-
-
[推荐]【每日资讯】 | GriftHorse恶意软件已经感染了超过1千万台安卓设备 | 2021年9月30日 星期四
-
发表于: 2021-9-1 11:29 9177
-
2021年9月30日 星期四
今日资讯速览:
1、GriftHorse恶意软件已经感染了超过1千万台安卓设备
2、SAS 2021: FinSpy 监视工具再次出现,比以往更强大
3、Microsoft Store新策略:开放姿态欢迎第三方浏览器/第三方应用商城
1、GriftHorse恶意软件已经感染了超过1千万台安卓设备
安全研究机构Zimperium发现了新的安卓恶意软件GriftHorse,它可以欺骗用户并且订阅高级短信服务。据信,GriftHorse恶意软件已经感染了70多个国家超过1000多万台安卓设备。
据信,操作该恶意软件的团伙每月收入在150万至400万美元之间。安全研究人员发现从2020年11月开始,GriftHorse恶意软件已经感染了70多个国家1000多万部Android设备,并为其运营商每月赚取数百万美元。
移动安全公司Zimperium发现,GriftHorse恶意软件通过在官方Google Play商店和第三方Android应用商店上看起来很良性的应用程序进行传播。GriftHorse恶意软件让用户订阅高级短信服务。如果用户安装了这些恶意应用程序,GriftHorse开始向用户发送弹出窗口和通知,提供各种奖品和特别优惠。
点击这些通知的用户会被重定向到一个在线页面,在那里他们被要求确认他们的电话号码,以便获得优惠。但实际上,用户是在为自己订阅每月收费超过30欧元(35美元)的高级短信服务,这些钱然后被转到GriftHorse运营者的口袋里。
Zimperium研究人员Aazim Yaswant和Nipun Gupta几个月来一直在跟踪GriftHorse恶意软件。他们发现,GriftHorse开发者还投资于恶意软件的代码质量,使其尽可能地避免被发现。
Yaswant和Gupta表示,威胁者所表现出的复杂程度、对新技术的使用和决心使他们能够在几个月内不被发现。根据他们到目前为止所看到的情况,研究人员估计,GriftHorse团伙目前每月从他们的计划中赚取120万欧元至350万欧元(每月150万至400万美元)。
该活动已经积极发展了几个月,从2020年11月开始,最后更新的时间可以追溯到2021年4月。这意味着他们的第一批受害者之一,已经损失了200多欧元。受害者的累积损失加起来为这个网络犯罪集团带来了巨大的利润。
Zimperium是应用防御联盟的成员,它与Google联系报告了所有被GriftHorse感染的应用,这些应用现在已经从Play Store中删除。
2、SAS 2021: FinSpy 监视工具再次出现,比以往更强大
在卡巴斯基研究人员进行了8个月的调查后,FinSpy监控工具终于被发现。自2018年以来,针对间谍软件木马的检测已经减少,但事实证明,它并没有消失——它只是隐藏在各种初级植入程序后面,帮助掩盖其活动。与此同时,它还在继续提高自己的能力。
FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件,被当作执法工具存在于市面上。然而,就像NSO集团的Pegasus一样,它经常被用于恶意的目的。于2011年它首次被发现,是一款提供全方位服务的间谍软件,能够窃取信息和证书,并密切监测用户活动。例如,它收集文件列表和已删除的文件,以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。
2019年中期,在TeamViewer、VLC Media Player和WinRAR等合法应用程序中,研究人员发现了的几个可疑安装程序包含恶意代码。然而,据卡巴斯基说,它们似乎与任何已知的恶意软件都没有关联。但有一天,研究人员偶然发现了一个缅甸语网站,上面既有木马程序安装程序,也有用于Android的FinSpy样本。
周二,卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序,通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中,我们发现后门安装程序只不过是第一阶段的植入程序,在真正的FinSpy木马之前,用来下载和部署进一步的负载。”
3、Microsoft Store新策略:开放姿态欢迎第三方浏览器/第三方应用商城
在邀请所有 Windows Insider 项目成员测试 Microsoft Store 稳定版的同时,微软也宣布为 Windows 11 的新版应用商城引入一系列改进,其中就包括对浏览器的新政策。在新版本 Microsoft Store 策略中,微软允许第三方浏览器使用他们自己的引擎,而不像其他商店那样要求浏览器使用平台上的本地引擎。
微软表示:
6月,我们更新了浏览器应用的政策,使开发者能够带来他们自己的浏览器引擎(而不是依赖操作系统的网络平台),并继续对用户体验进行创新。今天,我们欢迎 Opera 和 Yandex 两个浏览器,和微软 Edge 一起加入 Windows 上的 Microsoft Store。
此外,微软表示,它还将允许其他应用商店在 Microsoft Store 中列出,包括亚马逊和 Epic 游戏商店。亚马逊 AppStore 将被微软用来提供对 Android 应用的便捷访问,这些应用将在新操作系统推出时在 Windows 11 上原生运行。
微软表示:
我们宣布对我们的 Windows 上的 Microsoft Store 政策的另一个重大更新,这将允许第三方商店应用程序在 Windows 上的 Microsoft Store 中被发现。就像其他应用程序一样,第三方商店应用程序将有一个产品详细页面,可以通过搜索或浏览找到它--这样,用户就可以轻松找到并安装它,就像在Windows上的 Microsoft Store 中的其他应用程序一样自信。今天,我们分享了亚马逊和Epic Games将在未来几个月内把他们的店面应用带到 Microsoft Store,我们期待着将来也能欢迎其他商店的到来。
2021年9月29日 星期三
今日资讯速览:
1、苹果 AirTag“丢失模式”出现漏洞,可将用户重定向到恶意网站
2、加州医院因数据泄露被起诉:近50万患者信息受影响
3、Morphisec 发现了信息窃取软件 Jupyter infostealer 新版本
1、苹果 AirTag“丢失模式”出现漏洞,可将用户重定向到恶意网站
IT之家 9 月 29 日消息 据 KrebsOnSecurity 分享的一份新报告称,苹果允许任何人使用智能手机扫描丢失的 AirTag,以定位所有者的联系信息,这一功能可能被滥用,用于网络钓鱼欺诈。
苹果 AirTag 有一个功能,当设置为丢失模式时,它会为其生成 URL(https://found.apple.com),允许 AirTag 所有者输入联系电话号码或电子邮件地址。扫描该 AirTag 的人可以获得该信息,从而联系到失主。
IT之家了解到,根据 KrebsOnSecurity 的说法,丢失模式可被计算机代码注入字段,扫描 AirTag 的人可以被重定向到虚假的 iCloud 登录页面或其他恶意网站。
安全顾问 Bobby Raunch 发现了 AirTag 漏洞,他告诉 KrebsOnSecurity,该漏洞使 AirTag 变得危险。他说:“我从来没见过如此简单的方法,可以低成本地将小型消费级跟踪设备制作成恶意工具。”
Raunch 在 6 月 20 日联系了苹果公司,后者花了几个月的时间进行调查。苹果上周四告诉 Raunch,它将在即将发布的更新中解决这个问题,并要求他不要在公开场合谈起这件事。
2、加州医院因数据泄露被起诉:近50万患者信息受影响
加利福尼亚州的一个学术医疗保健系统因数据泄露而面临法律诉讼,该数据泄露可能暴露近50万患者、员工和学生的信息。
加州大学圣地亚哥分校健康中心在7月通过公告披露了一起安全事件。该通知表明,在2020年12月2日至2021年4月8日期间,有人未经授权访问了“某些员工电子邮件帐户”。
入侵发生在一名拥有健康系统电子邮件帐户的员工接受网络钓鱼攻击中提供的诱饵之后。3月12日在系统网络中检测到可疑活动,并于4月8日关闭了受感染的电子邮件帐户。
“当加州大学圣地亚哥分校健康中心发现这个问题时,我们终止了对这些帐户的未经授权的访问,并加强了我们的安全控制,”医疗保健提供者说。
卫生系统表示,攻击中可能被访问和泄露的数据可能包括全名、地址、出生日期、电子邮件地址、传真号码、索赔信息(包括接受护理的日期和费用)、实验室结果、医疗诊断和条件、医疗记录号、处方信息、治疗信息、社会安全号、政府识别号、财务帐号、学生识别号、用户名和“我们的患者、学生和员工社区的子集”的密码。
9月7日,加州大学圣地亚哥分校健康中心开始通知495,949名个人(可提供联系信息),他们可能受到了违规行为的影响。
《圣地亚哥联合论坛报》报道称,代表El Cajon一名癌症患者的律师上周就数据泄露向加州大学圣地亚哥分校健康中心提起诉讼。原告指控医疗保健系统违反合同、疏忽和违反加州消费者隐私和医疗保密法。
“如果加州大学圣地亚哥分校健康中心制定了正确的数据保护协议,这种违规行为是可以预防的,”圣地亚哥律师贾森哈特利说。
原告声称,医疗保健系统未能就如何避免网络钓鱼攻击对员工进行充分培训,并且忽视了实施合理的安全措施。
该诉讼正在为所有医疗数据和个人信息可能已被暴露的个人寻求集体诉讼地位和未指明的损害赔偿。
3、Morphisec 发现了信息窃取软件 Jupyter infostealer 新版本
网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。
2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。
恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。
“Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括:
一个C2的客户端
下载并执行恶意软件
