攻击者以 root 用户权限在受影响的设备上执行任意操作系统命令。思科表示,如果要用这种方式攻击成功,攻击者需要对应设备的有效的管理员用户凭证。


思科表示,这个漏洞是由于过于宽泛的系统文件权限造成的。攻击者可以通过向受影响的设备进行认证,构造一个精心设计的命令字符串,并将这个字符串写入到特定位置的文件里。攻击者通过这种方式来利用这个漏洞。


思科发布了解决这个漏洞的软件更新。


另外两个被评为“高危”级别的漏洞的影响范围同样包括 Nexus 9000 系列:

思科 Nexus 9000 系列软件后台操作功能中的漏洞,能够允许一个已认证的本地攻击者在受影响的设备上提权到 root 权限。这个漏洞是由于在受影响的设备上用户提供的文件验证不充分。思科表示,攻击者可以通过登录到受影响设备的命令行界面,并在文件系统的特定目录中构造一个精心设计过的文件,以此来利用这个漏洞。


交换机软件后台操作功能中的弱点能够允许攻击者登录到受影响设备的命令行界面,并在文件系统的特定目录里创建一个精心构造过的文件。思科表示,这个漏洞是由于在受影响的设备上用户提供的文件验证不充分。


思科同样为这些漏洞发布了软件更新。


此外,这些安全警告中的一部分是针对思科 FirePower 防火墙系列中大量的“高危”漏洞警告。


例如,思科写道,思科 Firepower 威胁防御软件的 SMB 协议预处理检测引擎中的多个漏洞能够允许未认证的相邻、远程攻击者造成拒绝服务攻击(DoS)的情况。


思科表示,思科 Firepower 2100 系列中思科 Firepower 软件里的内部数据包处理功能有另一个漏洞,能够让未认证的远程攻击者造成受影响的设备停止处理流量,从而导致 DOS 的情况。


软件补丁可用于这些漏洞。


其他的产品,比如思科自适应安全虚拟设备和 web 安全设备同样也有高优先级的补丁。


来源:Linux 中国



2019/5/20  星期一


1、25000台Linksys路由器可能泄露与之相连的任何设备的大量信息


可能泄露大量数据的自2014年一来就有的严重漏洞被暴露,未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究人员Troy Mursch声称,目前使用的Linksys智能Wi-Fi路由器至少发现有25000个存在缺陷,这意味着黑客可以访问重要数据。在“网络威胁情报”公司的Bad Packets Report中写道,敏感信息正在泄露,尽管制造商正在否认这一点。

Linksys于2013年被Belkin收购 - 而后该公司于2018年又被富士康收购 - 富士康随后表示其员工未能重现Mursch的调查结果。


“我们使用最新的公开固件(默认设置)快速测试了Bad Packets标记的路由器型号,但无法重现[它],”Linksys在一份在线安全公告中表示,“这意味着它不可能让远程攻击者通过这种技术检索敏感信息。“



Linksys进一步表示,该漏洞在2014年就得到修复。但是,Mursch并不同意,坚持认为这个安全风险依然存在。


“虽然[这个缺陷]据说是针对这个问题修补的,但我们的调查结果已经表明了其他情况,”Bad Packets说。 “在联系Linksys安全团队后,我们被告知要报告漏洞......在提交我们的调查结果后,审核人员确定问题是“不适用/不会修复”并随后关闭了这一报告。


如果您的路由器是以这种方式泄漏信息的,那么黑客可能获得的详细信息包括现在连接的每个设备的MAC地址。


它还可以包括设备名称,如“William's iPhone”以及该设备是Mac、PC、iOS以及Android设备。 Mursch声称,MAC地址和Linksys智能Wi-Fi路由器的公共IP地址的组合可能意味着黑客可以对被攻击者的进行地理定位或跟踪。


但是,更容易和立即发现的是路由器的默认管理员密码是否已被更改。这个漏洞和Linksys / Belkin的响应首先由Ars Technica报告,其中指出受影响的路由器的数量似乎正在减少。在25617个初步报告之后,几天后重复测试显示有21401个易受攻击的设备还未与互联网上。


已报告受影响的Linksys路由器型号的完整列表位于Bad Packets站点上。



来源:cnBeta.COM


2、Salesforce 闹剧:共享用户数据后陷入数小时的瘫痪


安全

Salesforce 的工程师在竭力保护客户信息,因此关掉了实例。自周五以来,Salesforce 客户无法访问服务,这归咎于糟糕的数据库部署。此后不久,这家云 CRM 公司表示,它正在调查与其 Pardot B2B 营销自动化系统的当前或过去用户有关的一个问题。



这家美国科技巨头似乎向 Pardot 客户授予了不该授予的访问权限,即访问所有数据的权限。Reddit 上有帖子发道:“我们的一个项目其所有配置文件都被修改了,以启用 Modify ALL(修改所有),允许所有用户访问所有数据。”


为了收拾残局,Salesforce 的 IT 团队拒绝访问托管 Pardot 用户的 100 多个云实例,同时关闭了使用那些服务器的所有其他实例。Salesforce 随后发布了说明,表示:


几个 Salesforce NA 和 EU 实例上的一部分客户遇到了服务故障。Salesforce 技术团队阻止访问含有受数据库脚本部署影响的客户的某些实例,这次部署无意中为用户授予了比预期更广泛的数据访问权限。为了保护我们的客户,我们已阻止访问含有受影响客户的所有实例,直到我们可以阻止访问拥有无意授予的权限的组织(org)。因此,未受影响的客户也可能会遇到服务故障。我们已开始取消阻止未受权限问题影响的客户。与此同时,我们正在努力为受权限更改影响的客户尽快恢复原来的权限。现在使用 Pardot 或过去使用过 Pardot 的 Salesforce 客户将继续有限制地访问或无法访问其组织。客户应继续检查 Trust 以获取更新。”


Salesforce 表示与 Pardot 无关的客户可能会遇到服务异常。这家公司坚称正在努力尽快恢复。当然,用户在社交媒体上怨声载道。一些人声称,由于云服务宕机,他们整个公司这周提前收工回家。



Salesforce 首席技术官和联合创始人Patrick Harris 通过推特就这次乌龙事件深表歉意。他发推文道:


致我们所有的salesforce客户,请留意我们的服务遇到了重大问题,对因此给你造成的影响深表歉意。放心,我们在全力以赴解决这个问题,会尽快解决。


安全公司 CloudKnox 的首席执行官 Balaji Parimi 在通过电子邮件发给 IT 外媒 The Register 的声明中提醒,其他公司要明白,过度配置权限比外部攻击或内部威胁更可能构成威胁。他表示:


安全团队需要确保,权利很大的权限仅限于少数经过适当培训的人员。除非公司更深入地了解哪些身份拥有可能导致这种类型的事故,并积极主动地管理这些特权,以便最大限度地降低风险,否则它们很容易受到灾难性事件的影响,就像现在我们看到的 Salesforce 的遭遇。”


来源:云头条


3、技术人员评估英特尔CPU新漏洞对性能的影响


本周,英特尔 CPU 爆出了一个被称为 Zombieload 的 Microarchitectural Data Sampling(MDS)漏洞,目前推荐的修正方法是关闭超线程,这毫无疑问会对性能产生巨大影响。但即便不关闭超线程,MDS 的修正方法对不同工作负荷产生了显著的性能影响。


Phoronix 测试了最新的内核补丁和最新的英特尔 CPU 微码,在关闭修正方法和启用修正方法的情况下进行比较测试,结果显示在不同测试中英特尔 CPU 性能出现了高达 20% 的下滑,而 AMD CPU 的性能下滑大部分在个位数甚至只有 2~3% 的差异。


AMD CPU 不受 MDS 漏洞影响,但补丁也会对它产生略微影响。



来源:solidot.org


2019/5/19  星期天


1、Stack Overflow 安全事件新进展:部分用户私人信息遭窃


Stack Overflow 遭黑客入侵一事仍在调查中,官方博客披露了调查最新进展。入侵实际发生在5月5日,当时部署到 stackoverflow.com 的开发层的构建包含一个错误,该错误允许攻击者登录到开发层,并在网站的生产版本上升级他们的访问权限。


黑客潜入系统并探索了至少5天都未被发现,直到5月11日,“入侵者对我们的系统进行了更改,以便为自己提供访问特权。这一变化很快被发现,我们撤销了他们在整个网络的访问,开始调查入侵,并采取修复措施。”


调查显示整体用户数据库没有受到损害,攻击者提出的特权 Web 请求已经确定,这些请求返回了约 250 位 Stack Exchange 用户的 IP 地址、名称或电子邮件。受影响用户将很快接到官方的通知。



Stack Overflow 团队表示会针对此次安全事件采取以下措施:


终止对系统的未授权访问

对所有日志和数据库进行广泛而详细的审查

修复导致未经授权访问和升级的原始问题,以及在调查期间发现的任何其他潜在问题载体

主动发表公开声明

聘请第三方取证和事件响应公司协助进行补救

采取预防措施,如重置公司密码、评估系统和安全级别等

此次事件调查仍未结束,官方将持续公布更多信息。


来源:开源中国 


2、美官员警告5G网络或对天气预报系统造成严重破坏


几个月来,美国宇航局(NASA)国家海洋和大气管理局(NOAA)一直在向联邦通信委员会(FCC)发出警告,称之拍卖的 5G 无线网络频谱,可能对天气预报系统的数据收集系统造成严重的影响,从而影响飓风预测的准确性。周四的时候,NOAA 代理主席 Neil Jacobs 在国会山表示,正在推进的 5G 网络建设,或将天气预报的准确性降低 30% 。


墨西哥湾与美国东部卫星云图(来自:NASA,via Cnet)


据悉,问题主要出在 5G 网络使用的 24GHz 频段上。Neil Jacobs 向众议院环境小组委员会表示:


这将导致沿海居民对飓风的应急准备时间减少 2~3 天,且其登陆的地点也将变得不太准确。预报的误差,会让这些人错失生命。


今年 3 月,FCC 开始面向无线运营商拍卖 24GHz 的新 5G 频谱。


本周早些时候,俄勒冈民主党众议员 Ron Wyden 和华盛顿议员 Maria Cantwell 在致 FCC 的一封信中,恳请该机构在找到解决方案前,暂不发放频谱的许可。


NOAA 表示,24GHz 的频谱,与该机构收集有关大气条件数据的频段非常接近(23.8GHz)。


NOAA 需要将收集到的数据,注入其天体预报预测分析系统模型。但令人担忧的是,24GHz 的 5G 频段,会对气象卫星上敏感的传感器造成干扰。


虽然降低 5G 无线电发射功率的方法有助于防止这种干扰,但 Jacobs 指出:


FCC 当前的提议,将导致 NOAA 卫星传感器的数据损失 77%,目前双方专家正在合作提出一个解决方案。


对于此事,FCC 没有立即回应外媒的置评请求。


不过该机构也在寻求其它正在拍卖的频谱可能对预测系统造成的影响,因为 FCC 还打算拍卖 NOAA 用于探测冰雪等其它天气条件的临近频谱。


来源:cnBeta.COM 


3、苹果设备被曝存在PEAP认证漏洞 研究人员对官方修复方案存疑


研究人员发现苹果设备在PEAP认证上存在缺陷,攻击者可强迫苹果设备接入恶意热点。研究人员称,即使身份验证服务器(RADIUS)也不能证明密码的真实性,该错误依然允许攻击者强制任何Apple设备(iOS,macOS或tvOS)与恶意接入点关联。


初遇CVE-2019-6203


报告撰写者dominic称,去年我们在准备Defcon的演讲时,迈克尔(另一位研究人员)和我正尝试实施hostapd-wpe的EAP攻击试验。在此次攻击中,身份验证服务器将接受任何用户名,之后的动作并非将证明密码内容返回到工作站的步骤(因为它不知道密码),而是将EAP成功消息发送回工作站。


“对于迈克尔的执着,我拒绝了很长一段时间。因为我觉得这种攻击方案不会奏效。因为在MSCHAPv2中,验证服务器实际上证明了密码内容回到决策端的过程,即使不能,我认为决策段也会拒绝继续执行,毕竟这就是保障安全的重点。”


令dominic出乎意料的是,在唯一的一次测试中hostapd-wpe的EAP攻击试验竟然成功了,几乎全部接受实验的Apple设备(iPad,iPhone,MacBook)都成功连接到恶意接入点。由于WPE是由Brad Antoniewicz编写的,我只得向他询问问题所在:



在这之后,dominic针对此次发现进行了大量研究,并在4月份尝试进行了CVE-2019-6203漏洞攻击的再现实验。


复现Apple漏洞


复现攻击的第一步,是找出漏洞的所在之处。通常来说,PEAP-MSCHAP v2的认证过程分为两个阶段:


1、验证服务器身份和建立TLS隧道。服务端将向客户端发送服务端的证书信息,通过后建立TLS隧道保护传输的数据。


2、在TLS隧道内通过MSCHAP v2进行双向认证。


在Frame 4、Frame 5中,验证者和客户端的Response都是通过双方的Challenge + passwordHash + Username计算得出的,并发向对方进行身份验证。

那么,如何复现Apple漏洞攻击呢?



2008年,安全研究员Joshua Wright编写了一个名为FreeRADIUS 的补丁。Wright的WPE攻击试验同样使用了绕过PEAP-MSCHAP v2的方式,最终,它可以通过建立虚假PEAP-MSCHAPv2热点得到个人用户请求,并在第二阶段获取Challenge、NTResponse 和 Username。


“与之类似的原理,同样可以应用在此次研究中。”dominic称,我用同样的方式复现了PEAP认证上的漏洞攻击CVE-2019-6203。


具体方法如下:


安装:

hostapd-wpehttps://github.com/OpenSecurityResearch/hostapd-wpe/blob/master/hostapd-wpe.patch 这是在Kali中使用“apt-get install hostapd-wpe”完成的,以下假定该方法。

使用-e开关运行它以启用“EAP Success”

https://github.com/OpenSecurityResearch/hostapd-wpe/blob/master/README#L135

在iOS设备上,在Wifi下,连接到“hostapd-wpe”网络。选择信任证书。可以使用任何凭据。

设备将连接,运行dnsmasq以分发DHCP将显示设备获取IP。

使用以下示例配置尝试使用wpa_supplicant进行相同的客户端连接将不起作用:

network = {

ssid =“hostapd-

wpe ” key_mgmt = WPA-EAP

eap = PEAP

phase2 =“auth = MSCHAPV2”

identity =“test”

password =“password”

ca_cert =“/ etc / hostapd-wpe / certs / ca.pem “

}


如此一来,将看到请求者将拒绝最终的消息验证者并断开连接。


修复问题及解决方案


复现试验中,未打补丁的Apple设备跳过发送验证器响应并且仅按照第7帧发送MSCHAPv2成功帧。这导致易受攻击的Apple设备轻松在其状态机制中跳过。随后它会发送一个PEAP响应——hostapd-wpe向其发送EAP-Success。


dominic称,这意味着如果Apple设备连接到未知用户密码的恶意AP,它不仅会获得NetNTLMv1质询响应,设备也将连接到网络。由于EAP的网络通常是企业网络,Apple设备会认为它与之相关(没有用户交互),此时也可以进行响应式攻击。


该缺陷影响2019年3月25日前的iOS、macOS、tvOS版本,包含MacBook、iPhone、iPad、Apple TV等多种苹果设备。但令dominic感到困惑的是,已修补的设备在PEAP,MSCHAPv2和WPA2级别上表现出完全相同的行为,即设备仍然连接到网络,在某些情况下甚至会请求DHCP。这是一个例子:



相反,Apple 在连接后使设备与网络断开连接。设备显示“无法连接”错误,并且设备上显示的日志条目显示:



Dominic解释道,这有点像一名保安在守护一座大楼,一旦有人进去无论是谁都会被全部赶出去。虽然它具有解决问题的效果,但很让人担心会不会暴漏出其他危险讯号。


“然而,在测试修复后的系统时,我确实注意到一个异常值,当在设备连接但导出不同的PMK时,握手的第二个消息中由MIC证明(这就是repo中的WPA代码所用的)出现了异常。当然,我觉得这只是一次偶然,因为PMK来自外部TLS会话并且未启用加密绑定,这应该是没有可能的。”


目前,Dominic仍不能确认这个问题是否真的存在,他表示会在之后的研究中用多台苹果设备展开试验,找出答案。


建议:

验证在最终EAP-Success消息中发送的消息验证器,并且不允许iOS / macOS设备连接到无法证明用户密码知识的恶意接入点。

可以在以下位置找到执行此验证的wpa_supplicant示例:

https ://w1.fi/cgit/hostap/tree/src/eap_peer/mschapv2.c#n112


来源:雷锋网




2019-5-18  星期六


1、俄罗斯政府网站被爆泄露225万用户社保和护照等信息


多家俄罗斯政府网站泄露了超过225万公民、公务员和高层政治家的私人和护照信息。俄罗斯非政府组织Informational Culture的联合创始人Ivan Begtin最先发现并公开了本次严重的数据泄露事件。由三篇博文组成的系列报道中,Begtin表示他对政府在线认证中心、50家政府门户网站以及政府机构使用的电子投标平台进行了调查。



调查结果发现有23家网站泄露个人保险信息(SNILS,相当于社保卡号码),14家网站泄露护照信息。Begtin表示通过这些网站总共有超过225万条俄罗斯公民的信息数据,而且任何人都可以进行下载。从这些网站泄露的数据包括全名、职称、工作地点、电子邮件和税号。


虽然一些网站泄漏的数据难以识别并且需要Begtin从数字签名文件中提取元数据,但可以使用谷歌搜索政府网站上的开放网络目录找到一些数据。在今天的Facebook帖子中,研究人员说八个月前他联系了负责数据隐私的俄罗斯政府机构Roskomnadzor。


在接受外媒ZDNet采访的时候,Begtin表示多次通知俄罗斯政府监管机构,但是该机构并没有采取措施来增强这些网站的安全防护,目前依然可以访问这些数据。在去年4月希望通过博文方式吸引公众和监管机构注意之后,今天Begtin通过俄罗斯新闻网站RBC公布了他的发现,而且该网站发布了一篇详细的深入报道。



来源: 来源:cnBeta.COM


2、报告称黑客利用华硕云存储在PC上安装Plead后门


安全研究人员近日报告称,黑客组织BlackTech在中国台湾通过中间人攻击(“MITM攻击”)部署了Plead恶意软件。该组织被曝利用华硕WebStorage软件的漏洞来上传绕过身份验证的恶意软件。


根据Eset的安全研究人员的说法,黑客一直在利用华硕的WebStorage软件在受害者的计算机上安装后门。其使用的恶意软件称为Plead,主要由被称为BlackTech的黑客组织部署,该组织主要针对亚洲政府和公司。


通常,恶意软件通过网络钓鱼攻击进行传播。然而,这一次研究人员注意到一个名为AsusWSPanel.exe的进程正在激活Plead后门。该程序是华硕云存储客户端WebStorage的合法部分。



研究人员认为,黑客正在使用中间人攻击。“华硕WebStorage软件很容易受到此类攻击,”Eset的Anton Cherepanov说道。“使用HTTP请求并传输软件更新。下载更新并准备执行后,软件在执行前不会验证其真实性。因此,如果更新过程被攻击者截获,他们就可以推送恶意更新。”


Plead将使用受感染的路由器作为恶意软件的命令和控制服务器。大多数受到攻击的组织使用相同品牌的路由器,其管理设置可通过互联网访问。

“因此,我们认为路由器级别的MitM攻击是最可能的情况,”Cherepanov说道。“为了应对这次攻击,华硕云已经改进了更新服务器的主机架构,并实施了旨在加强数据保护的安全措施。”


Eset表示另一种可能性是黑客正在使用供应链攻击。这种类型的破坏发生在制造商的供应链中,其中安全措施可能不严格。然而,研究人员表示,尽管这种载体是可能的,但它的可能性要小得多。


Cherepanov提供了这样的建议:“对于软件开发人员来说,不仅要彻底监控他们的环境是否存在可能的入侵,还要在他们的产品中实施适当的更新机制,以抵御MitM攻击。”TechSpot就其对情况的认识与华硕进行了联系。该公司发表以下声明:


“华硕云首次了解到2019年4月下旬发生的一起事件,当时一位遭受安全问题的客户与我们取得联系。在得知此事件后,华硕云立即采取行动,通过关闭华硕WebStorage更新服务器并停止来缓解攻击发布所有华硕WebStorage更新通知,从而有效地阻止攻击。


“为了应对这次攻击,华硕云已经改进了更新服务器的主机架构,并实施了旨在加强数据保护的安全措施。这将防止未来发生类似攻击。不过,华硕云强烈建议华硕WebStorage服务的用户立即运行完整的病毒扫描,以确保您的个人数据的完整性。”


来源:cnBeta.COM


3、Stack Overflow遭遇黑客攻击 目前没有证据表明数据被窃


Stack Overflow是面向编程和开发相关话题的互联网最大IT技术问答网站。在其官网上发布的一则简短公告中表示,有黑客访问了公司的内部网络。Stack Overflow工程副总裁Mary Ferguson表示:“上周末,Stack Overflow遭到了网络攻击。”


在公告中写道:“我们已经确认黑客于5月11日获得了一定程度的生产访问。我们在发现入侵之后就立即调查了黑客访问的范围并解决了所有已知的漏洞。”Ferguson表示目前并没有直接证据表明黑客窃取了用户的登陆凭证,但是目前不能百分百排除这种可能。在公告中Ferguson表示在调查结束之后会公布更多的细节。


Stack Overflow是一个程序设计领域的问答网站,隶属Stack Exchange Network。网站允许注册用户提出或回答问题,还可对已有问题或答案加分、扣分或进行修改,条件是用户达到一定的“声望值”。“声望值”就是用户进行网站交互时能获取的分数,例如,用户A回答了一个问题,用户B对用户A的解答给予了“加分”,用户A就会因而获得10点声望值。当声望值达到某个程度,用户的权限就会增加,如声望值超过50点就可以评论答案,另外网站也会根据用户的贡献颁发徽章。用户创建的内容都使用知识共享协议授权。


直至2018年9月,Stack Overflow有超过9,400,000名注册用户和超过16,000,000个问题,其中最常见的主题有JavaScript、Java、C#、PHP、Android、Python、jQuery和HTML。


来源: cnBeta.COM


2019/5/17  星期五


1、Let’s Encrypt发布自己的Certificate Transparency日志


旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Let’s Encrypt 发布了自己的 Certificate Transparency 日志 Oak,它欢迎其他 CA 递交证书日志。该项目得到了 Sectigo 的赞助。Certificate Transparency (CT) 是一个记录和监视证书签发的系统,有助于改进 CA 生态系统和 Web 安全,因此迅速成为关键的互联网基础设施。


Let’s Encrypt 决定创建和运作自己的 CT 是出于多个理由:首先是 CT 与该组织让互联网变得更安全和尊重隐私的使命相一致,它相信透明能增强安全,能让人做出深思熟虑的决定;


其次是运作一个日志有助于控制其命运,Google Chrome 要求所有的新签发证书递交到两个不同的日志系统,


因此 Let’s Encrypt 的运营必须要有多个日志选项;第三是它每天签发超过 100 万个证书,它想要设计一个能优化处理大量证书日志的系统。


来源:solidot.org


2、两家提供勒索软件解决方案的公司被发现是支付赎金


对于遭到勒索软件攻击的企业和机构,是向攻击者支付赎金还是寻找其它解决方案?支付赎金被认为会鼓励攻击者,被认为是不道德的。但其他解决方案可能会需要花更长的时间耗费更多金钱。


ProPublica 披露,两家提供勒索软件解决方案的数据恢复公司被发现是在欺骗受害者,他们所谓的解决方案其实就是支付赎金然后向受害者收取更多的费用,他们还声称能提供其他服务来防止未来的攻击。这两家公司分别是 Proven Data 和 MonsterCloud。报道称,在与受害者进行沟通时这些公司的雇员使用了化名而不是真名。报道指出,虽然比特币交易被认为是匿名的,但他们成功跟踪了四次交易,比特币从 Proven Data 控制的钱包转给了攻击者控制的钱包,这些钱经过多达 12 次转移最后到了伊朗人控制的钱包。