PowerShell脚本和命令的执行
将shellcode置入到合法的Windows配置应用程序中。
专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。
该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。
在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。
2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。
MSI安装程序负载超过100MB,绕过在线AV扫描仪,并使用第三方的“一体化”应用程序打包工具,混淆视听。
在执行MSI有效负载时,一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。
“这个加载程序与以前的Jupyter加载程序非常相似,因为它在VirusTotal上持有一个躲避检测的文件,可使检测率低至0,这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer,发现新的变体使用的是相同的代码模式。
在研究人员分析的两种变体中,有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。
“自我们在2020年首次发现Jupyter infostealer/后门以来,它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测,这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道,“显然,我们需要一种新的方法来预防威胁。”
2021年9月28日 星期二
今日资讯速览:
1、Censinet报告:医疗机构称网络攻击增加死亡率并延误病人治疗
2、伦敦警察部队正在购买大量的面部识别技术
3、马斯克:特斯拉中国用户所有个人信息都安全储存在中国国内
1、Censinet报告:医疗机构称网络攻击增加死亡率并延误病人治疗
根据网络安全公司Censinet赞助的一份新报告,在过去两年中遭受勒索软件攻击的医疗机构中,几乎有四分之一的机构表示,在网络攻击后他们机构的病人死亡率有所增加。这一发现增加了越来越多的数据,表明网络攻击不仅造成财务或后勤问题--它们也可能是重大的健康风险。
Censinet首席执行官兼创始人Ed Gaudet说:“勒索软件对病人护理的影响已经足够大,这是不可否认的。我们不应该害怕看这些数据,并继续推动这个问题的解决。”
由一家名为Ponemon研究所的研究机构进行的分析,收集了全美近600家医疗机构的调查回复,范围从区域医疗系统到医疗设备制造商。超过40%的机构说,他们在过去两年中受到了勒索软件的攻击--网络攻击锁定了计算机系统,并要求付款以解锁它们。这些攻击扰乱了设施照顾病人的能力。大约70%面临勒索软件攻击的机构表示,这些破坏导致病人住院时间延长,并延误了检测或手术。此外,36%的机构说他们看到了更多医疗手术的并发症,22%的机构说他们的死亡率增加了。
这些数字有一些重要的注意事项:它们来自一个相对较小的医疗机构子集,而且没有对这些机构报告的内容进行双重检查。该调查没有问各机构为什么或如何得出这些结论--例如,他们没有说他们如何衡量死亡率的变化。Gaudet说,如果没有关于这些方法的更多细节,谨慎地解释这些发现是很重要的。现在就自信地说勒索软件直接导致了这些频率的不良后果可能还为时过早。他说:“作为一个行业,我们必须注意不要反应过度。但这仍然是行业应该关注和关心的事情。即使只是百分之一或百分之五十,我们也应该关心这个数据。”
总的来说,超过一半的医疗集团在回复调查时表示,他们没有信心他们的组织能够处理勒索软件攻击的风险。
在医疗保健领域工作的人历来不愿意说勒索软件伤害了病人。很少有人对网络攻击和病人健康之间的关系进行量化,而且医院往往不愿意分享很多关于他们的经验的信息,因为这对医院的声誉有潜在影响。“我认为作为一个行业,这是一个我们几乎不想知道答案的问题,”Gaudet说。“因为如果它是真的,那么,我们真的有我们的工作要做了。”
在过去的一年里,针对医疗机构的网络攻击有所增加,这给这个问题带来了新的紧迫性。而且,最近一直在推动密切关注这个问题:例如,美国网络安全和基础设施安全局(CISA)的一项新分析显示,在COVID-19大流行期间,佛蒙特州受勒索软件攻击影响的医院开始比没有处理网络攻击的医院更快地出现过量死亡。
“我认为这已经达到了一个关键程度,正在引起CEO和董事会的注意,”Gaudet说。“像这样的数据将开始成为人们思考重点和投资领域的因素。如果勒索软件真的成为一个病人安全问题,他们将不得不解决这个问题。”
2、伦敦警察部队正在购买大量的面部识别技术
英国最大的警察部队将在今年年底前大幅扩大其面部识别能力。新技术将使伦敦大都会警察局能够处理来自闭路电视、社交媒体和其他来源的历史图像,以追踪嫌疑人。但批评者警告说,这项技术有令人瞠目结舌的滥用可能性,并可能巩固歧视性的警务工作。
在8月底做出一个鲜为人知的决定中,伦敦市长办公室批准了一项允许伦敦警察局提高其监控技术的提案。该提案称,在未来几个月内,伦敦警察局将开始使用追溯性面部识别(RFR),作为与日本科技公司NEC公司达成的300万英镑、为期四年协议的一部分。该系统先检查警方获得的人脸图像,然后与警方的内部图像数据库进行比较,试图找到一个匹配的人。
欧洲数字权利组织的政策顾问Ella Jakubowska表示:"部署该系统的人实际上可以让时间倒流许多个月甚至几年,看到你是谁,你去了哪里,你做了什么,和谁在一起。这种技术可以压制人们的自由表达、集会和无忧无虑的生活能力"。
批评者认为,RFR的使用侵犯了人们的隐私,不可靠,并可能加剧种族歧视。在美国,我们已经看到有人因为RFR而被错误地监禁。在考虑这种极端技术之前,更广泛的公众对话和严格的保障措施至关重要。
伦敦市长的一位发言人为这项技术的使用辩护,说它将缩短识别嫌疑人的时间,并帮助减少首都的犯罪。同时,伦敦市长办公室设立了警务道德小组,其任务是对伦敦警察局使用RFR的情况进行审查并提出建议。在英国,对使用面部识别的政治支持仍然存在争议,来自工党、自由民主党和绿党的议员都呼吁对该技术的使用进行监管。
3、马斯克:特斯拉中国用户所有个人信息都安全储存在中国国内
特斯拉公司首席执行官伊隆·马斯克:
“数据安全,是智联网汽车成功的关键。它不仅与个人利益密切相关,同时也和整个社会利益息息相关,特斯拉认同相关法律法规出台加强数据管理。
目前,特斯拉已经在中国建立了数据中心,用来存储中国用户的所有数据,包括生产、销售、服务、充电数据等,以及所有个人信息都安全储存在中国国内,不会转移到海外。只有在需要从海外订购备件等极为罕见的情况下,个人数据才会在获得相关批准后进行转移。
我认为,数据保护应该由整个行业共同努力来完成,我们正与监管机构通力合作,寻找数据安全的最佳解决方案。”
2021年9月27日 星期一
今日资讯速览:
1、最新的Chrome和Edge稳定版双双修复了关键的内存UAF安全漏洞
2、报告称美国政府索取用户数据最多 超过任何其他国家
3、三星与哈佛大学发表论文:拟用存储芯片“下载”人类大脑
1、最新的Chrome和Edge稳定版双双修复了关键的内存UAF安全漏洞
微软和Google都发布了新的稳定通道版本,修补了一个基于Chromium的Use-After-Free(UAF)的关键漏洞,该漏洞可能允许攻击者在成功利用后执行任意代码。Edge的版本是94.0.992.31,而Google浏览器的版本是94.0.4606.61。新的构建版本是基于Chromium版本94.0.4606.54。
该漏洞的ID为"CVE-2021-37973",该漏洞是由Google安全工程师Clément Lecigne在Sergei Glazunov和Mark Brand等人的协助下发现的。
Google表示在其Portals门户功能中发现了UAF漏洞,根据CERT的说法,"远程攻击者可以利用这个漏洞执行任意代码或导致系统出现拒绝服务情况"。当程序或应用在释放动态内存部分后未能正确管理内存指针,这反过来会导致攻击者执行代码。
指针存储了与应用程序正在使用的内存的某个地址有关的数据。但动态内存会不断被刷新和重新分配,供不同的应用程序使用。然而,如果该指针在其对应的内存空间被释放或未分配时没有被设置为空,攻击者就可以成功地利用该指针数据获得对同一内存部分的访问,从而传递任意的恶意代码。这就是为什么该漏洞被命名为Use-After-Free。
然而,Edge 94.0.992.31以及Chrome 94.0.4606.61都已经修补了这个基于内存的关键安全漏洞,建议用户将其浏览器更新到这些版本。
2、报告称美国政府索取用户数据最多 超过任何其他国家
根据互联网安全和技术公司Techrobot的一份新报告,2020年,美国政府向科技公司索取并接收的用户数据比其他任何国家都多。这项研究分析了苹果、Facebook和推特在2019年至2020年间的透明度报告,发现15个国家对用户数据的请求数量有所增长。
仅2020年第一季度,美国就提出了66598次数据请求,同比增长21%。在这些请求中,76%(约5万条信息)得到科技公司同意并分享。
很多美国人仍然对社交媒体公司将他们的数据提供给包括美国政府在内的第三方持怀疑和担心态度。
美国对Facebook和推特信息的请求最多,分别为61528和3429次。此外,来自美国的数据请求量是排名第二的德国的6倍。
总体而言,几个国家的数据请求次数显著增加,比如丹麦和韩国,从2019年到2020年,这两个国家的请求数量都增加了400%,德国向苹果请求的信息最多。
苹果在其透明度报告中表示:“政府请求的情况可能会有所不同,执法机构会代表请求帮助的客户进行工作,包括涉及设备被盗或丢失以及信用卡欺诈的案件。此外,在紧急情况下,这些请求可能关乎到人身安全都可能受到迫在眉睫的伤害的紧急。”
Facebook在谈到其透明度准则时表示:“只有在我们真诚相信法律要求我们这么做的情况下,我们才会遵守政府对用户信息的要求。当我们确实遵守要求时,我们只会提供专门针对这一要求的信息。”