来源:solidot.org


3、美国联邦通信委员会计划为运营商提供更多权力来打击自动骚扰电话


美国联邦通信委员会主席Ajit Pai希望为移动电话公司提供更大的权力来阻止不受欢迎的自动骚扰电话。这项提议如果获得通过,将允许无线运营商默认为客户阻止这些自动骚扰电话。公司还允许消费者自己阻止来自未知号码的呼叫。


根据联邦通信委员会周三发布的消息,客户可以选择加入或退出任何阻止服务。


默认情况下允许呼叫阻止对于厌倦了自动骚扰电话的消费者来说是一个很大的好处。美国联邦通信委员会将给予语音服务提供商阻止自动骚扰电话的法律确定性,这样消费者就不会再收到自动骚扰电话。


Ajit Pai还建议就呼叫者身份验证标准寻求公众意见,这个标准框架将验证呼叫的来源,并允许更快地跟踪非法呼叫者,以找出谁对自动骚扰电话负责。周三晚些时候,Ajit Pai和其他四名FCC专员将在美国众议院专家小组就越来越多的自动骚扰电话问题作证。


在6月6日的会议上,预计美国电信监管机构将对Ajit Pai的提案进行相关审核。数据显示,从2017年到2018年,美国不受欢迎的自动骚扰电话数量飙升46%,2018年美国国内产生了263亿通自动骚扰电话,平均每人每月接到10通自动骚扰电话。


来源:cnBeta.COM


2019/5/16  星期四


1、“三只小猫”漏洞威胁全球数百万思科路由器


美国 Red Ballon 安全研究公司近日发布了一份报告,公布了思科产品的两个漏洞。第一个漏洞被称为Thrangrycat,允许攻击者通过现场可编程门阵列(FPGA)比特流操作完全绕过思科的信任锚模块(TAm)。

第二个是针对 Cisco IOS XE 版本 16 的远程命令注入漏洞,该漏洞允许以 root 身份执行远程代码,通过链接和远程命令注入漏洞,攻击者可以远程持续绕过思科的安全启动机制,并锁定 TAm 的所有未来软件更新。


报告称,是由 Cisco Trust Anchor 模块中的一系列硬件设计缺陷引起的,Cisco Trust Anchor 模块(TAm,信任锚)于2013年首次商业化推出,是一种专有的硬件安全模块,用于各种思科产品,包括企业路由器,交换机和防火墙。


TAm 是专门用来验证安全开机程序的硬件装置,在系统开启时执行一连串的指令,以立即验证开机载入程序的完整性,一但侦测到任何不妥,就会通知使用者并重新开机,以防止设备执行被窜改的开机载入程序。


可藉由操纵 FPGA(Field Programmable Gate Array,现场可编程门阵列)的比特流(bitstream)来绕过 TAm 的保护。这是因为 TAm 原本就得依赖外部的 FPGA,在设备开机后,FPGA 会载入未加密的比特流来提供 TAm 的信任功能。


Red Balloon Security 已在去年11月知会思科,思科也在同一天发表了安全通报。


根据思科所列出的产品列表,总计超过 130 款产品受到波及。


迄今为止,除了研究人员针对思科 ASR 1001-X 设备所进行的攻击示范之外,尚未发现其它攻击行动。Red Balloon Security 也准备在8月的黑帽(Black Hat)安全会议上对此进行展示。


目前,思科正在持续发布针对该漏洞的软件更新。


题外话:研究人员表示,以取代 Thrangrycat,是为了彰显该研究并无任何语言或文化上的偏见,表情符号已是数位时代的象征,它跟数学一样都是透过语际符号来表达,而猫咪的矛盾特性恰好可用来形容该漏洞。


来源:开源中国


2、旧金山可能成为禁止面部识别技术的第一个美国城市


旧金山市将于周二投票决定是否禁止警察局和其他城市机构对居民进行面部识别。如果获得批准,这将是美国首次禁用该技术的城市。该法令还为警察部门制定了一个流程,以披露他们使用的监控技术,例如车牌阅读器和可以跟踪居民随时间变动的手机基站模拟器。但它特别指出面部识别对居民的公民自由太有害处,甚至不考虑使用。


旧金山可能成为禁止面部识别技术的第一个美国城市,并且其他几个城市正在考虑面部识别禁令,包括加州的奥克兰和伯克利,以及马萨诸塞州的萨默维尔。之前,微软在7月份要求联邦政府在面部识别技术普及之前对其进行监管,并表示拒绝将该技术出售给执法部门。事实上,这项技术有望在机场和购物中心普及,而亚马逊等其他科技公司正在向警察部门出售这项技术。


监管机构有两个主要问题。首先,他们说该技术取决于一个人的性别和种族,但是错误率较高。其次,当技术不可避免地得到改善时,面部识别将使政府和私人公司能够了解每个人的动作和日常生活。旧金山警察局在一份声明中表示,它不使用面部识别技术。该部门在声明中表示,旧金山警察局必须明智地平衡保护公民权利和公民自由,包括隐私和言论自由。


John Jay Wandt是约翰杰伊刑事司法学院的助理教授,他为警察部门提供监控技术方面的建议,他表示,彻底禁止警察使用面部识别将会带走一种具有潜在价值的公共安全工具。Wandt同意公民自由倡导者的观点,主要关注点是政府实体保留面部识别记录和其他监测数据的时间。它们存在的时间越长,对人们随时间变化的理解就越全面。


加利福尼亚州的其他几个城市已经制定了法律,为监视技术制定了与旧金山法令相似的透明度要求。他们要求警察部门解释他们正在使用哪些技术并提交给公众进行评估。


来源:cnBeta.COM


3、SHA-1碰撞攻击正变得切实可行


Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。在 Google 的研究中,攻击所需的计算量十分惊人,用 Google 说法,它用了 6,500 年的 CPU 计算时间去完成了碰撞的第一阶段,然后用了 110 年的 GPU 计算时间完成第二阶段。


现在,SHA-1 碰撞攻击正变得切实可行。上周一组来自新加坡和法国的研究人员演示了首个构造前缀碰撞攻击(PDF),即攻击者可以自由选择两个碰撞信息的前缀。


构造前缀碰撞攻击所需的计算费用不到 10 万美元,意味着伪造 SHA-1 签名文件将变得可能,这些文档可能是商业文件也可能是 TLS 证书。现在是时候完全停止使用 SHA-1 了。



来源:solidot.org

2019/5/15  星期三


1、堪比 WannaCry !微软面向Windows XP发布紧急修复补丁


今日凌晨,微软爆发了 RDP服务蠕虫级漏洞 ,CVE编号 CVE-2019-0708

微软紧急发布修复补丁,修复RDP服务漏洞。据称此漏洞堪比 WannaCry 。


远程桌面协议(RDP, Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。大部分的Windows都有客户端所需软件。


还记得当年被 WannaCry 支配的恐惧吗?电脑被锁,文件被锁,医院、公司、政府机构的电脑通通中招,整个世界都被 WannaCry 席卷。


为什么说这个漏洞堪比 WannaCry 呢?接下来我们一起来看看它究竟是何方神圣吧.....



漏洞一览


2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。最终可能会像野火一样蔓延至整个系统,从而让整个系统瘫痪。



利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。


影响范围


该漏洞影响了某些旧版本的Windows系统,如下:

Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows 2003

Windows XP


需要注意的是:Windows 8和Windows 10及之后版本的用户不受此漏洞影响。


修复建议


1、及时安装更新

对于Windows 7及Windows Server 2008的用户,及时安装Windows发布的安全更新。可以在Microsoft安全更新指南中找到支持Windows版本的安全更新进行下载。


2、升级到最新版本

对于Windows 2003及Windows XP的用户,请及时更新到最新系统版本。微软在KB4500705中为这些不支持的Windows版本提供了修复程序。


3、开启网络身份验证(NLA)

因为NLA要求的身份验证在漏洞触发点之前,所以受影响的系统可以利用NLA防御此漏洞的“蠕虫”恶意软件或高级恶意软件威胁。但是,如果攻击者具有可用于成功进行身份验证的有效凭据,则受影响的系统仍然容易受到远程执行代码执行(RCE)的攻击。


4、下载链接:

Windows 7, Windows 2008 R2, and Windows 2008:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Windows 2003 and Windows XP:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708


最后


如果你依然在使用联网的Windows XP或者Windows Server 2003系统,同时也包括Windows 7、Windows Server 2008以及2008 R2系统,那么应该立即安装微软刚刚推出的紧急修复补丁。


强烈建议所有受影响的系统-无论NLA是否启用-都应尽快更新!


来源:microsoft

2、报告称忠诚度计划是“黑客的蜜罐”


使用可以在用户最喜欢的餐馆或服装店节省几美元的忠诚度应用程序似乎是无害的。然而根据《纽约时报》上周六的报道,这正是黑客所依赖的 。据《纽约时报》报道,一个安全组织估计,每年因在线忠诚计划相关犯罪而损失10亿美元。此外,根据Javelin战略与研究公司的说法,此类犯罪从2017年到2018年翻了一番。


数字安全公司Sift的风险专家Kevin Lee告诉《纽约时报》,忠诚度计划应用程序“几乎是黑客的蜜罐”,并为个人信息提供“阻力最小的路径”。Kevin Lee表示忠诚度计划很容易注册,密码安全级别很低,并不总是频繁使用。


根据该报告,忠诚度计划可以显示有价值的个人信息,如您最喜欢的食物或风味、购物地点等,以及用户如何支付物品和账单明细以及联系信息。这些程序对黑客很有吸引力,因为它们是根据个性化的客户体验量身定制的。Forrester Research的分析师Emily Collins告诉《纽约时报》,创建这些应用程序具有“数据和洞察力的海洋”,并且它通常“超出了他们实际使用的范围”。


被盗的数据通常会在黑市销售给犯罪分子,这些犯罪分子将其用于欺诈和身份盗用。这就是数据泄露对日常人员构成危险的原因。如果用户从忠诚度计划或任何其他服务中了解到他们的数据被盗,身份盗窃资源中心会提供一种工具来帮助他们确定如何最好地保护自己。


来源:cnBeta.COM 

3、研究人员拟公开来自政府、可能会被遗忘的网络攻击历史记录


据外媒报道,1989年,就在网络成为现实的几个月后,一种计算机蠕虫感染了全世界全球成千上万台计算机,其中包括了NASA的计算机。蠕虫病毒在受感染电脑的屏幕上显示一条信息:“你的系统已被正式WANKed。”



上个月下旬,也就是说这个"WANK蠕虫"攻击NASA 30年后,该机构公布了一份当时撰写的内部报告。这一切则要感谢一位记者和一名安全研究员,他们启动了一个利用《信息自由法案》获取历史网络攻击事件文件的项目。


这个项目被称作Hacking History,其背后的人则是自由记者Emma Best和安全研究员(前NSA黑客)Emily Crose。这两个人正在通过文件请求平台MuckRock众筹资金,以此来支付《信息自由法》申请所需要的资金。


在过去几年时间里,黑客和网络安全行业已经成为主流媒体内容、各大报纸的头条新闻、好莱坞电影的主要情节甚至成为热门电视节目。但情况并不总是这样。几十年来,信息安全和黑客行为是一个利基行业,鲜少有新闻报道和公众关注。


为此,这两名女性打算填补黑客历史上的这块空白。


据悉,Best和Crose迄今为止已经提交了50份左右《信息自由法案》申请,这些申请与创造黑客历史的知名组织有关,比如Legion of Doom、Cult of the Dead Cow、匿名者分支LulzSec、GoatSec等。


Best称:“这些文件将记录黑客的历史和FBI对他们的调查/兴趣。”


截止到现在,两人已经筹集到了2300多美元,用于支付提交《FOIA》申请的相关费用,并计划与Property of The People合作。Property of The People是一家通过《FOIA》申请和诉讼推动政府透明化的非营利组织。Best和Crose表示她们也还没有想好将如何处理这些资料,但Crose提到,她们可能会在一本实体版杂志上发表文件和相关报道。


无论哪种方式,Best的目标都是收集、发布并保存历史文档。


来源:cnBeta.COM 


4、德国网络安全局警告卡巴斯基杀毒软件存在安全缺陷


德国网络安全机构BSI就卡巴斯基杀毒软件的安全漏洞发出警告,建议用户尽快安装最新补丁。虽然该建议不包括基于该缺陷可能网络攻击的任何详细信息,但BSI警告说,黑客只需向其目标发送包含特制文件的恶意电子邮件,在某些情况下,甚至不需要打开该文件。


BSI警告的安全漏洞编号为CVE-2019-8285中,事实上是卡巴斯基上个月修复的。这个问题允许在易受攻击的电脑上远程执行任意代码,卡巴斯基说,只有4月4日之前发布的带有防病毒数据库的系统才会受到影响。



目前漏洞补丁已经通过卡巴斯基产品的内置更新系统发布,因此如果启用自动更新,用户设备应该是安全的。卡巴斯基在5月8日发布的一份咨询报告当中表示:“Kaspersky实验室在其产品中修复了一个安全问题CVE-2019-8285,可能允许第三方以系统权限远程执行用户PC上的任意代码。安全修复程序于2019年4月4日通过产品更新部署到卡巴斯基实验室客户端。”


卡巴斯基表示,从技术上讲,所有带有防病毒数据库的卡巴斯基产品都会受到该漏洞的影响。该漏洞与操作系统版本无关,因此所有Windows版本都会受到影响。此问题被归类为基于堆的缓冲区溢出漏洞。 JS文件扫描期间的内存损坏可能导致在用户电脑上执行任意代码。


来源:cnBeta.COM



2019/5/14  星期二


1、Facebook起诉韩国数据分析公司 欲重塑公司隐私形象


北京时间5月13日上午消息,据外媒Gizmodo报道,在韩国数据分析公司Rankwave未能提供证据证明其遵守Facebook的数据政策之后,Facebook已对该公司提起诉讼,指控Rankwave违反合同约定。


Facebook于上周五在圣马刁县的加州高级法院提起该诉讼,指控Rankwave使用Facebook数据营销和销售自己的服务,特别是为诸多消费者和企业所使用以跟踪Facebook互动数据(如点赞和评论等)的工具。Rankwave平台上目前至少运营着30个应用。


Facebook在诉讼文件中提到,去年6月份,公司曾对Rankwave发起过调查。彼时,这家公司刚被另一家韩国娱乐公司收购。显然,那次调查也包括检查Rankwave的行为“是否影响任何用户数据”。公司指控,Rankwave未能提供证据,证明其一直有遵守Facebook的服务条款,也未履行其在2月份收到的停止和终止请求。由于公司未能遵守Facebook的规定,Rankwave“损害了Facebook的声誉、公众信任和商誉,致使Facebook不得不花费资源调查及纠正Rankwave的错误行为”。


根据诉讼文件,Rankwave否认自己违反Facebook的条款,但也未提供充分证据,向Facebook证明自己并未违反任何条款。诉讼要求Rankwave遵守审计要求及合规证明,同时要求该公司删除其所拥有的一切Facebook数据。


在谈及该诉讼的一篇博客文章中,Facebook的平台执法和诉讼总监杰西卡·罗梅罗(Jessica Romero)写道,公司目前以暂停了Rankwave的所有应用和账户。“通过这起诉讼,我们希望应用开发者明白,Facebook会严格执行平台政策,包括要求开发者配合我们的调查,”罗梅罗说。


有一种观点认为,诉讼中提到了公司声誉和公众信任,至少有一部分其实是毁于Facebook自己之手。但是,毫无疑问,Facebook正借一切机会,不遗余力地重塑自己的隐私保护形象。


来源:新浪科技 


2、报道称与俄罗斯有关的社交媒体账户正在传播针对欧盟选举的虚假信息


据《纽约时报》周日报道,一组与俄罗斯或极右翼团体有联系的网站和社交媒体账户正在传播虚假信息,并在欧盟关键选举前几周鼓励政治分歧。欧盟调查人员告诉《纽约时报》,该活动与俄罗斯此前的攻击活动具有许多相同的特征,包括俄罗斯干涉2016年美国大选的事件。


意大利和德国的团体拥有与亲克里姆林宫网站相同的电子签名或共享入侵民主党全国委员会的俄罗斯黑客使用的服务器。2017年,Facebook透露其发现有证据表明俄罗斯人利用社交网络干预2016年美国总统大选,并在美国人之间制造不和。美国情报机构曾警告国会,这些活动将在未来继续进行。但调查人员表示,确定俄罗斯的参与程度很难确定。


欧盟调查人员认为,Facebook和Twitter账户网络一直在传播关于欧盟、北约和移民等的虚假和分裂的故事。为参议院准备的分析发现,俄罗斯在2016年大选之前的虚假宣传活动使用了包括Facebook、Twitter和YouTube 在内的所有主要社交媒体平台,试图在美国人之间播下政治不和的种子。


本月早些时候,Facebook表示已经删除了来自俄罗斯的118个虚假帐户,页面和群组。这些帐户、页面和群组发布了有关乌克兰和欧洲其他国家政治的内容。


Facebook还在爱尔兰开设了一个新的运营中心,以便在欧盟议会选举之前打击假新闻。


据《纽约时报》报道,目前的竞选活动使用的是直接从俄罗斯新闻媒体采集的消息,但调查人员并未公开指责克里姆林宫支持某一特定候选人。调查人员相信数百万人可能阅读过宣传材料。


Facebook和Twitter的代表没有立即回复评论请求。


来源:cnBeta.COM


3、关于国家信息安全漏洞库(CNNVD)正式启动2019年兼容性服务申请工作的通知


各单位:2019年度CNNVD兼容性服务申请工作将于近期开展。


现就有关事项通知如下:


一、申请时间

即日起至2019年6月10日。


二、申请方式与要求


1.申请兼容性服务的厂商发送申请需求及接口人信息(姓名、职位、电话、邮箱)至CNNVD官方邮箱(cnnvd@itsec.gov.cn),以获取相关电子版材料。


2.厂商在规定时间内提交电子版《兼容性服务申请产品清单》、《CNNVD兼容性服务申请书》、《CNNVD兼容性服务产品申请表》(产品数量不限)至cnnvd@itsec.gov.cn。


3.申请材料待形式化审核后,予以反馈审核结果。


三、服务指南


《CNNVD兼容性服务白皮书》

下载地址:http://www.cnnvd.org.cn/web/compatibility/queryhome.tag


四、联系方式


国家信息安全漏洞库(CNNVD)


联系地址:北京市海淀区上地西路8号院1号楼(邮编100085)


联系人及联系电话:吴薇(010-82341531)


国家信息安全漏洞库(CNNVD)、CNNVD兼容性服务简介

国家信息安全漏洞库(CNNVD)是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。


经过几年的建设与运营,CNNVD在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用,为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持。


通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式,经过多年的收录工作,CNNVD漏洞信息覆盖国内外主流的应用软件、操作系统和网络设备等,涉及国内外各大厂商上千家,涵盖政府、金融、交通、工控、卫生医疗等多个行业。


随着CNNVD漏洞库漏洞数量不断扩大、影响力逐步提升,目前成为收录漏洞数目最多、漏洞属性最全、内容质量最高的国家级信息安全漏洞库。


CNNVD兼容性服务是CNNVD面向国内外信息安全从业单位,对其产品/服务等涉及的漏洞信息进行规范性评估与认证的服务。通过CNNVD兼容性服务的信息安全产品/服务,可实现其漏洞信息拥有统一的规范性命名与标准化描述,为漏洞挖掘、应用、验证与规避等技术研究提供基础支持,为开发更安全的信息产品或软件系统提供理论和技术支撑,进一步满足国家重要信息系统安全保障的需求。


来源:FreeBuf.COM



2019/5/13  星期一

1、Mozilla 资助开发更有效的在 Firefox 中整合 Tor


根据上个月公布的 Research Grants 2019H1,Mozilla 正寻求资助开发在 Firefox 中更有效的整合 Tor 的方法。目前 Tor 能工作在 Firefox 浏览器上,Tor 浏览器就是证据,但这种整合方法拖慢了浏览器的速度。Mozilla 认为,要让更多的用户使用 Tor 匿名网络需要解决目前 Tor 存在的效率低下的问题。学术界正在研究替代的协议架构和路线选择协议,如 Tor-over-QUIC、DTLS 和 Walking Onions。但替代的协议架构和路线选择协议是否能带来可接受的 Tor 性能增强,是否能保留 Tor 的特性,是否能大规模部署 Tor,如何全面整合 Tor 和 Firefox?Mozilla 愿意在这些方面提供研究资金。

来源:solidot.org


2、杠上美国反病毒公司:俄罗斯黑客要卖它们的源代码


5月12日,Ars technica称,Fxmsp是一个破坏私人企业和政府信息的俄罗斯组织,自3月份以来,Fxmsp在网络犯罪论坛上声称持有了从美国三家主要防病毒公司软件开发相关的独家源代码。


最近该组织声称已开发出一种能够感染目标并泄露敏感数据的凭证窃取僵尸网络,并在几周后破坏了一些安全公司的网络,获得了长期访问权限。


该组织以300000美元的价格向公司出售源代码和网络访问,并提供样本。根据高级专家的说法,过去两年中Fxmsp已经通过黑客企业网络赚取了大约100万美元。



来源:雷锋网


3、错误更新导致荷兰数百名嫌犯佩戴的监控踝带短暂失联


一个有缺陷的Windows更新或许会令人烦恼,但还不足以引起人们的恐慌,但是如果是数百名被警方监控的嫌犯或者有前科的罪犯突然失控呢?本周四佩戴在嫌犯腿部的踝关节监视器在更新中出现问题,导致设备和警察之间的通信被中断。


图片来自于 Dutch government


荷兰官员本周五表示:“由于软件更新,本周四电子监控踝带出现了短暂的中断,现在系统已经恢复正常。我们正在对所有佩戴监控踝带的人员进行全面调查,并努力让系统实现100%稳定。”


据悉本次更新于本周四早上推出,在更新之后导致所有监控踝带出现问题。目前尚不清楚究竟有多少人受到监控,但2017年发布的数据表明,平均每天有700人有踝关节监视器。迫于这种紧急情况,警察被迫先发制人地逮捕他们认为危险的人并将他们关在警察局。


虽然现在一切都恢复正常,但目前还不知道是否有罪犯利用这段空窗期进行逃脱或者切断他们的脚踝监视器,虽然这种几率非常低,甚至他们可能都没有意识到存在这个空窗期。援引外媒ZDNet报道,事实上荷兰警方在去年8月开展的网络升级中导致了和450名脚踝监视器的联系。去年5月,澳大利亚的750名监视设备也发生了同样的事情。


来源:cnBeta.COM


2019/5/12   星期天


1、Google Chrome将不再允许网站劫持后退按钮


作为全球头号浏览器,谷歌浏览器不断发展,谷歌一直在寻求提高所有平台的可用性,安全性和性能的方法。最近,谷歌开始研究一项新功能,该功能将阻止网站接管Chromium中的后退按钮。


由于许多用户发现许多网站或者网页使得浏览器中的后退按钮几乎没用,因为它们不想让用户离开当前页面,在这种情况下,按下后退按钮没有任何效果,因为浏览器似乎卡在同一页面上。这是一种噱头,利用后退按钮在浏览器中的工作方式,并使用重定向或历史操作。


谷歌表示,有些页面使用户很难或不可能通过浏览器后退按钮返回他们原先的页面。这是通过重定向或操纵浏览器历史记录来实现的,并导致滥用和恼人的用户体验。谷歌将通过阻止任何不涉及用户输入的行为来解决这个问题,这意味着按下后退按钮将获得预期的结果,并且不允许复杂的代码进行干预。浏览器后退按钮的新行为将跳过添加历史记录条目或重定向用户页面,但是同时不会影响history.back/forward API。


该功能仍在开发中,可在所有平台上使用,包括Windows,Mac,Linux,Chrome OS,Android和iOS。



来源: cnBeta.COM 

2、法院驳回针对苹果FaceTime窃听漏洞发起的诉讼


据外媒报道,早在今年1月,FaceTime就出现了一个重大漏洞,它能让用户在FaceTime电话未被接受的情况下也能强行与另一个人建立FaceTime连接,即使在FaceTime调用未被接受的情况下,同时还可以访问其音频和视频。


针对这一漏洞,休斯顿律师Larry Williams II提起诉讼。


据悉,Williams是在今年1月提起诉讼,也就是这个漏洞被公布的第二天提起诉讼。然而就在昨天,法院做出裁决,驳回了这个案件。法院认为Williams提出的FaceTime漏洞存在不合理危险性的说法是不正确的,同时他们还认为William提供证明苹果知道这个漏洞的证据不够。


FaceTime的窃听漏洞可能是近年来影响苹果产品的最严重问题之一。


来源:cnBeta.COM

3、 报道称美国军方不知道其运营网站的具体数量


据外媒The Verge报道,美国国防部不确定其运营了多少个网站。据美国军事专刊《星条旗报》(Starsand Stripes)报道,在上个月的一次活动中,马里兰州米德堡国防媒体活动代理主任、美国陆军上校Paul Haverstick表示,对五角大楼运营的网站数量“并不确定”。



国防媒体活动(DMA)是美军的多媒体推广运作,覆盖如Army News、 Air Force News、 Marines News、Navy News等军方网站和针对军人和平民的通讯教育平台。它还为国防部提供托管和Web开发。


但似乎国防媒体活动似乎并不负责对所有网站进行官方统计。DMA的网站称其支持“超过740个军事和国防部网站”,但Haverstick表示他估计DMA负责“2000到5000个”网站。这些网站包括各个军事分支机构的主要网站,以及博客和个别单位的网站。该服务不管理国防部的一切 - 一些网站托管在公共站点上。


《星条旗报》指出,近年来,DMA与五角大楼的一些部门一起面临预算削减,并且“该机构正在寻求集中其使命,并可能寻求放下国防部公共网站基础设施的责任。”为了做到这一点因此,DMA必须对其负责的内容进行评估,以便正确评估如何向前发展。


来源:cnBeta.COM 


2019/5/10 星期五


1、“手机墙”4个月“刷单”骗走1200余万元 - “流量造假”乱象何时休?