在批准政府信息请求的情况下,Facebook可以生成基本的用户元数据,如用户的姓名、支付信息、电子邮件和IP地址,以及存储的内容,如照片、视频和消息等。
根据Twitter的信息请求指导方针,该公司保留在紧急情况和执法部门发出的日常法律要求下披露用户信息的权利,但“在适当的情况下,Twitter将拒绝不完整或不恰当的账户信息请求,比如表面无效或范围过广的请求。”
过去几年里,科技公司彼此之间以及与美国政府之间多次就用户数据的保密性问题发生争执。
3、三星与哈佛大学发表论文:拟用存储芯片“下载”人类大脑
北京时间 9 月 27 日早间消息,据报道,韩国三星电子是全世界最大的存储芯片制造商,日前,三星电子研发团队和美国哈佛大学共同发表了一篇研究论文,他们提出了一种新方法,准备在一个存储芯片上“反向工程”(复制)人类的大脑。
据报道,这个研究论文发表在科技期刊《自然・电子学》(Nature Electronics)上,论文标题是《基于拷贝和粘贴大脑的神经形态电子》。这一论文的作者包括“三星高级技术研究院”研究员、美国哈佛大学教授 Ham Don-hee,哈佛大学教授 Park Hong-kun,三星 SDS 公司首席执行官 Hwang Sung-woo,以及三星电子副董事长 Kim Ki-nam。
拷贝大脑
在论文中,研究人员指出可以利用两位论文作者开发的纳米电极阵列,来拷贝人类大脑的神经网络连接图。随后可以把这个连接图拷贝到固态存储芯片构成的高密度 3D 网络中。
通过这种复制和粘贴技术,论文作者希望创造出一种存储芯片,可以模仿人类大脑的计算特性,比如低功耗、快速学习过程、环境适应性、自动化和认知特性。这种目标技术已经超越了现有人类的科研成果。
据报道,人类的大脑包括不计其数的神经元,神经元之间有着复杂的网络连接,这个网络实现了大脑的功能。因此,如果要对人类大脑进行反向工程研究,则首先必须搞清楚神经元网络连接图。
神经形态工程技术诞生于上世纪 80 年代,这一技术的宗旨是在一个半导体芯片上模仿人类大脑神经网络的结构和功能。不过这是一个极具挑战的技术,时至今日,科学家尚未搞清楚有多少数量的神经元相互连接,构成了人类大脑的复杂功能。
面对这样的复杂挑战,神经形态工程学的目标后来做了调整,不再是通过一个芯片来模仿人类大脑,而是通过大脑功能的启示,开发出相关的芯片。
重返最初目标
不过,三星电子和哈佛大学此次发表的论文,却提出了另外一种方法,可以回到大脑反向工程的神经形态学最初目标。
据悉,纳米电极可以进入到大量的大脑神经元中,可以利用其高度敏感性记录电流信号。这个庞大的细胞间并行记录系统可以获得神经网络地图的信息,发现神经元之间相互连接的方向,以及展示相互连接的强度。通过这些记录数据,科研人员可以提取出神经网络连接图。
上述网络连接图,随后可以粘贴到一个存储芯片构建的网络中。存储芯片可以是市面上固态硬盘使用的闪存,或是 RRAM 等更新的存储芯片。研究人员可以对存储芯片进行编程,让每一个芯片之间的传导性体现出大脑神经元连接的强度。
快速复制
这篇论文还更进一步,提出了一种快速在存储芯片网络中拷贝神经网络连接图的策略。通过直接连接上述细胞间记录的电流信号,存储芯片网络可以学习并且表达出大脑神经网络连接图。换句话说,研究人员可以直接下载大脑神经网络连接图,拷贝到存储芯片中。
据估计,人类大脑拥有 1000 多亿个神经元,而所谓的“突触连接”的数量是神经元数量的 1000 多倍,因此能够复制大脑神经网络图的存储芯片,必须具备存储 100 万亿个虚拟神经元和突触数据的容量。
通过 3D 存储集成技术,上述庞大数量的存储芯片可以整合在一个单一芯片上。而三星电子目前就是 3D 存储集成技术的全球领先厂商。
在一份新闻通稿中,论文作者之一的 Ham Don-hee 表示:“我们所提出的研究愿景是很宏大的,如果朝着这个英雄般的目标前进,我们将会同时推进机器智能、神经科学和半导体技术的边界。”
2021年9月26日 星期日
今日资讯速览:
1、最新版 Chrome 和 Edge 浏览器已修复关键内存 UAF 安全漏洞
2、多家巨头入局,机密计算能否成为数据安全的终结者?
3、欧盟就德国大选前的“Ghostwriter”黑客行为向俄罗斯发出警告
1、最新版 Chrome 和 Edge 浏览器已修复关键内存 UAF 安全漏洞
IT之家 9 月 26 日消息 微软 Edge 和谷歌 Google 浏览器都已经发布了最新的稳定版本,修补了一个关键的基于 Chromium 的 Use-After-Free(UAF)漏洞,该漏洞允许攻击者执行任意代码。
该漏洞已被分配 ID“CVE-2021-37973”,由谷歌安全工程师 Clément Lecigne 在 Sergei Glazunov 和 Mark Brand 等人的协助下发现。谷歌表示,它在其门户功能中发现了 UAF 漏洞,远程攻击者可以利用该漏洞在系统上执行任意代码或造成拒绝服务情况。
UAF 是一种安全缺陷,当程序或进程在释放动态内存部分后未能正确管理内存指针时,该指针在其相应的内存空间被释放或未分配后未设置为 Null,攻击者可以利用该指针访问同一内存部分,从而传递任意恶意代码,所以也叫 Use-After-Free 漏洞。
IT之家了解到,修复该漏洞的 Edge 版本是 94.0.992.31,Chrome 版本是 94.0.4606.61,基于 Chromium 94.0.4606.54,大家可以尽快更新一下。
2、多家巨头入局,机密计算能否成为数据安全的终结者?
无论是使用内部数据中心的企业,还是迁移至云的企业,数据安全都是其最关心的问题。机密计算(Confidential Computing,简称CC),作为一项突破性技术,因其可以让用户对“使用中”数据进行加密,备受业界关注。
什么是机密计算?
机密计算,是一项突破性技术,可以对正在处理的数据,即对“使用中”数据进行加密。其诞生的背景是:过去,很多企业在安全方面的大多数努力,都集中在通过加密保护“静止的”或“传输中”的数据。但一个相对容易被忽视的领域是,“使用中”数据(Data-in-use)的加密。随着企业业务上云,如何保护“使用中”的数据,成为企业面临的最大挑战之一。在这种背景下,旨在保护“使用中”数据机密性和完整性的“机密计算”应运而生。
机密计算的原理是使用基于硬件的技术将数据、特定功能或整个应用程序与操作系统、虚拟机管理程序、虚拟机管理器以及其他特权进程隔离开来。在后台,机密计算环境将数据加密保存在内存、CPU外部的其他位置,称为“可信执行环境(Trusted Execution Environment,简称TEE)”。
可信执行环境(TEE),是让机密计算发挥作用的关键所在,它是指可以提供一种与不可信环境隔离的安全计算环境,将阻止任何更改应用程序代码或篡改数据的尝试。这在多用户系统,例如虚拟化和公共云系统(其数据交叉污染是真正的风险)中尤其重要,这种隔离和可信验证机制使得机密计算成为可能。
TEE一般是直接基于硬件实现的,比如Intel SGX以及ARM TrustZone等;基于虚拟化技术也可以构造TEE,比如微软的VSM,Intel的Trusty for iKGT & ACRN等。事实上,这个概念的早期版本可以追溯到十多年前在许多PC中可用的TPM模块。与现代版本TEE不同的是,它们内置于芯片的核心中,而不是作为可能会因互连而受到损害的外部附件。
2019年,机密计算首次被Gartner列入《2019年云安全技术成熟度曲线报告》;2020年,机密计算仍是Gartner云安全成熟度曲线上的33种技术之一。
科技巨头入局
作为一项前瞻性技术,目前许多科技巨头纷纷入局,大力探索和开发机密计算。
微软Azure
2017年,微软新增加了一项名为Azure机密计算的安全功能,以确保数据在处理时能得到更多的控制。
Azure机密计算会阻止由更改或篡改代码触发的操作,从而以良好的方式关闭整个TEE。该技术可防止针对应用程序、操作系统或系统管理程序漏洞的恶意软件或攻击者获得对正在使用数据的访问。还可以阻止具有直接访问系统权限或拥有管理特权的恶意内部人员。
在实现方式上,微软的机密计算有两种模式:第一个是在Windows Server 2016和Windows 10 Hyper-V虚拟化软件组件中找到基于软件的虚拟安全模式,第二个是内置在Azure云服务器处理器中的英特尔软件保护扩展(SGX)技术。
目前,微软正在与其他软件和硬件合作伙伴合作,以启用其他类型的TEE。
阿里云
阿里云是亚太区首个推出基于SGX机密计算的云服务商,并在全球范围内首个将SGX技术商业化,让云上用户都可以以最简单便捷的方式享受高等级数据保护能力。
基于Intel SGX机密计算技术,阿里云为云上客户提供了系统运行时的可信能力,云上开发者可以利用SGX技术提供的可信执行环境,将内存中的关键代码和数据保护起来,即便具有更高特权的系统组件(包括BIOS、虚拟化底层、操作系统内核)也无法获得关键代码和数据,让客户可以摆脱对云平台的依赖,通过拥有云上的可信执行环境,防止数据被窃取或被篡改。
阿里云在机密计算领域所做的工作不止如此:
2017年,阿里云和英特尔联合发布了基于芯片级的SGX机密计算技术,保障云上客户数据安全;
2018年4月,在RSA2018大会上,阿里云宣布支持阿里云机密计算技术的“神龙云”服务器正式商业化;
2018年9月,在云栖大会上,阿里云发布了FPGA机密计算技术,将机密计算从处理器扩展到FPGA设备,让主流的机器学习计算模型和数据相关的计算都可以运行在可信环境中;
2018年9月,在云栖大会上,阿里云还发布了智能网卡机密计算技术,将系统的可信扩展到网络上,通过智能网卡机密计算技术实现可信网络;
2018年10月,阿里云又推出了基于SGX技术的区块链服务平台;
2019年的云栖大会上,阿里云智能与阿里云数据库团队联合发布了全加密数据库产品。
谷歌云
在Google Cloud Next 2020大会上,谷歌云(Google Cloud)推出了一款“可保密虚拟机”(Confidential VMs)。这种新型的虚拟机可以利用谷歌的加密计算,实现对静止状态和内存数据的保密。
在后端,机密虚拟机使用了基于AMD二代霄龙处理器(EPYC)的安全加密虚拟化技术,实现了使用中数据的加密。密钥由CPU可信执行环境生成且无法导出,即便是谷歌自身也无法得知密钥。