用2000部手机排成几面“手机墙”,每部手机同时操作自动下载App、“刷”高注册量后骗取客户推广费……记者日前从北京市公安局海淀分局获悉,按照公安部“净网2019”专项行动部署,北京警方在广东警方的配合下打掉一个利用计算机软件控制大量手机虚拟下载安装App产品骗取推广费的犯罪团伙,App刷量问题再度引发关注。



每个“手机墙”由近百部正在运行的手机组成


近年来,App刷量、电商刷单、公号刷阅读量等互联网产业“毒瘤”屡遭曝光。业内人士指出,盲目信奉“流量为王”的背景下,数据流量造假破坏了诚信、公平等基本的市场原则,侵害消费者权益,给行业长远发展“埋雷”。


去年7月,海淀警方接到一网络公司报案称,与某推广公司签署推广协议并交纳推广费用后,该网络公司开发的App产品下载安装量与实际使用情况存在巨大差距,只有下载安装量却没有实际使用量,怀疑推广公司存在诈骗行为。


经海淀警方专案组侦查发现,该推广公司接到项目后找了一些渠道推广商,而这些推广商再找到一些小公司,通过虚构该公司App产品的下载安装量达到诈骗推广费用的目的。在掌握相关证据后,警方分赴汕头、广州和深圳对多家涉案公司开展调查。


抓捕行动中,警方在汕头一家涉案公司内控制了6名嫌疑人,并发现多个装满手机的“手机墙”,每个“手机墙”由近百部正在运行的手机组成。办案民警介绍,每部手机都在通过自动程序重复着从手机App市场点击、下载并安装运行软件的动作。在这些手机不断点击下载的程序中,报案公司开发的App产品也在其中。


数据造假:App“刷量”更“简单粗暴”


记者注意到,相比“电商刷单”“刷浏览量”等数据造假行为, App“刷量”更加“简单粗暴”。


在2018年海淀警方破获的相似案件中,一家名为“重庆左岸科技公司”的企业就购置万部手机,设置“手机墙”刷出手机App下载注册的虚拟数据,骗取推广费用。根据北京法院审判信息网日前公布的一份刑事裁定书,这家公司用“手机墙”在短短4个月时间“刷单”骗走1200余万元。


为何App“刷量”成了行业顽疾?一位互联网从业者透露,由于当前App在推广方面的竞争非常激烈。“正常渠道获取新注册用户的成本在每个4元左右,但推广费中很高比例会被无良推广商‘薅羊毛’骗走。以游戏为例,虚假数据量表现在注册人数和下载量大幅提高,但付费率完全没有提升。”


“流量造假”现象亟待严惩


受访者认为,原本App下载量依靠的是自然搜索、付费广告、内置推荐等路径,推广效果与其触达率“同步”,但刷出来的下载量直接绕过“新用户”环节,留下的数据没有意义,影响到投资者的信心的同时影响整个市场信用。互联网评论员丁道师认为,消费者也是App“刷量”的直接受害者,通过刷量形成了巨大的下载量后排名靠前,但是消费者下载后发现并不好用,一般就会果断删除,浪费了消费者的时间和流量。


中国政法大学传播法研究中心副主任朱巍介绍,流量造假可以被纳入多个法律调整的范畴,这种现象亟待严惩。例如反不正当竞争法对虚假宣传进行了规制。涉及消费者自由选择权、知情权,还可以适用消费者权益保护法,而针对推广委托方与被委托方因此发生纠纷,也适用合同法对受损者进行保护。


受访者还指出,需要加快法治和信用环境建设。如果完善法治环境,使得职业“刷客”和刷单、刷量行为的违法、失信成本显著提高,那么企业自然关注的是如何做好产品,而不是不计手段、成本地制造虚假流量。


来源:新华社


2、江苏网警查处全国首例发布违规违法PUA信息案件


近日,江苏省厅网安总队、连云港市局网安支队成功查处一起搭建网站兜售非法PUA(Pick-up Artist)教程,传播涉及实施诈骗、淫秽色情等违法信息的案件。这起案件是全国首例查处发布违规违法PUA信息的行政案件。

经公安机关查明,违法行为人徐某(男,24岁,连云港人)通过开设网站,兜售PUA教程。该违法违规PUA教程以“自杀鼓励”、“宠物养成”、“疯狂榨取”为卖点,利用语言、文字、动作、视频、图象等方法,把女性直接称之为“猎物”“宠物”,或教唆伪装成成功人士诱惑涉世不深女性以骗取财物,或传授如何暴力征服让女性崩溃,或传授如何让女性失去理性,甚至不惜自杀等证据事实。目前,违法行为人徐某已被行政拘留五日并处罚款5万元,相关网站及通讯群组被责令关闭,违法违规PUA教程被全部清理。

PUA,字面释义搭讪艺术家,起初指的是一群受过系统化学习、实践、和不断自我完善情商的男性。后来泛指很会吸引异性,让异性着迷的男女们。部分不法人员以传授PUA教程为名,在网上大肆传播淫秽色情信息,或从事诈骗、敲诈勒索等违法犯罪活动,严重危害社会公共安全,侵害了人民群众尤其是女性网民合法权益。


来源:人民网


3、三星多个项目代码泄露 包括SmartThings源代码和密钥


美国科技媒体报道称,一名信息安全研究员近期发现,三星工程师使用的一个开发平台泄露了多个内部项目,包括三星SmartThings敏感的源代码、证书和密钥。三星数十个自主编码项目出现在旗下Vandev Lab的GitLab实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”,同时没有受到密码的保护,因此任何人都可以查看项目,获取并下载源代码。


迪拜信息安全公司SpiderSilk的安全研究员莫撒布·胡赛因(Mossab Hussein)发现了这些泄露的文件。他表示,某个项目包含的证书允许访问正在使用的整个AWS帐号,包括100多个S3存储单元,其中保存了日志和分析数据。


(部分泄露代码截图)


他指出,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,以及几名员工以明文保存的私有GitLab令牌。这使得他可以额外获得42个公开项目,以及多个私有项目的访问权限。


三星回应称,其中一些文件是用于测试的,但胡赛因对此提出质疑。他表示,在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的Android应用包含的代码相同。这款应用随后又有过升级,到目前为止的安装量已经超过1亿多次。


胡赛因说:“我获得了一名用户的私有令牌,该用户可以完全访问GitLab上的所有135个项目。”因此,他可以使用该员工的帐号去修改代码。


胡赛因还提供了多张屏幕截图和视频作为证据。泄露的GitLab实例中还包括三星SmartThings的iOS和Android应用的私有证书。


来源:新浪科技


2019年5月9日 星期四


1、关闭CDC 甲骨文确认中国中国区首批裁员900余人

北京商报讯(记者卢扬 实习记者 杨海丹)5月7日上午,甲骨文召开了面向全中国区的电话会议,正式敲定了中国研发中心裁员调整一事。亚太区人力资源负责人在会上表示,公司正进行业务结构调整,导致一部分人要离开岗位,这将是全球性的。


据了解,此次主要裁撤的是甲骨文中国区研发中心(CDC)相关人员,首批确认裁员约900余人,其中超500人来自北京研发中心,而整个CDC共约1600人,意味着首批裁撤人员数额达到近六成。


实际上,CDC将被整个关闭成为内部共识,第二批或许将在7月进行。早在2018年底,CDC就关闭了校园和社会两条招聘通道,至今未开启。


首批被确认在裁员名单中的CDC职员,被告知需在5月22日之前确认签字离开,赔偿方案为N+6(N为入职年限),但具体还有不同。据悉,此次赔偿方案中,涉及到的赔偿工资设置了上限。当员工日常工资超过3倍社会平均工资时,将按照N*(3倍社会平均工资)+6*员工日常工资,这一方案进行赔偿。


今年3月曾有外媒报道,甲骨文计划在加州地区裁员三百余人,这也是该公司调整云计算业务的组成部分。知情人士透露,甲骨文在北美地区将有5%至10%的员工失业。此次中国地区裁员,云计算相关研发人员也在首批名单之中。


甲骨文被认为是继微软之后,占全球第二的软件公司。1980年代后期,当时作为世界第四大软件公司的甲骨文进驻中国,目前在中国市场已经有超过30年的运营经营。


目前,甲骨文在中国有14家分公司、5个研发中心,约近5000员工。研发中心负责云开发、Linux、Oracle Spatial、虚拟化技术、服务器技术和应用开发等。


值得一提的是,甲骨文在全球公有云市场份额远远落后其他竞争对手。市场研究公司Gartner在2018年8月发布的数据显示,当时在云计算市场领域,亚马逊市占率为51.8%;微软为13.3%,阿里巴巴占4.6%,谷歌占3.3%。而甲骨文则未能进入市占率前五。


来源:北京商报


2、Kotlin-first - 谷歌宣布Kotlin成为Android开发首选语言


谷歌在今日举行的 I/O 大会上宣布,Kotlin 编程语言现在是 Android 应用程序开发人员的首选语言。Kotlin 由 JetBrains 公司开发,与 Java 100% 互通,并具备诸多 Java 尚不支持的新特性。



两年前的 I/O 2017 年上,谷歌才宣布在其 Android Studio IDE 中支持 Kotlin,Kotlin 开始成为 Android 开发的一级语言,当时业界并不太看好,因为 Java 在安卓的发展过程中做出了巨大的贡献,其作为安卓开发语言的观念已经根深蒂固,而且它也一直在不断完善。


然而仅仅几年时间,Kotlin 因其相比 Java 更安全与简洁等优越性,很快占领市场,谷歌 Android 首席布道师 Chet Haase 表示:“在过去的两年中,Kotlin 受欢迎程度一直在提高,超过 50% 的专业 Android 开发人员现在使用 Kotlin 开发他们的应用”。从今年 Stack Overflow 年度开发者调查的数据中也能看到这一点,如下图所示,报告中指出,在开发者最喜爱的编程语言中,Kotlin 得到了 72.6% 正面反馈。


来源:开源中国


3、美中情局分享暗网加密链接 网友吐槽:原来是这样监视我们


美国中央情报局(CIA)最近一改“神秘”形象,开始在社交网站上“抖机灵”。两周前,中情局在Instagram上发布一张“猜谜”照片,吸了一波流量,没想到7日却因在推特上分享的暗网链接“翻了车”。


“来洋葱网络(Tor network)找我们呀!”5月7日,中情局一连在推特上发布了4条加密链接相关推文。中情局公布了其在洋葱网络的网址链接,承诺网友可以匿名通过该平台上向政府“提供信息”。


推特截图


根据公开资料,洋葱网络是一种在计算机网络上进行匿名通信的技术。通信数据先进行多层加密然后在由若干个被称为洋葱路由器组成的通信线路上被传送,可防止那些知道数据发送端以及接收端的中间人窃得数据内容。简单来说,这个工具可以帮助网民真正的匿名发帖。