此外,谷歌还表示他们已经推出虚拟机的加固服务项目Shielded VMs,能在root软件和其他漏洞攻击下保护系统。
布局未来
随着企业将业务数据迁离本地或迁至多租户云计算环境,现在他们迫切需要能够保护客户数据完整性以及保护使用中数据的专有算法。因此,云供应商正在启动新的机密计算实例供客户使用。这消除了组织运行自己机密计算系统的必要性,从而形成了一个双赢的局面:客户获得了保护其数据资产所需的东西;云提供商引入了客户不一定拥有的必要硬件资产。
这种新的可用性正推动越来越多的处理器包含内置的机密计算概念。而且由于云提供商通常在可用性早期阶段就获得了新的高端处理能力,这使得用户社区的访问速度要比用户自己获取的访问速度快得多。此外,鉴于在云中运行的硬件和工具包的可用性,它使应用程序提供商能够快速将机密计算设计到他们的产品中,并进一步拥有一个更成熟的市场来收回开发投资。
Gartner预计,需要大约5年至10年,机密计算才会普遍使用。建议企业在未来6-12个月内探索使用机密计算技术,向主要应用解决方案提供商说明,希望其遵守机密计算战略,并在约定时间内提供技术实施。毕竟,想要赢得市场占有率,获得竞争优势,就必须先人一步。
3、欧盟就德国大选前的“Ghostwriter”黑客行为向俄罗斯发出警告
据外媒TechCrunch报道,欧盟警告说,其可能就俄罗斯参与针对几个欧盟成员国的“恶意网络活动”采取行动。根据欧洲理事会周五的一份新闻稿,“Ghostwriter”活动针对的是“欧盟的许多议会成员、政府官员、政治家以及新闻界和民间社会的成员”,并且是通过“访问计算机系统和个人账户以及窃取数据”来进行的。
根据声明,欧盟正在考虑“采取进一步措施”,但没有详细说明将采取什么行动。
欧洲理事会发言人Nabila Massrali告诉TechCrunch:“今天的声明是关于强烈谴责恶意的网络活动的,这些活动被指定为Ghostwriter,一些成员国已经观察到并与俄罗斯国家有关。这些活动是不可接受的,所有参与者必须立即停止这些活动。这种活动试图威胁我们的完整和安全、民主价值和原则,并试图破坏我们的民主机构和进程。我们敦促俄罗斯联邦在网络空间遵守负责任的国家行为准则。”
新闻稿中没有提到具体事件。但该发言人补充说,这一警告是鉴于即将于9月26日举行的德国选举。
本月早些时候,德国政府表示,与俄罗斯有关的 “Ghostwriter”活动一直在“将常规网络攻击与虚假信息和影响行动相结合”,试图在即将举行的选举前传播虚假信息。当时,德国政府表示,它有 “可靠的信息”,可证实最近的网络攻击(涉及黑客使用钓鱼邮件,试图掌握立法者的个人登录信息)可归因于俄罗斯的行为者,"特别是俄罗斯军事情报机构GRU"。
根据FireEye公司2020年的一份报告,“Ghostwriter”活动自2017年以来一直在进行,并参与了整个欧洲的反北约假情报活动、网络间谍活动和具有政治破坏性的黑客和泄密行动。在今年4月发布的一份后续报告中,FireEye将“Ghostwriter”活动与UNC1151联系起来,UNC1151是一个被认为得到克里姆林宫支持的威胁行为者。
此后,专门从事入侵监测和网络对手情报的网络安全初创公司Prevailion发现,与UNC1151有关的基础设施比以前记录的要大三倍,其恶意网络活动比原来怀疑的更广泛和更有侵略性。
Prevailion公司的首席执行官Karim Hijazi本月早些时候说,UNC1151“被定位为更广泛的行动,包括在欧洲和潜在的其他地区”。
2021年9月24日 星期五
今日资讯速览:
1、微软示警PHaaS模式:发现为网络犯罪团伙提供的大规模钓鱼服务
2、谷歌和 Facebook 等科技巨头要遭殃,美国和欧盟拟联手打击
3、微软:初代 Surface Duo 将在年内获得 Android 11 更新
1、微软示警PHaaS模式:发现为网络犯罪团伙提供的大规模钓鱼服务
在今天发布的安全公告中,微软安全团队发现了一个大规模的活动:利用类似主机的基础设施向网络犯罪团伙提供钓鱼服务。该服务被称为 BulletProofLink、BulletProftLink 或 Anthrax,目前在地下网络犯罪论坛上进行宣传。微软称这项服务为“钓鱼即服务”(Phishing-as-a-Service,PHaaS)模式。
该服务是在“网络钓鱼工具包”的基础上演变而来,“网络钓鱼工具包”是模仿已知公司的登录形式的网络钓鱼页面和模板的集合。BulletProofLink 通过提供内置的托管和电子邮件发送服务,将其提升到一个全新的水平。
客户通过支付 800 美元的费用在 BulletProofLink 门户网站上注册,而 BulletProofLink 运营商则为他们处理其他一切。这些服务包括建立一个网页来托管钓鱼网站,安装钓鱼模板本身,为钓鱼网站配置域名(URL),向所需的受害者发送实际的钓鱼邮件,从攻击中收集凭证,然后在周末向“付费客户”交付被盗的登录信息。
如果犯罪团伙想改变他们的网络钓鱼模板,BulletProofLink 团伙还经营着一个单独的商店,威胁者可以在那里购买新模板用于他们的攻击,每个新模板的价格从 80 美元到 100 美元不等。
正如 The Record 今天看到的那样,BulletProofLink 商店里有大约 120 种不同的网络钓鱼模板。此外,该网站还设有教程,帮助客户使用该服务。
但微软的研究人员说,他们还发现该服务也一直在偷窃自己的客户,保留所有收集到的凭证的副本,据信该组织以后会通过在地下市场出售这些凭证来赚钱。微软将整个行动描述为技术演进(technically advanced),该组织经常使用黑客网站来托管其网络钓鱼页面。
在某些情况下,安全团队观察到 BulletProofLink 团伙破坏了被黑网站的 DNS 记录,以便在受信任的网站上生成子域来承载钓鱼网页。微软今天说:“在研究网络钓鱼攻击时,我们发现一个活动使用了相当多的新创建和独特的子域--在一次运行中超过30万个”。
2、谷歌和 Facebook 等科技巨头要遭殃,美国和欧盟拟联手打击
9 月 23 日晚间消息,据报道,一份备忘录草案显示,美国和欧盟计划采取更统一的方式,限制谷歌和 Facebook 等大型科技公司日益增长的市场力量。
9 月 29 日,美欧贸易科技理事会(U.S.-EU Trade & Technology Council)会议将在匹兹堡举行。届时,大会将宣布有关科技、气候、贸易和供应链方面的声明,而联合打击大型科技公司预计将是其中的一项内容。
当前,美国和欧洲均试图遏制谷歌、Facebook、苹果和亚马逊等美国大型科技公司日益增长的市场力量。因此,双方的这种合作,对大西洋两岸的监管机构来说变得至关重要;而对于这些科技巨头而言,这将使他们更难对抗新法规。
白宫本月早些时候曾宣布,美欧贸易科技理事会将于 9 月 29 日在匹兹堡举行首次会议。届时,美国国务卿安东尼・布林肯(Antony Blinken)、商务部长吉娜・雷蒙多(Gina Raimondo)、美国贸易代表凯瑟琳・戴(Katherine Tai ),以及欧盟贸易部长瓦尔迪斯・东布罗夫斯基(Valdis Dombrovskis)和欧盟竞争事务专员玛格丽特・维斯特格(Margrethe Vestager)将出席会议。
对于这份备忘录草案,白宫拒绝发表评论。而苹果、Facebook、亚马逊和谷歌没有立即回复记者的置评请求。
该备忘录草案还显示,理事会设有 10 个工作组,负责加强贸易、经济关系和共同的民主价值观等。而专注于科技公司监管的小组,将就双方各自的技术平台监管方法进行信息交换,在可行的情况下寻求趋同。
分析人士称,美国和欧盟在许多方面都可以进行更多合作。例如,谷歌在美国面临几起与其广告业务相关的反垄断诉讼,而在欧盟也面临与广告技术相关的广泛调查。
备忘录草案称:“我们已经确定了一些共同关注的问题,如主要平台的 ' 看门人 ' 角色,以及在线中介机构的责任等。在打击虚假信息方面,也可以做更多的工作。例如,在线中介机构保护民主进程不受其商业活动影响的责任。”此外,大会还将讨论仇恨言论、算法放大和研究人员数据访问等问题。
而理事会的气候和清洁技术小组,将努力确定低碳和零碳技术和产品的贸易和投资机会。供应链工作组,将专注于确保药品、关键矿物和清洁能源的供应。另外,会议还试图以一种“平衡、互利的方式”解决半导体芯片短缺的问题,并将避免“补贴竞赛”。
对此,华盛顿的几家科技贸易组织表示,该行业不希望欧洲的数字监管方式在美国被采用。信息技术与创新基金会(ITIF)主席罗伯特・阿特金森(Robert Atkinson)表示:“其风险在于,欧洲方面将向美国施压,要求美国采取预防措施与欧盟协调监管,这将损害美国领先的科技公司的利益。我们不应该这样做,也不需要这样做。”
3、微软:初代 Surface Duo 将在年内获得 Android 11 更新
IT之家 9 月 24 日消息 微软本周发布了新款 Surface Duo 2,预装 Android 11 系统。据 The Verge 报道,微软正致力于在年内为初代 Surface Duo 推送 Android 11 更新。
微软:初代 Surface Duo 将在年内获得 Android 11 更新
“我们仍然致力于为 Surface Duo 提供更新,努力在今年年底之前将 Android 11 带给现有客户,”微软发言人在一份声明中表示。
Android 11 为双屏设备带来了一些优化支持,因此这次更新对于初代 Surface Duo 来说将有不小的软件提升。微软此前承诺对 Surface Duo 进行三年的操作系统和安全更新,因此 Android 12 的适配应该也在路上了。
IT之家了解到,微软为 Surface Duo 2 配备了主流的摄像头,支持 5G 网络,使用更新的骁龙 888 处理器,并加入了更大的屏幕。微软表示,Surface Duo 2 将于 10 月 5 日开始发售,售价 1499.99 美元(约 9704.94 元人民币)。
2021年9月23日 星期四
今日资讯速览:
1、为防止诈骗,谷歌将向用户开放广告商的历史广告信息
2、安全部门利用Meris DDoS创建者的一个纰漏 成功锁定部分僵尸网络设备
3、蚂蚁花呗全面对接央行征信系统 真的不会对征信记录造成负面影响?
1、为防止诈骗,谷歌将向用户开放广告商的历史广告信息
IT之家 9 月 23 日消息 由于平台上的欺诈行为受到了举报,谷歌将开始向用户提供更多关于广告商的信息。
谷歌的“关于此广告”菜单将显示广告商的基本信息,以及他们在过去 30 天内投放的所有其他广告,目的是帮助用户更好地判断广告商是否值得信赖。
谷歌在去年开始核实所有广告商的身份和位置,并表示已开始对 90 个国家的广告商进行验证,但披露信息将在未来几个月仅在美国推出,然后在 2022 年扩展到更多国家。
用户可以查看广告商的合法名称、广告所在国家、广告投放的大致数量以及广告列表,还可以在谷歌搜索和 YouTube 上看到有关广告活动的信息。
IT之家了解到,此前有报道称,欺诈和虚假广告列表在谷歌和 Facebook 的平台上非常普遍。英国最近的一份报告显示,两家平台仍未删除许多引导用户使用假货的欺诈广告。由于用户的举报,谷歌承诺将有一名团队成员审查广告的合规性。
2、安全部门利用Meris DDoS创建者的一个纰漏 成功锁定部分僵尸网络设备
俄罗斯电信巨头 Rostelecom 旗下网络安全部门 Rostelecom-Solar 周一表示,发现并利用恶意软件创建者的一个纰漏,成功封锁了 Meris DDoS 僵尸网络部分设备。Meris 僵尸网络在今年早些时候首次被发现,是目前互联网上最大的 DDoS 僵尸网络,其规模估计约为 25 万个受感染的系统。
在过去几个月里,该僵尸网络被攻击者滥用,对俄罗斯、英国、美国和新西兰等几个国家的互联网服务提供商和金融实体进行了 DDoS 勒索攻击。由于这些勒索攻击,很多公司因为僵尸网络的巨大威力而被迫下线。其中最凶猛的几次攻击,Meris 今年两次打破了最大容量 DDoS 攻击的记录,一次是在 6 月,另一次是在 9 月。
Cloudflare 和 Qrator 实验室等互联网基础设施公司在其客户受到攻击后对该僵尸网络进行了分析,发现绝大多数受感染的系统都是 MikroTik 网络设备,如路由器、交换机和接入点。
在上周的一篇博文中,MikroTik表示,攻击者滥用了其RouterOS中的一个旧漏洞(CVE-2018-14847),利用业主尚未更新的设备组装了他们的僵尸网络。
但在周一发表的研究报告中,Rostelecom-Solar 表示,在对这种新的威胁(也一直在攻击其一些客户)进行例行分析时,其工程师发现,一些受感染的路由器正在向一个未注册的域名 cosmosentry[.com] 伸出援手,要求提供新的指令。
Rostelecom-Solar的工程师说,他们抓住了运营商的错误,注册了这个域名并将其转化为一个“天坑”(sinkhole)。经过几天的追踪,研究人员说他们收到了来自约 45000 台受感染的 MikroTik 设备的 ping,这个数字估计约为僵尸网络整个规模的五分之一。
该公司本周说:“不幸的是,我们不能对我们控制下的设备采取任何积极行动(我们没有权力这样做)。目前,大约 45,000 台 MikroTik 设备转向我们的天坑域”。
为了防止MikroTik路由器所有者检测到这些与cosmosentry[.]com的可疑连接,Rostelecom-Solar表示,他们已经设置了一个占位符信息,告知他们谁拥有这个域名以及为什么他们的路由器会进行连接。
此外,研究人员表示,他们还在Meris恶意软件的代码中发现了一些线索,这些线索也让人了解到这个僵尸网络是如何被组装起来的。根据 Rostelecom-Solar 团队的说法,Meris僵尸网络似乎是通过Glupteba组装的,这是一种针对Windows电脑的恶意软件,通常被用作其他各种恶意软件的加载器。
Meris代码的相似性以及许多使用内部IPping Rostelecom天坑的路由器证实了该公司的理论,即Meris是通过Glupteba恶意软件完全或部分组装的。然而,目前还不清楚是Glupteba团伙自己建立了Meris僵尸网络,还是另一个团伙租用了Glupteba感染的主机来部署MikroTik模块,最终产生 Meris。
3、蚂蚁花呗全面对接央行征信系统 真的不会对征信记录造成负面影响?
在国内拥有千万级别用户的蚂蚁花呗今起正式对接央行征信系统,这实际上也是传闻多年后尘埃落定的官方消息。
其实此前就已经有部分用户被陆续对接央行征信系统,用户每个月的额度和还款信息会上报记录到央行征信系统。
而今天蚂蚁花呗向所有用户推送更新要求用户同意新的花呗协议,这就包括个人征信查询报送授权书要用户签署。
签署后此前未被对接央行征信系统的用户从本月起也开始上报信息,至此蚂蚁花呗产品也开始全量对接央行征信。
不签署协议将影响使用:
目前蚂蚁花呗已经弹出消息要求用户签署授权书,当然用户如果暂时不签署的话也不至于花呗会立即被系统关闭。
就当前阶段来说蚂蚁集团还是给用户留了过渡期的,即用户暂时不签署也可以,但是后续要想正常使用必须签署。
即如果不签署新的授权协议后续将无法继续使用花呗,当然用户如果不愿意签署也可以还款后直接关闭花呗服务。
在当前时间点上如果用户提前还款并选择关闭花呗且未签署授权书,那花呗的使用信息应该不会被上报征信系统。
花呗是否影响征信记录?
更多网友关心的是如果花呗使用信息对接央行征信系统,在征信系统里留下各种记录是否会影响到个人征信记录?
对此花呗官方给出的说明是正常使用花呗并保持良好的使用习惯和还款习惯不会对用户的征信记录造成负面影响。
这种说法并不能说是不对的,因为是否会对征信记录产生负面影响实际上取决于银行或者金融机构信贷员的态度。
当我们使用花呗或其他贷款时都会在征信系统里留下记录,再次申请贷款时银行和金融机构可以查询到这些记录。
通常情况下征信记录若有较多查询记录和贷款记录可能会被银行和金融机构认为用户的个人收支存在不平衡情况。
当然更多机构关注的是用户是否存在过度消费和多头借贷,另外信用卡或贷款逾期属于明明白白的个人征信污点。
因此按花呗官方说法正常使用和还款应该不会造成负面影响,只是对用户来说长期会在征信系统里留下较多记录。
当然如果所有花呗用户都已经对接征信系统,即较多用户征信记录里都有花呗,那这潜在影响可能就会比较低了。
2021年9月22日 星期三
今日资讯速览:
1、安全部门利用Meris DDoS创建者的一个纰漏 成功锁定部分僵尸网络设备
2、微软发布的PrintNightmare打印服务修复程序再次破坏企业打印机正常使用
3、SushiSwap承认MISO平台遭到软件供应链攻击 损失超过300万美元
1、安全部门利用Meris DDoS创建者的一个纰漏 成功锁定部分僵尸网络设备
俄罗斯电信巨头 Rostelecom 旗下网络安全部门 Rostelecom-Solar 周一表示,发现并利用恶意软件创建者的一个纰漏,成功封锁了 Meris DDoS 僵尸网络部分设备。Meris 僵尸网络在今年早些时候首次被发现,是目前互联网上最大的 DDoS 僵尸网络,其规模估计约为 25 万个受感染的系统。
在过去几个月里,该僵尸网络被攻击者滥用,对俄罗斯、英国、美国和新西兰等几个国家的互联网服务提供商和金融实体进行了 DDoS 勒索攻击。由于这些勒索攻击,很多公司因为僵尸网络的巨大威力而被迫下线。其中最凶猛的几次攻击,Meris 今年两次打破了最大容量 DDoS 攻击的记录,一次是在 6 月,另一次是在 9 月。
Cloudflare 和 Qrator 实验室等互联网基础设施公司在其客户受到攻击后对该僵尸网络进行了分析,发现绝大多数受感染的系统都是 MikroTik 网络设备,如路由器、交换机和接入点。
在上周的一篇博文中,MikroTik表示,攻击者滥用了其RouterOS中的一个旧漏洞(CVE-2018-14847),利用业主尚未更新的设备组装了他们的僵尸网络。
但在周一发表的研究报告中,Rostelecom-Solar 表示,在对这种新的威胁(也一直在攻击其一些客户)进行例行分析时,其工程师发现,一些受感染的路由器正在向一个未注册的域名 cosmosentry[.com] 伸出援手,要求提供新的指令。
Rostelecom-Solar的工程师说,他们抓住了运营商的错误,注册了这个域名并将其转化为一个“天坑”(sinkhole)。经过几天的追踪,研究人员说他们收到了来自约 45000 台受感染的 MikroTik 设备的 ping,这个数字估计约为僵尸网络整个规模的五分之一。
该公司本周说:“不幸的是,我们不能对我们控制下的设备采取任何积极行动(我们没有权力这样做)。目前,大约 45,000 台 MikroTik 设备转向我们的天坑域”。
为了防止MikroTik路由器所有者检测到这些与cosmosentry[.]com的可疑连接,Rostelecom-Solar表示,他们已经设置了一个占位符信息,告知他们谁拥有这个域名以及为什么他们的路由器会进行连接。
此外,研究人员表示,他们还在Meris恶意软件的代码中发现了一些线索,这些线索也让人了解到这个僵尸网络是如何被组装起来的。根据 Rostelecom-Solar 团队的说法,Meris僵尸网络似乎是通过Glupteba组装的,这是一种针对Windows电脑的恶意软件,通常被用作其他各种恶意软件的加载器。
Meris代码的相似性以及许多使用内部IPping Rostelecom天坑的路由器证实了该公司的理论,即Meris是通过Glupteba恶意软件完全或部分组装的。然而,目前还不清楚是Glupteba团伙自己建立了Meris僵尸网络,还是另一个团伙租用了Glupteba感染的主机来部署MikroTik模块,最终产生 Meris。
2、微软发布的PrintNightmare打印服务修复程序再次破坏企业打印机正常使用