据俄罗斯卫星通讯社报道,网民使用洋葱网络等匿名浏览工具的原因有很多,包括具有隐私意识不愿被监控,购买违禁品,避免被政府追踪——但是现在,洋葱网络被建议用于向政府“告密”。


中情局在推文中写到:“情报收集任务存在着安全、匿名、不可追踪等特点,洋葱网络也刚好具有同样特性。中情局信息一应俱全,如果想获得相关内容,请点击下方链接。”


推特截图


在中情局公共事务主管布里塔尼⋅布拉梅尔看来,他们的任务就是任何人无论身处何地都可以与其建立安全联系。创建一个洋葱网络链接只是“去到人们所在的地方”一种方式。


俄罗斯卫星通讯社评论称,“去到人们所在的地方”对送货服务来说是一个好目标,但一个有着“监视公民”前科的政府机构提出时,危险性就会更大一些。


中情局此举也让网友感到疑惑:洋葱网络到底是不是间谍工具?推特上网友回复似乎不完全符合中情局的意。有网友断然拒绝:不用,谢谢!另有评论称:“原来中情局就是这么监视美国民众的。”


推特截图


更有网友认为,中情局使用加密网络与罪犯和恐怖分子使用的是一样的,被讽刺称“肯定不会让人失望”。


来源:海外网



2019年5月8日 星期三


1、微软在 Windows 10 中搞了个真正的 Linux 内核


微软在 5 月 6 日推出了全新的终端 Windows Terminal,这是一个全新的、流行的、功能强大的命令行终端工具。包含很多来社区呼声很高的特性,例如:多 Tab 支持、富文本、多语言支持、可配置、主题和样式,支持 emoji 和基于 GPU 运算的文本渲染等等。


同时该终端依然符合我们的目标和要求,以确保它保持快速、高效,并且不会消耗大量内存和电源。


而在这之上,其实是 2 代 WSL(Windows Subsystem for Linux 2)提供了强劲动力。


WSL 团队在博客中写到:


今天我们推出 Windows Subsystem for Linux 的最新架构:WSL 2!这种新架构的变化将允许:大幅度的文件系统性能提升,以及完整的系统调用兼容性,这意味着可以在 WSL 2 中运行更多 Linux 应用程序,例如 Docker。


WSL 1 虽然已经于 2016 年就推出,但是社区一直要求提高文件系统性能,并具有更好的系统调用兼容性,使更多应用程序可以在 WSL 内部工作。新推出的 WSL 2 使用一个全新的体系结构,使用真正的 Linux 内核,可以在 Windows 上运行 ELF64 Linux 二进制文件,新的架构改变了这些 Linux 二进制文件与 Windows 和计算机硬件的交互方式,但仍提供与 WSL 1 相同的用户体验。单个 Linux 发行版既可以作为 WSL 1 发行版运行,也可以作为 WSL 2 发行版运行,可以随时升级或降级,并且可以并行运行 WSL 1 和 WSL 2 发行版。



Linux 二进制文件使用系统调用来执行许多功能,例如访问文件、请求内存与创建进程等。WSL 1 创建了一个转换层,对这些系统调用进行翻译,以允许它们在 Windows NT 内核上工作。但是,实现所有这些系统调用很有挑战性,导致某些应用程序无法在 WSL 1 中运行。现在 WSL 2 包含自己的 Linux 内核,它具有完整的系统调用兼容性。这引入了一组可以在 WSL 中运行的全新应用程序。


值得一提的例子是Linux 版本的 Docker 可以在 WSL 2 中运行,当然了,还有前面提到的全新终端 Windows Terminal。同时,使用 WSL 2 意味着可以比 WSL 1 更快地获得 Linux 内核的最新改进,因为开发团队可以简单地更新 WSL 2 内核而不需要自己重新实现更改。


毋庸置疑,WSL 2 的速度也明显比 1 代快!git clone、npm install、apt update 与 apt upgrade 等文件密集型操作都会明显加快。实际的速度增加将取决于正在运行的应用程序以及它与文件系统的交互方式。开发团队运行的初始测试使 WSL 2 在解压 tarball 时比 WSL 1 快 20 倍,在各种项目中使用 git clone、npm install 和 cmake 时速度提高约 2-5 倍。


WSL 2 的初始版本将于今年 6 月底通过 Windows 内部人员计划提供。


详情地址链接:

https://devblogs.microsoft.com/commandline/announcing-wsl-2


2、计算机科学家设计无法被黑的处理器芯片架构


密歇根大学的计算机科学家设计出一种新的处理器架构,能主动抵御未来威胁,事实上让现有的 bug 和补丁安全模式过时。被称为 MORPHEUS 的芯片通过每秒 20 次加密和随机重编关键数据比特来阻止潜在的攻击,远快于人类黑客能做出反应的速度,比最快的电子黑客技术快数千倍。


密歇根大学教授 Todd Austin 称,今天一个接一个消除 bug 的方法是一种失败的博弈,只要有新的代码,总会出现新的 bug 和安全漏洞。


通过使用 MORPHEUS,即使黑客发现了一个 bug,利用 bug 所需的信息会在 50 毫秒后消失,它可能是最接近不会被黑的安全系统。


来源:solidot.org


3、加拿大边境服务局因旅客拒绝披露密码而扣押其手机和笔记本电脑


加拿大边境服务局被指因律师拒绝披露密码而扣押其手机和笔记本电脑。这位叫 Nick Wright 的加拿大律师于 4 月 10 日乘飞机在多伦多的 Pearson 机场入境,他被要求接受额外的检查,边境服务局没有给出检查的理由。


他对官员搜查他的包并无意见,但当官员要求提供密码搜查他的手机和笔记本电脑时他拒绝了,他称两个设备包含了客户的机密信息。


边境服务局随后没收了他的设备,称将会送到政府实验室去破解密码搜索文件。


律师认为当局此举侵犯了他的宪法权利。


来源:cnBeta.COM



2019年5月7日 星期二


1、来电显示暗藏黑色利益链 你的号码被“标注”了吗?


“你是记者吧?”

“你看我哪里像记者?”

“不用看,你给我打电话的时候已经显示身份了。”

这是4年前AI财经社主编刘子倩与一位出租车司机的一段对话。


2015年8月的一天,刘子倩用打车软件叫了一辆车,刚刚上车,他就被司机识破了身份。原来,司机手机上的一款来电号码识别软件,把刘子倩的身份信息标注为“记者”。当刘子倩拨通司机电话时,他的身份信息就已经泄露了。


这让当时正做调查报道工作的刘子倩感到不寒而栗,“这种信息泄露对我而言是致命的,如果对方看到来电就知道我是记者,那工作就没办法开展了”。

在自己不知情的情况下,用户的身份信息被软件平台标注;想要查询身份信息被哪些软件标注,需要向一些网站付费;如果想更改或取消标注信息,需要再次付费……当初让刘子倩感到不寒而栗的来电信息标注,如今已经形成了一条黑色利益链。


北京华讯律师事务所主任张韬近日在接受记者采访时指出,个人电话号码属于个人信息,对于个人电话号码的信息标注,属于对个人信息保护的收集和利用,建议在个人信息保护法中作出规定。


“什么样的信息可以被标注,用户的知情权、更正权等权利如何得到保障,企业应当承担怎样的审核义务,公司以帮助查询、更正信息为由收取费用是否合法……这些都需要法律法规进行明确。”张韬说。


每年用户举报骚扰电话上亿次


张韬指出,虽然按照相关规定,不得向用户拨打骚扰电话,以及未经用户事先同意而向用户发商业推销短信。但是,由于治理难度大、违法成本低等原因,导致此类现象屡禁不止,在这种情况下,号码识别软件的存在是必要的、合理的。


腾讯手机管家安全专家杨启波告诉记者,对骚扰电话号码进行信息标注,可以让用户在接到来电时能及时收到提醒号码类型,免受骚扰电话的打扰,还帮助不少用户避免了财产等各方面的损失。


2018年上半年,腾讯手机管家用户共举报骚扰电话近1.43亿次,360手机卫士用户共标记各类骚扰电话号码数量约2943.7万个。


虽然标记信息是由用户来提供,但为了防止用户错误、恶意标记信息,很多来电号码识别软件都有着一些防范机制。


杨启波和360安全专家均在接受记者采访时说,并不是用户想标记哪个号码都可以,而是必须在本机收到这个号码的来电后才能进行标记。同一个用户手机标记多次只当一次处理。而且,需要达到一定的人数,才会被标记为相应的身份信息。


公司收费查询或属非法行为


在数量庞大的标记信息中,“漏网之鱼”在所难免。“来电号码识别软件属于在线数据产品,是基于广大用户标记而形成的数据库。这类软件的应用,也会出现信息被错误标记和恶意标记的情况。”张韬说。


中国政法大学传播法研究中心副主任朱巍指出,来电号码识别软件对骚扰诈骗电话进行信息标记,属于大数据时代的共享共治的范围,在很大程度上实现了保护用户安全的初衷。但也要看到,由用户标记信息的做法,确实容易导致身份信息标记错误、恶意标记身份信息等问题的出现。


通常情况下,来电号码识别软件都会有申诉渠道。“腾讯手机管家目前在官网、APP、微信公众号上都有较为明显的申诉入口,在收到用户申诉后,我们会在7个工作日内进行人工核对并依法处理。”杨启波说。


然而,由于每一种软件属于不同企业自建的标准和数据库,因此,用户想要逐一更正或取消错误标记的信息,难度很大。


于是,一些网站和平台开始提供信息查询和更正服务。用户花费几十块钱后,可以查询自己信息的标注情况并进行更正。


记者注意到,某网站声称,一个号码只需支付23元查询技术费,用户就可以查询自己的号码是否被标记。


“用户身份信息不能作为经营项目,如果只是要求用户提供信息,然后帮助查询,这种收集信息的方式是没问题的。但是,如果把收集公民信息的行为与盈利结合起来,就属于违法甚至犯罪行为了。”朱巍说。


应保障用户知情权和更正权


张韬指出,来电显示信息标记涉及到公民信息的收集和利用,建议个人信息保护法及相关法规中对此类问题进行规定。


张韬认为,用户享有对自己号码身份信息被标注情况的知情权。号码识别软件标记结果是对号码使用者身份信息的展示,因此,当自己号码被标记时,号码使用者应当享有知情权。因此,相关的App应当设置号码标注情况的查询功能,并首先是进行公示,以能够让用户很容易找到这个App,还要便于用户查询。


张韬同时指出,保障用户的更正权同样重要,因为号码标注的数据来源,往往是社会大众,因此也会存在被错误标注的情况,当出现这样的问题时,相关的App运营者(在核实真实情况后)应当给号码使用者更正的权利。而且,更正的权利也可以防止号码标注功能被他人恶意使用。


“法律应当保障用户对自己数据的完全控制权。我的信息什么时间被标记,我应该有知情权。当我发现信息被标记错误后,我应该有更正权。同时,企业应该设立一套对恶意标记的处罚规则,如果发现申诉者是被恶意标记的,企业应该对恶意标记者进行一定的处罚。”朱巍说。


张韬认为,有一些人的身份是不能或者不合适被标注、披露的,就像刘子倩所担心的那样,调查记者的身份如果被标注出来,往往会对其调查采访造成影响,严重的甚至可能威胁到其人身安全,这是现实问题。另外,一些单位的名称等信息也存在不适合被标注、披露的情况。所以在相关立法和标准制定过程中,建议对此类情况予以重视。


来电号码识别软件“各自为战”的局面,是导致用户查询难的主要原因。


对此,张韬建议建立健全相关标准,以达到信息的归集、标注和共享,减少差错,便于监督,也能够使各App用同样的尺度去衡量。


“同时,可以建立统一的查询、更正、举报、投诉等综合平台,只要是提供号码标记的App,都可以把数据接入到此平台,以便于用户查询和更正标记信息。同时,相关部门也能及时发现识别软件存在的问题,及时处理。”张韬说。


来源:法制日报


2、黑客集团内部是如何运作的?它们也有CEO和项目经理


网络犯罪组织会为了争夺客户而相互竞争,会花重金招募最优秀的项目经理,甚至会寻找合适的人才来担任类似于首席执行官的角色,在规范管理人员配置和攻击事务之外负责如何帮助牟取更多的资金。来自IBM和谷歌的安全研究人员描述了网络犯罪组织内部是如何运作的,并且称它们经常会公司化运作。