因为 PrintNightmare 漏洞问题微软已经花费几个月进行修复,此漏洞危害较高并且在修复方面也是相当麻烦的。
微软在本周推出的累积更新里对此安全漏洞进行最后的收尾,按微软说明此次收尾工作解决四个潜在的安全问题。
好消息是漏洞可能已经被成功修复了,坏消息是此次微软推出的修复程序再次导致大量企业打印机无法正常使用。
每次用户尝试打印时系统都会弹出提示要求填写管理员凭据,后经微软调查此故障与打印机使用的驱动程序有关。
问题说明:
安装KB5005033或后续更新后在某些使用 Point and Print 的环境中 , 某些打印机可能会显示信任打印机的提示。
同时当用户通过应用程序尝试访问打印服务器或打印客户端连接时,需要提供管理员凭据才能安装到打印服务器。
发生此故障的原因是打印客户端和打印服务器上使用相同文件名的打印驱动导致,但服务器具有较新版本的文件。
当打印客户端尝试连接到打印服务器时,会自动发现新驱动文件并提示更新打印客户端上的驱动程序但存在冲突。
解决方案:
首先企业需确保打印设备均使用最新的驱动程序,如果可能的话请在打印客户端和服务器上使用相同版本的驱动。
企业可以在环境里调整打印机驱动程序,如果在环境里更新驱动程序依然无法解决问题的话请联系打印机制造商。
受影响的平台包括Windows 10 所有版本、Windows 8.1 所有版本、Windows 7、Windows Server 所有版本。
如需帮助请联系打印机制造商或参见 KB5005652 号更新的常见问题部分中的Q1/A1部分:KB5005652 Q1/A1。
3、SushiSwap承认MISO平台遭到软件供应链攻击 损失超过300万美元
SushiSwap 首席技术官表示,该公司的 MISO 平台近日受到了软件供应链的攻击。SushiSwap 是一个社区驱动的去中心化金融(DeFi)平台,方便用户交换、赚取、借出、借用和利用加密货币资产。今年早些时候,Sushi 的最新产品 Minimal Initial SushiSwap Offering(MISO)是一个代币启动平台,让项目在 Sushi 网络上推出自己的代币。
与需要原生区块链和实质性基础工作的加密货币硬币不同,DeFi 代币是一种更容易实现的替代方案,因为它们可以在现有区块链上运行。例如,任何人都可以在以太坊区块链之上创建自己的“数字代币”,而不必完全重新创建一个新的加密货币。
SushiSwap 首席技术官 Joseph Delong 今天发布推文表示,MISO launchpad 上的一次拍卖通过供应链攻击被劫持。一个拥有 GitHub 账号 AristoK3 并能进入项目代码库的“匿名承包商”推送了一个恶意代码提交,并在平台的前端分发。
攻击者干扰或劫持软件制造过程,插入他们的恶意代码,使大量成品的消费者受到攻击者行为的不利影响时,就会发生软件供应链攻击。当软件构建中使用的代码库或单个组件被污染,软件更新二进制文件被“木马化”,代码签名证书被盗,甚至当提供软件即服务的服务器被攻破,都可能发生这种情况。因此,与孤立的安全漏洞相比,成功的供应链攻击会产生更广泛的影响和破坏。
通过这个供应链攻击,攻击者赚取了 864.8 个以太坊币,按照目前的价格计算大约为 300 万美元。Delong 表示目前该平台上只有一个汽车超市拍卖被利用,受影响的拍卖都已打上补丁。拍卖的最终金额与被盗的以太坊币数量一致。
2021年9月18日 星期六
今日资讯速览:
1、BitDefender放出REvil勒索软件免费解密工具
2、苹果公司将俄罗斯列入不能使用iCloud私人中继的国家名单中
3、安全公司发现有黑客正在尝试利用WSL子系统攻击Windows 10
1、BitDefender放出REvil勒索软件免费解密工具
本周,比特梵德(BitDefender)宣布了与执法部门联手打造的免费版 REvil 勒索软件解密工具。考虑到相关调查仍在继续中,BitDefender 暂时不变透露与哪些机构有合作。但自 7 月的 Kaseya 攻击以来,这轮贯穿整个夏季的攻击活动始终没有消停,且近日又有死灰复燃的迹象。
在披露更多细节之前,BitDefender 决定先尽快放出一款解密工具,以帮助那些已经遭遇 REvil 勒索软件攻击的受害者们。该公司称,通用解密器可解锁 7 月 13 日之前被加密的任意系统上的文件。
与此同时,BitDefender 也对变得有些低调的 REvil 组织感到有些担心(支付渠道和其它站点均已离线),因为这意味着那些没有支付赎金的后续受害者,可能无法再拿到解锁密钥。
上周,安全公司 EMSIsoft 的一位分析师指出,REvil 的博客已重新上线。然后今天,他们又报道了 REvil 的最新行动。于是 BitDefender 也再次发出警告,提醒大家新一轮攻击或即将到来。
7 月 2 日,Revil 攻击了远程管理和 IT 平台 Kaseya,并导致全球数百家企业躺枪。在拿到了相当于 7000 万美元的比特币赎金后,该组织才拿出了一款通用解密器。
起初美国总统乔·拜登示意情报机构对本次袭击展开调查,但后续又认为 REvil 对美国企业的损害微乎其微,且无法确定该组织的背景联系。
2、苹果公司将俄罗斯列入不能使用iCloud私人中继的国家名单中
与iOS 15一起,苹果推出了iCloud+服务,为其付费的iCloud计划增加了新的功能。这些功能之一是iCloud私人中继,旨在对离开你的设备的所有流量进行加密,因此没有人可以截获或阅读。
据苹果公司称,"监管原因"使该公司无法在白俄罗斯、哥伦比亚、埃及、哈萨克斯坦、沙特阿拉伯、南非、土库曼斯坦、乌干达和菲律宾等国家推出私人中继。苹果在6月份提到了这些国家的限制,但似乎私人中继在俄罗斯也将无法使用,因为苹果在过去一天左右显然禁用了该功能。
根据Twitter用户的报告和iPhones.ru的报道,该功能之前可以通过iOS15和iPadOS15的测试版在俄罗斯使用,但现在当他们试图启用它时,这些用户遇到的是"该地区不支持私人中继"的消息。
私人中继的工作原理是将网络流量发送到由苹果维护的服务器,以剥离IP地址。一旦IP信息被删除,苹果将流量发送到由第三方公司维护的第二个服务器,该服务器分配一个临时IP地址,然后将流量发送到目的地,这一过程可以防止被访问方通过IP地址、位置和浏览活动创建一个关于特定个体的档案。
为什么苹果公司最近才在俄罗斯禁用私人中继系统并不完全清楚,但该公司过去曾向俄罗斯当局的要求低头,因此有充分理由推测这是另一个监管问题。
3、安全公司发现有黑客正在尝试利用WSL子系统攻击Windows 10
WSL是微软为Windows 10和Windows 11提供的Linux子系统,这可以让开发者们直接在Windows系统上运行Linux发行版,甚至还可以运行带有GUI界面的Linux发行版。在安全性方面WSL发布这几年基本没有听说过潜在的安全问题(Linux本身的不算),但现在似乎有黑客正在尝试通过WSL攻击Windows系统。
研究人员从5月份开始发现有黑客在制作恶意的Linux二进制文件,这些样本都是在野外被检测到的但尚未发现大规模的攻击或利用案例,这说明黑客此时应该还在进行积极测试中。
利用Python和Powershell发起攻击:
目前尚未听说过有攻击者利用WSL漏洞向Windows发起大规模攻击的案例,但如果真的要利用其实这并不新鲜,研究人员称攻击者主要是制作恶意文件然后通过Windows API进行调用并注入到正在运行的进程里,这种技术既不新鲜也不复杂,甚至还可以说是非常常规。本质上就是注入并通过嵌入的负载或远程服务器获取其他恶意文件。
从确定的少数样本里研究人员发现有黑客甚至直接使用IP地址而非C2服务器,这表明黑客正在测试通过WSL感染Windows的方法,如果技术已经成熟黑客可能会使用C2服务器避免服务器IP变更或者被封杀导致恶意软件失效。
利用方式方面检测到的样本使用Python 3来执行任务,其使用PyInstaller打包为Debian的ELF可执行文件,这些样本都在VirusTotal上被发现的,这也说明黑客一边开发一边发到VT上进行检测看看能绕过多少杀毒软件。值得注意的是其中某个样本竟然绕过VT上所有杀毒软件引擎的检测,其病毒概率为0/59。
有一个ELF to Windows加载程序变种依赖于Powershell诸如和执行shellcode,其还尝试使用Python调用函数来杀掉正在运行的杀毒软件,这样可以解决杀毒软件的检测问题并在系统上建立持久性,包括每20秒运行一次Powershell脚本。
使用WSL也要注意安全性:
尽管自2016年WSL发布以来我们并没有听说利用WSL发起的大规模攻击,但小范围攻击实际上自2017年开始就有,不知道黑客觉得利用WSL进行感染更方便还是说具有针对性,毕竟Windows 10和11默认情况下都没有启用WSL功能,用户必须在Windows功能里启用WSL,而使用WSL通常也都是开发者而非普通用户。
所以很难说这些正在研究利用WSL攻击Windows的黑客是怎么想的,毕竟WSL用户数量有限,发起大规模攻击难度可能比较大,除非是针对特定用户发起的攻击。
当然具体黑客的意图我们并不清楚,但对于WSL用户来说还是要注意日常使用的安全习惯,尤其是不要下载和执行任何来历不明的二进制文件。
2021年9月17日 星期五
今日资讯速览:
1、南非司法部遭勒索软件攻击 导致无法使用所有电子服务
2、工信部:加强车联网网络安全和数据安全工作
3、研究发现制造业的计算机数据面临过度曝光的风险
1、南非司法部遭勒索软件攻击 导致无法使用所有电子服务