IBM Security威胁情报主管Caleb Barlow表示:“我们观察到他们也有比较严明的纪律,在办公时间里很活跃,他们也会在周末休息,他们也会定时工作,他们也会休假。它们会以公司化进行运作,会有一个老板全权管理所有攻击行为。它们就像是你雇佣装修公司一样,它们有着很多的分包商,就像是水电工、木工和油漆工一样,它们也和你一样正常上下班。”


Barlow表示了解恶意黑客如何构建和运营其业务非常重要,而公司化可以更好地掌握他们正在攻击的任务。虽然并非所有网络犯罪组织都完全相同,但大体结构应该是这样的:领导者,例如CEO,会监督整个组织的更广泛目标。而他或者她会雇佣和领导诸多“项目经理”,而每个项目经理负责每次网络攻击的不同部分。


恶意软件的攻击者可能首先购买或创建有针对性的攻击工具,以窃取集团所需的确切信息。另一位攻击者可能会发送欺诈性电子邮件,将恶意软件发送给目标公司。一旦软件成功交付,第三位攻击者可能会努力扩大集团在目标公司内的访问权限,并寻求可以在暗网上进行销售的相关信息。


IBM还提供了一张信息图,展示了从犯罪集团的角度,如何发起为期120天针对一家财富500强公司的真实案例。负责IBM X-Force业务安全事件响应的Christopher Scott表示称在这种情况下,对财富500强企业的攻击意味着窃取和破坏数据,不同的颜色大致代表不同的工作职能。



在图形的左侧,专门破坏公司网络的攻击者以自己的方式进入业务以获得立足点。其他“项目经理”通过窃取他们的凭证来破坏各种员工帐户,并使用这些帐户执行该计划中的不同任务,从访问敏感区域或收集信息。时间线上的差距代表了黑客停止进行某些活动的时期,因此他们不会将公司用来检测犯罪活动的传感器干扰。


在120天周期尾声的时候,以鲜红色为代表的黑客专家最终画上句号,使用不同的恶意代码来破坏公司的各种数据。隶属于Alphabet集团“Other Bet”下方,专门从事网络安全的Chronicle公司研究主任Juan Andres Guerrero-Saade解释称:“如果我是一名优秀的开发人员,那么我会选择创建勒索软件并将其出售,或者将其像那些提供software-as-a-service的公司一样作为服务出售。然后我会不断维护这款恶意软件,如果你找到受害者并让他们受到感染支付赎金,那么我将收取10%或20%的分成。”


来源:cnBeta.COM


3、爱彼迎民宿路由器暗藏摄像头:官方回应已移除房源


5月5日下午,有媒体报道称,在山东青岛一家爱彼迎(Airbnb)的民宿中,住客在无线路由器内发现了隐藏的摄像头和存储卡,拍摄方向正对卧室。5日晚间,爱彼迎公关人员对此正式回应称,爱彼迎十分重视隐私保护,对任何侵犯隐私的行为都秉持零容忍态度,目前平台方已经永久性移除涉事房源。


爱彼迎方面表示:“5月2日晚上10点房客与我们联系后,我们当晚做了全额退款处理,并承诺会支付他的酒店费用。同时我们是专人专线,并安排了个案经理专门跟他沟通。”


此外,爱彼迎还再次向房客表达诚恳歉意,并承诺“会继续跟进妥善安排后续事宜”。


据了解,发现路由器隐藏摄像头的住客从事信息安全工作,整个过程被一些网友称为“教科书式反偷拍”:


入住后在玄关和卧室发现三个动态感应器,但屋内并无智能家居。随后检查路由器,发现一根排线异常,对比官方产品照片后确认路由器进行了改造,拆开后发现内有存储卡,立即报了警。


据悉,涉案民宿房主自2019年3月开始,在房间内正对床的位置安装针孔摄像头,拍摄他人隐私视频进行观看,目前已被行政拘留20日,并处罚金500元,擅自经营的旅馆被依法取缔。



来源:快科技



2019年5月6日 星期一


1、中消协等发智能锁试验报告:半数存指纹识别安全风险

中国消费者协会、四川省保护消费者权益委员会、 深圳市消费者委员会、佛山市消费者委会今天联合发布智能门锁比较试验报告,29款样品中,48.3%的样品密码开启安全存在风险,50%的样品指纹识别开启安全存在风险,85.7%的样品信息识别卡开启安存在风险。

样品锁的牢固件性能不理想
按照国家强制性标准GB 21556-2008《锁具安全通用技术条件》对A级锁的要求,29款样品锁的锁舌长度均符合要求(大于等于20毫米),但锁舌强度只有12款样品锁符合要求。

防破坏报警功能有待加强
根据国家强制性标准GB 21556-2008《锁具安全通用技术条件》要求,锁在连续实施误操作及防护面遭受外力破坏时,应能自动发出声或光报警指示或报警信号。经检测显示,29款样品中有15款锁能发出报警信号。

样品的机械应急锁被破坏开启时间差别显著 个别样品的防破坏性能较差
本次比较试验参照机械防盗锁锁芯破坏试验的方法,使用螺丝刀、镊子、手锤等普通手工机械工具,对样品的机械应急锁芯进行破坏直至被打开,同时记录破坏开启的时间。此次比较试验的29款样品中,标称“上海西默通信技术有限公司”生产的型号为“XMSH-DL121”的样品在锁芯破坏试验中,由于外力作用使得应急锁芯与离合间的塑料连接件断裂,从而导致应急锁芯无法驱动离合动作,最终未能以破坏锁芯的方式被打开,另一款标称“派瑞”品牌型号为“H300S”的样品没有应急机械开锁功能。




注:
1、本次比较试验结果仅对所购买的产品负责,不代表同品牌不同批次、不同规格产品的质量状况。结果仅供消费者选购产品参考,不构成对任何相关产品的推荐与宣传。

2、未经中国消费者协会、四川省保护消费者权益委员会和深圳市消费者委员会书面允许,任何单位和个人不得擅自使用本次比较试验结果作为商业宣传。

3、表中“√”表示样品的该项内容没有问题或具备该功能,“×”表示样品的该项内容存在问题或风险。

4、 “价格”为购买时的实际价格,仅供参考。

来源:央视新闻客户端


2、神秘黑客三年来一直向APT组织提供Windows 零日漏洞

卡巴斯基实验室的研究人员称,在过去的三年里,一位神秘黑客一直在向至少三个网络间谍组织以及网络犯罪团伙出售Windows 零日漏洞。

一些受政府支持的网络间谍组织,被称为APT组织,除了开发内部工具外,还定期从第三方购买零日漏洞。
 
据信,APT组织经常使用由第三方公司开发的零日漏洞,这些公司通常为监控软件销售商。

卡巴斯基最近披露的情况表明,APT组织在某些情况下会涉足地下黑客领域,获取由独立黑客为网络犯罪组织开发的漏洞。
 
卡巴斯基实验室的专家称,黑客Volodya是零日漏洞最多产的供应商之一,他也被称为BuggiCorp。这位黑客在网络犯罪论坛公开出售一份Windows 零日漏洞之后,登上了各大科技新闻网站的头条。当时这则广告令人震惊,因为很少能看到黑客在一个公开论坛上出售Windows 零日漏洞,大多数都是私下进行交易。BuggiCorp多次降低要价,从9.5万美元降至8.5万美元,最终把零日漏洞卖给了一个网络犯罪集团。
 
卡巴斯基专家表示,卡巴斯基自2015年以来一直在跟踪Volodya,他是一个多产的开发人员和零日漏洞卖家。Volodya是“volo”的缩写,这个昵称经常出现在他的一些作品中,据观察,他很有可能是乌克兰人。 

Volodya似乎是CVE-2019-0859漏洞的发现者,这个漏洞被网络犯罪集团用于金融盗窃。他发现的另一个漏洞CVE-2016-7255,曾被著名的俄罗斯APT组织Fancy Bear (也称为APT28、Pawn Storm、Sednit、Sofacy或Strontium)使用。 

卡巴斯基专家表示,黑客还与中低端网络犯罪组织合作,这些组织一直在购买和使用零日漏洞。除了零日漏洞之外,Volodya还在开发针对补丁的漏洞。

来源:E安全


3、国家互联网应急中心开通勒索病毒免费查询服务

从国家互联网应急中心获悉,为了有效控制WannaCry勒索病毒的传播感染,国家互联网应急中心近日开通了该病毒感染数据免费查询服务。2017年5月12日,WannaCry勒索病毒利用Windows SMB(“永恒之蓝”)漏洞在全球快速传播,造成全球计算机大范围感染。

国家互联网应急中心介绍说,为实时掌握WannaCry勒索病毒及其变种在我国的传播感染情况,国家互联网应急中心持续开展针对该病毒的监测工作。根据分析,WannaCry勒索病毒成功感染计算机并运行后,首先会主动连接一个开关域名。如果与开关域名通信成功,该病毒将不运行勒索行为,但病毒文件仍驻留在被感染计算机中;如果通信失败,该病毒将运行勒索行为加密计算机中的文件,并继续向局域网或互联网上的其他计算机传播。

据悉,截至2019年4月9日,国家互联网应急中心监测发现我国境内疑似感染WannaCry勒索病毒的计算机数量超过30万台,仍有大量的计算机未安装“永恒之蓝”漏洞补丁和杀毒软件。我国计算机感染WannaCry勒索病毒疫情依然比较严峻。

为了有效控制WannaCry勒索病毒的传播感染,国家互联网应急中心开通了该病毒感染数据免费查询服务。查询说明如下:

1、WannaCry勒索病毒暂只能感染Windows操作系统,请用户在Windows操作系统上的浏览器中输入查询地址打开查询页面进行查询,查询地址为:http://wanna-check.cert.org.cn。

2、若提示IP地址承载的计算机受到感染,建议使用WannaCry勒索病毒专杀工具进行查杀,并及时修复相关漏洞。

3、如果使用宽带拨号上网或手机上网,由于IP地址经常变化,会导致查询结果不准确,仅供参考。



来源:快科技

2019年5月5日 星期日


1、几大Git平台仓库被劫 黑客欲勒索比特币

数百名开发人员的 Git 仓库被黑客删除,取而代之的是赎金要求。攻击于5月3日开始,包括 GitHub、Bitbucket 和 GitLab在内的代码托管平台都受到了影响。 目前已知的情况是,黑客从受害者的 Git 仓库中删除了所有源代码和最近提交的 Repo,只留下了 0.1 比特币(约 ¥3850)的赎金票据。

黑客声称所有源码都已经下载并存储在他们的一台服务器上,并且给受害者十天时间支付赎金,否则,他们会公开代码。

  

想要恢复丢失的代码并避免泄露:请将 0.1 比特币(BTC)发送至我们的比特币地址 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并将您的 Git 登录信息和付款证明发送至 admin@gitsbackup.com。如果您不确定我们是否有您的数据,请与我们联系,我们将向您发送证明,您的代码已下载并备份在我们的服务器上。如果我们在接下来的 10 天内没有收到付款,我们将公开代码或以其他方式使用。

在 GitHub 上搜索可发现已有 391 个仓库受影响,这些仓库的代码和提交信息均被一个名为 “gitbackup” 的账号删除。

尽管如此,BitcoinAbuse 平台显示,该比特币地址目前还未收到赎金。
 

  

一名用户指出 GitHub 在发现攻击后暂停帐户并进行调查:“GitHub 昨晚在他们调查时暂停了我的帐户,希望今天能听到他们的消息,我可能很幸运。”

据 ZDNet 的报道,好消息是,在深入挖掘受害者的案例后,StackExchange 安全论坛的成员发现黑客实际上没有删除,仅仅是改变了 Git 提交标头,这意味着在某些情况下可以恢复代码提交。

此页面提供了有关如何恢复损坏的 Git 仓库的说明。

最新消息,GitLab 的安全总监 Kathy Wang 告诉 BleepingComputer:

我们根据 Stefan Gabos 昨天提交的赎金票据确定了消息来源,并立即开始调查此问题。我们已确定受影响的用户帐户,并且已通知所有这些用户。根据调查结果,我们有充分证据表明,受损帐户的帐户密码以明文形式存储在相关存储库的部署中。我们强烈建议使用密码管理工具以更安全的方式存储密码,并尽可能启用双因素身份验证,这两种方法都可以防止出现此问题。