据外媒报道,南非司法和宪法发展部正在努力恢复其运作,因为最近的勒索软件攻击加密了其所有系统,导致内部和公众无法使用所有电子服务。作为攻击的后果,司法和宪法发展部表示,儿童抚养费的支付现在被搁置,直到系统重新上线。
该事件发生在9月6日,该部门启动了此类事件的应急计划,以确保该国的一些活动继续进行。
南非司法和宪法发展部发言人Steve Mahlangu表示:“(攻击)导致所有信息系统被加密,内部员工以及公众都无法使用。因此,该部门提供的所有电子服务都受到影响,包括签发授权书、保释服务、电子邮件和部门网站。”
上周,Mahlangu表示,在转为手动模式记录听证会后,法庭开庭继续进行。此外,还采取了手动程序来发布各种法律文件。
然而,勒索软件攻击影响了每月的儿童抚养费支付,这些支付被推迟到系统恢复之前。Steve Mahlangu称:“虽然该部门无法确定所需系统恢复的确切日期,但它将确保所有儿童抚养费的安全,以便在系统重新上线后支付给合法的受益人。”
该部门仍在恢复正常运作的过程中,但不能确定何时活动将再次变得正常。这项工作的一部分是建立一个新的电子邮件系统,一些工作人员已经迁移到该系统。再加上网络恢复需要很长的时间,这表明黑客没有得到报酬。
目前还不清楚谁是这次攻击的幕后黑手。许多勒索软件团伙在加密数据之前也会窃取数据,以迫使受害者在公开泄密的压力下支付赎金。
Mahlangu上周说,该部的IT专家已经发现“没有数据泄露的迹象”。到目前为止,还没有任何一个拥有数据泄露网站的团伙声称对这次攻击负责。
2、工信部:加强车联网网络安全和数据安全工作
工业和信息化部关于加强车联网网络安全和数据安全工作的通知
工信部网安〔2021〕134号
各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司,有关智能网联汽车生产企业、车联网服务平台运营企业,有关标准化技术组织:
车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与车、路、人、云端等智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶的新一代汽车。在产业快速发展的同时,车联网安全风险日益凸显,车联网安全保障体系亟须健全完善。为推进实施《新能源汽车产业发展规划(2021-2035年)》,加强车联网网络安全和数据安全管理工作,现将有关事项通知如下:
3、研究发现制造业的计算机数据面临过度曝光的风险
数据安全公司Varonis根据对制造业50个组织的40亿个文件的分析发布了一项研究,发现该行业存在着数据过度暴露的巨大问题。每个员工在工作的第一天平均可以访问600万个文件,每10个组织中就有4个向每个员工开放1000多个敏感文件。
此外,44%的公司有超过1000个活跃的"幽灵用户"账户--这些账户的用户已经离开公司或转到另一个角色,但他们的账户仍处于活跃状态。此外,超过一半的公司有超过500个账户的密码从未设定过期日期。
"制造商持有敏感的、令人难以置信的宝贵数据,使他们处于危险之中。正如我们在WannaCry、DarkSide和许多其他攻击中看到的那样,勒索软件可以使生产线停止运转,使企业停滞不前。太多时候,信息被过度暴露,保护不足。"Varonis技术总监Matt Lock说:"为了限制攻击者可能造成的损害,你必须缩小你遇到意外时的'爆炸半径'。公司需要问自己三个问题,以更好地准备应对攻击。你知道你的重要数据存放在哪里吗?你知道只有正确的人可以访问它吗?你知道他们在正确使用数据吗?如果你不知道这三个问题的答案,你将无法识别网络攻击的早期阶段。"
你可以在Varonis博客上阅读更多内容并获得完整的报告:
https://www.varonis.com/blog/manufacturing-data-risk-report-reveals-files-open-to-all-employees/
2021年9月16日 星期四
今日资讯速览:
1、网信办:网站平台要严防违法违规账号转世 网站平台不得诱导点击下载消费
2、美国对向阿联酋提供黑客服务的前NSA雇员处以罚款处罚
3、Intel消灭几十年顽疾!BIOS更新无需重启
1、网信办:网站平台要严防违法违规账号转世 网站平台不得诱导点击下载消费
昨日,国家互联网信息办公室发布《关于进一步压实网站平台信息内容主体责任的意见》。
《意见》首次系统提出网站平台履行信息内容管理主体责任的工作要求,主要包含10个方面具体内容。首先从4个维度明确把握主体责任的内涵,然后从完善平台社区规则、加强账号规范管理、健全内容审核机制、提升信息内容质量、规范信息内容传播、加强重点功能管理、坚持依法合规经营、严格未成年人网络保护、加强人员队伍建设等9个方面,对网站平台履行主体责任提出具体要求。
其中,《意见》提出,坚持依法合规经营。从事互联网新闻信息服务等业务,应当依法依规履行许可手续,未经许可不得开展相关活动。上线运营具有媒体属性和舆论动员功能的新技术新应用,按规定进行安全评估,通过后方可正式运行。开展数据共享、流量合作等跨平台经营活动,应当符合国家相关政策,有助于正能量信息传播。坚持诚信运营,不得选择性自我优待,不得非正常屏蔽或推送利益相关方信息,不得利用任何形式诱导点击、诱导下载、诱导消费。
另外,《意见》还提出要加强账号规范管理。制定账号规范管理实施细则,加强账号运行监管,有效规制账号行为。加强账号注册管理,严格落实真实身份信息登记相关要求,强化名称、头像等账号信息合规审核,强化公众账号主体资质核验,确保公众账号名称和运营主体业务相匹配。加强账号行为管理,严格分类分级,实现精准管理、重点管理、动态管理。加强对需要关注账号管理,建立目录清单,制定管理措施,确保规范有序。加大违法违规账号处置力度,建立黑名单账号数据库,严防违法违规账号转世。全面清理“僵尸号”“空壳号”。
2、美国对向阿联酋提供黑客服务的前NSA雇员处以罚款处罚
据外媒报道,美司法部对三名前美国家安局(NSA)雇员处以罚款,据悉,这三名雇员在阿联酋一家网络安全公司担任雇佣黑客。49岁的Marc Baier、34岁的Ryan Adams和40岁的Daniel Gericke违反了美国出口管制法律,该法律要求公司和个人在向外国政府提供国防相关服务之前必须从国务院国防贸易控制理事会(DDTC)获得特别许可证。
根据法庭文件了解到,三名嫌疑人帮助阿联酋公司开发并成功部署了至少两种黑客工具。
这三人今日(当地时间9月14日)跟美司法部达成了一项史无前例的暂缓起诉协议,他们分别同意在三年的刑期内分别支付75万美元、60万美元和33.5万美元以避免入狱。
虽然法庭文件被大量修改,但Baier、Adams和Genicke的故事是众所周知的,他们的行为由一名告密者最先曝光并在2019年1月的一项路透社调查中被记录下来。
根据路透社的报道和美司法部官员的说法,这三人在2016年1月至2019年11月期间为阿联酋公司DarkMatter担任承包商角色。
这些前NSA分析师曾在“乌鸦计划(Project Raven)”中工作,“乌鸦计划”是DarkMatters内部的一个团队,由十几名前美情报人员组成。
在这个项目中,他们三人帮助开发了两个iOS零点击漏洞Karma和Karma 2。
路透社指出,这两个漏洞都是针对iPhone手机设计的,阿联酋官员利用它们监视持不同政见者、记者和政府反对派领导人。
除了罚款,美司法部的协议还包括以下条款:与相关部门和FBI部门充分合作;立即放弃任何外国或美国安全许可;终身禁止未来通过美国安全审查;未来的就业限制,包括禁止涉及CNE(计算机网络开发)活动或出口国防物品或提供国防服务的就业(如CNE技术);对某些阿联酋组织的就业限制。
美代理助力总检察长Mark J. Lesko表示:“这项协议是对两种不同类型的犯罪活动进行调查的首个此类决议:提供未经许可的出口控制的国防服务以支持计算机网络开发--以及一家商业公司创建、支持和操作专门用于允许他人未经授权从世界各地(包括美国)的计算机访问数据的系统。”
另外,他还补充道:“雇佣黑客和那些支持此类违反美国法律的活动的人完全有可能因为他们的犯罪行为而被起诉。”
“这些人选择无视警告,并利用他们多年的经验来支持和加强外国政府的进攻性网络行动,”FBI华盛顿外勤办公室主管助理局长Steven M. D 'Antuono指出,“这些指控和相关处罚表明,FBI将继续调查此类违规行为。”
3、Intel消灭几十年顽疾!BIOS更新无需重启
打完系统补丁要重启,刷新BIOS要重启,这似乎是“天经地义”的事情,那么能不能不重启就生效呢?
在最新的Linux内核补丁中,Intel工程师提出了一种名为“Seamless Update”(无缝更新)的新方法,可以在不需要重新启动的情况下,完成系统固件的更新。
具体的实现原理、技术细节暂未公开,但如果能够普及开来,这无疑是一个历史性突破,尤其是那些需要保持时刻在线、不允许轻易离线的场合,比如说云数据中心,比如说医疗服务,几乎能让它们的服务率达到100%。
该技术将会在Intel下一代可扩展至强Sapphire Rapids上首发。
它将在明年上半年发布,10nm工艺,最多56核心112线程,支持DDR5、PCIe 5.0、AMX指令,可选集成HBM2e内存。
目前还不知道这种技术会不会用于Windows系统和个人消费者,如果可以的话那也是极为便利的,BIOS更新将会变得更加简单、省事。
2021年9月15日 星期三
今日资讯速览:
1、工信部整治屏蔽外链 如何拔除网络藩篱?
2、未删除非法内容 Facebook和Twitter被俄罗斯处罚
3、工信部全国移动电话卡通查服务正式上线 可查询自己身份是否被冒用
1、工信部整治屏蔽外链 如何拔除网络藩篱?