目前,平台和用户都在努力解决问题,此处正在持续讨论可能的解决方案。

来源:开源中国


2、何时能不被黑客鱼肉?D-Link 智能摄像头又出事了

近些年来各家厂商把“智能”摄像头市场做的是风生水起,许多消费者也想靠这些大眼睛来守护一方平安。对普通人来说,这些智能化的摄像头确实相当方便,只需连上网络,你就能在千里之外获取自己需要的画面。不过,在你享受方便之余又很容易掉入陷阱,因为安全漏洞背后藏着的坏人太可怕了。

最近,ESET 智能家居的研究就显示,D-Link 的 DCS-2132L 云摄像头已然中招,攻击者不但能借助安全漏洞截获并“欣赏”你的监控视频,还能操纵设备固件。 


 

对用户来说,这款 D-Link 摄像头最严重的问题就是其未加密的视频流传输。摄像头与云端以及云端和客户端之间完全不设防的设计为“中间人”(MitM)发动攻击提供了肥沃的土壤,入侵者想调取视频流简直易如反掌。

ESET 的研究显示,客户端与摄像头是通过接口 2048 上的代理服务器进行通信的,使用了 D-Link 自有的信道协议(TCP 信道)。不幸的是,通过这些信道的数据流只有一部分得到了加密,而大部分敏感内容(比如摄像头 IP、MAC 地址、版本信息、视频与音频流请求等)都完全不设防。

追根溯源上去,这一切问题的根源都是 request.c 文件中的一个条件(D-Link自定义开源 boa Web服务器源代码的一部分),它负责处理对摄像头的 HTTP 请求。由于来自 127.0.0.1 的所有 HTTP 请求都被提升到管理员级别,因此潜在攻击者拿到了对设备的完全访问权限。

截获视频与音频流

黑客发动中间人攻击后,就能利用服务器上 TCP 连接的数据流截获 HTTP 请求(视频与音频数据包)。对其进行重构与重播后,攻击者就能在任何时间获取摄像头摄录的音频或视频流,而且是 M-JPEG 与 H.264 双格式的。

当然,重构视频流也没那么容易,攻击者还得一步一步来(这个过程也可以借助简单的程序或脚本实现自动化):

1. 识别出哪些流量代表了视频流,因为这里的流量由多个数据块组成,每个数据块都有特定的标题和定义的长度;

2. 将数据部分与标题分离开来;

3. 最后,将其中的视频合成一个文件。

需要注意的是,播放这个视频文档可能有点麻烦,因为它们还是 RAW 格式。不过,许多播放器(比如 MPlayer)只需一个插件就能吃掉这些文档。

有缺陷的插件

这还没完,“mydlink services”(网络浏览器插件)中也有重大发现。

这款网络浏览器插件不但“控制”着客户端浏览器中 TCP 信道和实时视频播放的创建,还负责通过信道转发对视频和音频数据流的请求,同时侦听着本地服务器上动态生成的端口。

由于该信道可用于整个操作系统,因此用户计算机上的任何应用或用户都能通过简单的请求轻松接入摄像头的网页界面。整个过程连授权都不需要,因为从摄像头网络服务器发出的 HTTP 请求在从本地服务 IP 访问时会自动升级到管理员级别。

这个漏洞还给攻击者行了方便,只要他们愿意,就能替换掉 D-Link 摄像头的固件,更加为所欲为。

“狸猫换太子”

最新消息显示,D-Link 已经成功修复了“mydlink services”插件。

不过,只要黑客愿意,他们还是能通过 D-Link 的信道协议替换用户固件。完成“狸猫换太子”的操作,攻击者只需修改信道中的流量即可(用特殊的 POST 请求替换视频流 GET 请求)。

当然,普通黑客肯定玩不转这一步,因为全程你都得遵守信道协议,将固件植入不同的区块。不过,成功之后就简单多了。那些自制固件能开后门、监控软件、植入木马,甚至可以让受害者的智能摄像头帮忙挖矿。由于无需授权,攻击者甚至能直接让你的设备变砖。

插件虽然修好了,但屁股还是没擦干净

去年 8 月底,ESET 就将相关情况反映给了 D-Link。后者反应也相当及时,承诺会尽快跟进并完成修复。后续测试发现,D-Link 确实解决了一部分漏洞问题,“mydlink services”插件也是绝对安全,但有些问题依旧存在。

截至发稿前,最新版本固件的更新日期依然停留在 2016 年 11 月份,容易被黑客玩“狸猫换太子”的固件漏洞还是没能解决,截获音频与视频流的 Bug 也还在。

因此,如果你正在使用或准备购入 D-Link DCS-2132L 摄像头,别忘了先检查接口 80 是否已经暴露在公共互联网上。同时,如果你要用摄像头监控高度敏感区域,远程接入功能还是不用为好。

来源:雷锋网


3、黑客轻松接管29个僵尸网络 只因运营商太菜

ZDNet 网站报导,安全专家一次性接管了 29 个僵尸网络,原理十分简单,利用了运营商技术“太菜”的方法。在采访中,安全专家 Subby 介绍了他接管的这 29 个僵尸网络,他指出其实这些僵尸网络都比较小,最初的机器人数量显示总计将近 40000,但在删除重复数据后,实际数量仅为 25000,这样的数据对于一个单独的 IoT 僵尸网络来说都是很小的,更不用说是 29 个的总和了。


 

同时,因为机器少,所以输出流量也相当低,Subby 说:“我能够获得一个可靠的网络流量图,该图表由所有僵尸网络产生的流量组合而来,它的速度低于 300 gbit/ s”

谈到为什么能一次性轻易黑掉 29 个僵尸网络,Subby 解释一些僵尸网络运营商经常使用比较弱的凭证来保护其 C&C 服务器后端。

Subby 使用了一个用户名词典和一个常用密码列表对这些僵尸网络的 C&C 基础设施进行暴力破解,收获非常多。这其中,有一些设备使用了非常弱的用户与密码组合,如`root:root`、`admin:admin`和`oof:oof`。

为什么会发生这种情况?Subby 解释:“很大一部分僵尸网络运营商只是简单地关注在社区中传播的教程,或者是在 YouTube 上学习以建立他们的僵尸网络”,他说:“在对着这些教程按部就班的过程中,他们不会更改默认凭据。而且就算他们更改了凭据,通常密码也很弱,因此容易受到暴力破解的影响。”

来源:开源中国


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2019-5-31 09:39 被Editor编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (28)
雪    币: 1993
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
good
2019-5-5 10:21
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
3
1、中消协等发智能锁试验报告:半数存指纹识别安全风险
2、神秘黑客三年来一直向APT组织提供Windows 零日漏洞
3、国家互联网应急中心开通勒索病毒免费查询服务
2019-5-6 09:55
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
4
1、来电显示暗藏黑色利益链 你的号码被“标注”了吗?
2、黑客集团内部是如何运作的?它们也有CEO和项目经理
3、爱彼迎民宿路由器暗藏摄像头:官方回应已移除房源
2019-5-7 11:31
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
5
1、微软在 Windows 10 中搞了个真正的 Linux 内核
2、计算机科学家设计无法被黑的处理器芯片架构
3、加拿大边境服务局因旅客拒绝披露密码而扣押其手机和笔记本电脑
2019-5-8 09:58
0
雪    币: 2375
活跃值: (433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
Editor 1、微软在 Windows 10 中搞了个真正的 Linux 内核 2、计算机科学家设计无法被黑的处理器芯片架构 3、加拿大边境服务局因旅客拒绝披露密码而扣押其手机和笔记本电脑
WSL的性能有虚拟机好么?
2019-5-8 13:30
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
7
petersonhz WSL的性能有虚拟机好么?
具体详情可查看链接或关注我们的公众号哟:
https://devblogs.microsoft.com/commandline/announcing-wsl-2
2019-5-9 09:52
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
8
1、关闭CDC 甲骨文确认中国中国区首批裁员900余人
2、Kotlin-first - 谷歌宣布Kotlin成为Android开发首选语言
3、美中情局分享暗网加密链接 网友吐槽:原来是这样监视我们
2019-5-9 09:59
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
9
wx_BEE Man_435 good
谢谢支持
2019-5-9 10:00
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
10
1、“手机墙”4个月“刷单”骗走1200余万元 - “流量造假”乱象何时休?
2、江苏网警查处全国首例发布违规违法PUA信息案件
3、三星多个项目代码泄露 包括SmartThings源代码和密钥
2019-5-10 09:52
0
雪    币: 236
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
每天必看  多谢小编拣选有趣安全信息
2019-5-10 09:59
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
12
1. Google Chrome将不再允许网站劫持后退按钮

2. 法院驳回针对苹果FaceTime窃听漏洞发起的诉讼

3. 报道称美国军方不知道其运营网站的具体数量
2019-5-12 10:02
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
13
1. Mozilla 资助开发更有效的在 Firefox 中整合 Tor

2. 杠上美国反病毒公司:俄罗斯黑客要卖它们的源代码

3. 错误更新导致荷兰数百名嫌犯佩戴的监控踝带短暂失联
2019-5-13 09:31
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
14
1. Facebook起诉韩国数据分析公司 欲重塑公司隐私形象

2. 报道称与俄罗斯有关的社交媒体账户正在传播针对欧盟选举的虚假信息

3. 关于国家信息安全漏洞库(CNNVD)正式启动2019年兼容性服务申请工作的通知
2019-5-14 09:44
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
15
1. 报告称忠诚度计划是“黑客的蜜罐”

2. 研究人员拟公开来自政府、可能会被遗忘的网络攻击历史记录

3. 德国网络安全局警告卡巴斯基杀毒软件存在安全缺陷
2019-5-15 09:57
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
16
1. Let’s Encrypt发布自己的Certificate Transparency日志

2. 两家提供勒索软件解决方案的公司被发现是支付赎金

3. 美国联邦通信委员会计划为运营商提供更多权力来打击自动骚扰电话
2019-5-17 09:36
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
17
1、俄罗斯政府网站被爆泄露225万用户社保和护照等信息
2、报告称黑客利用华硕云存储在PC上安装Plead后门
3、Stack Overflow遭遇黑客攻击 目前没有证据表明数据被窃
2019-5-18 17:56
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
18
1. Stack Overflow 安全事件新进展:部分用户私人信息遭窃

2. 美官员警告5G网络或对天气预报系统造成严重破坏

3. 苹果设备被曝存在PEAP认证漏洞 研究人员对官方修复方案存疑
2019-5-19 10:28
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
19
1. 25000台Linksys路由器可能泄露与之相连的任何设备的大量信息

2. Salesforce 闹剧:共享用户数据后陷入数小时的瘫痪

3. 技术人员评估英特尔CPU新漏洞对性能的影响
2019-5-20 09:31
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
20
1. 黑客论坛被黑 竞争对手公开其数据库

2. Linux内核曝出RDS漏洞 影响Red Hat, Ubuntu, Debiand与SuSE

3. 思科针对 Nexus 数据中心交换机发出危急安全预警
2019-5-21 09:42
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
21
1. 谷歌:大多数黑客雇佣服务都是假的

2. 人民日报:手机App过度索取权限何时休

3. John the Ripper 支持 FPGA 破解密码
2019-5-22 09:25
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
22
1. 谷歌发现G Suite漏洞:部分密码明文存储长达十四年

2. 全世界谁最有钱?他们的信息全被泄露了

3. 北京通信管理局出重拳 治理95短号码骚扰电话
2019-5-23 08:15
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
23
1. 一指纹识别技术漏洞曝光:可跟踪Android和iOS设备

2. 首款数字断路器获得商用认证

3. 伦敦地铁将于7月开始使用Wi-Fi接入点跟踪所有乘客的手机
2019-5-24 09:29
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
24
1. 女黑客SandboxEscaper又曝光4个Windows 10零日漏洞

2. 调查发现一位工程师伪造SpaceX火箭所用部件的检查报告

3. Windows Defender Application Guard​扩展登陆Chrome和Firefox
2019-5-25 10:46
0
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
25
1. 传Facebook明年推出GlobalCoin加密货币

2. 美国建设民用紧急通讯系统 使用黑色SIM卡

3. Chrome等移动浏览器曾有1年多空窗期 没有警告钓鱼网站
2019-5-26 15:37
0
游客
登录 | 注册 方可回帖
返回
//