工信部整治屏蔽外链打破互联网巨头间的“藩篱”势在必行“抖音终于可以直接分享到微信了。”“分享淘宝也不用发口令了。”9月9日以来,一张关于工业和信息化部(下称:工信部)信息通信管理局(下称:信管局)于当日下午召开“屏蔽网址行政指导会”的截图在行业中风传,截图中显示信管局要求各互联网按照三条标准解除屏蔽,否则将采取相应的三条执法措施。
一石激起千层浪。不少网友表示,平台间去掉屏蔽,自己再也不用发送各种口令才能分享链接。打破互联网巨头间的“藩篱”也成为社会各界关注的焦点。
9月13日,工信部新闻发言人、信管局局长赵志国在国务院新闻办例行发布会上回应称,屏蔽网址链接是七月启动的互联网行业专项整治行动重点整治问题之一。当前正在按照专项行动的方案安排,指导相关互联网企业开展自查整改。从赵志国的发言中可以看出两点要求:“互联互通”已经成为互联网行业高质量发展的必然选择,保证用户的“畅通安全”使用则是“互联互通”中的努力方向。
赵志国也提及了专项行动中遇到的挑战,“自查整改中,我们了解到,部分互联网企业对屏蔽网址链接问题的认识与专项行动要求还有一定的差距。”他要求企业按照整改要求,务实推进屏蔽网址链接等不同类型的问题分步骤、分阶段解决。
随后,腾讯、阿里、字节跳动、百度均对上述政策表示支持和拥护。但各自也突出了不同站位,比如腾讯重点强调“分步骤、分阶段实施”,字节跳动则呼吁其他平台“不找借口,明确时间表,积极落实”,百度则表示自己一贯“坚持和呼吁开源开发,互联互通”。
互联网建立之初,企业都本着互联互通的要义进行布局。但随着商业触角不断延伸,巨头企业构建起纵横交错的生态系统,并在多个垂直领域筑起属于自己的“秘密花园”,中外互联网生态都开始呈现集中趋势。
2、未删除非法内容 Facebook和Twitter被俄罗斯处罚
俄罗斯法院周二表示,美国社交媒体公司Facebook、Twitter因为未删除莫斯科认为非法的内容受到处罚。Facebook收到5笔罚款,总计2100万卢布(约28.8美元),Twitter收到两笔,总计500万卢布(约6.9万美元),Telegram也被罚了900万卢布(约12.4万美元)。
莫斯科加强对互联网管控,要求外国互联网企业在俄罗斯设立完整办事处,俄罗斯公民的数据必须存在俄罗斯境内。为了支持本国科技企业发展,俄罗斯还准备对外国数字服务加征新税。
3月份,俄罗斯联邦通信、信息技术与大众传媒监督局(简称Roskomnadzor)开始加速遏制Twitter,因为Twitter删除被禁内容的速度不够快。俄罗斯将于9月17日至19日举行议会选举,互联网服务面临越来越大的压力。Roskomnadzor正在努力封禁VPN以及与反对派人士纳瓦尔尼(Alexei Navalny)有关的内容。
网上出现一个App,纳瓦尔尼团队准备用这个App发起所谓的“聪明投票”(smart voting)活动。俄罗斯联邦法警希望谷歌服从法院命令,封杀与“smart voting”短语有关的搜索内容。周一时,俄罗斯国家法警曾前往谷歌俄罗斯办事处。
3、工信部全国移动电话卡通查服务正式上线 可查询自己身份是否被冒用
早前蓝点网提到工业和信息化部旗下的中国信息通信研究院研发具有跨运营商的、移动电话卡开户信息批量查询。
信通院推出此服务本质目的其实是打击电信诈骗,即针对部分不法分子冒用用户信息在运营商开卡用于电信诈骗。
通过此服务用户提供身份证号和信息授权后即可直接查询中国电信、中国移动、中国联通及虚拟运营商开卡信息。
如果查询到开卡信息与实际开卡不符则代表身份信息被冒用,而对应的手机卡可能已经被不法分子用于非法目的。
经过测试后目前信通院已经正式上线该服务,服务名称为全国移动电话卡一证通查,有兴趣的用户可以查询看看。
主要功能介绍:
据蓝点网测试中国信通院研发的号卡查询网站具有跨运营商查询能力,在用户授权后可匹配国内运营商开户数据。
例如输入身份证号和姓名后即可提交查询,查询结果会以短信形式发送给用户,用户根据号卡开户情况自行判断。
例如蓝点网查询后成功检索到中国联通卡1张,中国电信卡2张,中国移动卡1张 , 以上数据符合蓝点网实际情况。
只要是号卡未被运营商注销就可以查询到,诸如以前某些手机卡长期未使用被自动注销的不会显示在查询结果里。
用户根据查询结果比对自己的实际开卡情况,如果发现自己有未知号卡则应立即联系运营商查询并注销相关账户。
查询地址和查询方法:
PC网页版查询地址:https://getsimnum.caict.ac.cn/#/ 手机查询地址:https://getsimnum.caict.ac.cn/m/#/
查询时需提供用户身份证号码、真实姓名、任意在用的手机号码、接收验证码、同意身份信息使用的隐私声明等。
提交查询后通常几分钟内就会获得信息反馈,在信息中会注明用户名下有多少手机卡以及对应的基础运营商信息。
2021年9月14日 星期二
今日资讯速览:
1、Spook.js:可绕过Google严苛网站隔离安全功能获取密码等数据
2、超6100万可穿戴设备用户信息被曝光
3、因微软不公平限制火狐开始技术对抗 现已支持绕过防护设置默认浏览器
1、Spook.js:可绕过Google严苛网站隔离安全功能获取密码等数据
为了应对 Spectre 漏洞,Google 推出了名为“Strict Site Isolation”(严苛网站隔离)的安全功能,主要是防止未经授权的数据被盗。不过近日一支由多所国际大学组成的团队发现了 Spook.js,这种恶意的 JavaScript 代码可以绕过 Google 的这项安全功能从其他标签中获取密码等敏感数据。
目前,安全专家已经证实 Intel 处理器和苹果 M1 芯片受到影响,但 AMD 芯片也被认为存在风险,但是目前并没有得到充分证明。
该团队由乔治亚理工学院、阿德莱德大学、密歇根大学和特拉维夫大学的研究人员组成。他们说,“尽管 Google 试图通过部署严格的网站隔离来缓解 Spectre,但在某些情况下,通过恶意的 JavaScript 代码提取信息仍然是可能的”。
研究人员继续说:“更具体地说,我们表明,攻击者控制的网页可以知道用户当前正在浏览同一网站的哪些其他页面,从这些页面中获取敏感信息,甚至在自动填充时恢复登录凭证(例如,用户名和密码)。我们进一步证明,如果用户安装了一个恶意扩展,攻击者可以从 Chrome 扩展(如凭证管理器)中检索数据”。
安全研究人员分享了几段视频,展示了 Spook.js 的行动。在第一段视频中,该攻击被用来从 Chrome 浏览器的内置凭证管理器中获取 Tumblr 博客的密码。
2、超6100万可穿戴设备用户信息被曝光
随着更多的设备连接到互联网,不断存储和分享信息,数据安全已经成为一个长期关注的问题。网络安全研究员 Jeremiah Fowler 在 WebsitePlanet 上发布报告,表示由于一个集中式数据库并未受到保护,有超过 6100 万可穿戴设备的用户数据在网络上曝光
Fowler 和他的团队通过扫描分析,发现 GetHealth 的数据库存在暴露风险。这是一个为从数百个可穿戴设备、医疗设备和应用程序访问健康和保健数据的统一解决方案的 API。
进一步的调查显示,这些数据包含潜在的敏感信息,包括人们的姓名、出生日期、体重、身高、性别,甚至地理位置。此外,研究人员发现,这些信息的流向可以追溯到 Fitbit、Microsoft Band、Misfit Wearables、Google Fit 和 Strava等来源,其用户来自世界各地。所有这些信息都是以纯文本形式存储的,而一个 ID 是加密的。
在确认了数据的所有权后,福勒私下联系了GetHealth,该公司对通知的反应很快。该公司在同一天晚些时候对研究人员表示感谢,声称该问题已经解决。不过,目前还不清楚这 16.71GB 的用户数据被暴露了多长时间,甚至也不清楚在此期间谁可能访问了该数据库。
3、因微软不公平限制火狐开始技术对抗 现已支持绕过防护设置默认浏览器
微软从Windows 10开始对默认程序的设置方法进行调整,若用户想要调整的话会被跳转到设置应用里进行切换。
而用户要想切换浏览器还需要绕过微软的诱导,因为在切换浏览器微软会诱导用户使用 Microsoft Edge 浏览器。
但其他浏览器开发商并没有反抗微软的这种措施,毕竟从某些意义上说这确实可以帮助消费者阻挡浏览器被篡改。
而到Windows 11里微软开始变本加厉,原本默认程序设置变成默认文件打开方式,用户需要挨个手动切换协议。
更令人憎恶的是微软自家浏览器却可以一键设置为默认浏览器,而其他浏览器就必须用户手动点击多次完成设置。
据谋智基金会开发团队的说明,该团队的工程师已经对微软浏览器相关功能设置进行逆向工程以分析其实现方式。
因此自 Mozilla Firefox 91 版开始用户用户可以直接点击设置为默认浏览器,此步骤无需经过设置应用手动切换。
同时此功能支持Windows 10和Windows 11 , 对火狐浏览器的用户来说接下来切换默认浏览器相对会更加方便。
通过逆向工程实际上火狐浏览器已经突破了Windows 10或Windows 11的技术防御 , 这已经算是采用技术对抗。
对火狐浏览器来说这是个非常危险的操作,通常采用技术对抗绕过反劫持保护是不合规的,微软可能会将其封杀。
此前包括火狐浏览器在内的多款浏览器联合抗议微软的垄断行为,微软对此发布回应称这是基于用户反馈改进的。
但是否真有用户就此问题进行反馈我们不得而知,然而微软利用系统控制项来扶持和推广自家浏览器显然不公平。
而火狐浏览器现在采用逆向工程与微软进行技术对抗可能存在违规,这对其他浏览器开发商来说同样存在不公平。
目前尚不清楚其他浏览器开发商是否会跟进技术对抗,但如果所有浏览器都进行对抗那微软防护措施就会没意义。
这是否会引起微软采用其他方式确保自家浏览器的公平地位?目前微软尚未发布回应,不清楚微软到底会怎么做。
2021年9月13日 星期一
今日资讯速览:
1、奥林巴斯遭遇BlackMatter勒索软件袭击
2、美国联邦机构正在讨论是否需要启动对加密货币行业稳定币的调查
3、通讯软件WhatsApp启用云端备份端到端加密 将已知安全短板彻底补齐
1、奥林巴斯遭遇BlackMatter勒索软件袭击
奥林巴斯在周日的一份简短声明中说,它"目前正在调查一起影响其欧洲、中东和非洲计算机网络的潜在网络安全事件"。"在发现可疑活动后,我们立即动员了一个包括取证专家在内的专门应对小组,目前我们正以最优先的方式解决这个问题。作为调查的一部分,我们已经暂停了受影响系统的数据传输,并通知了相关的外部合作伙伴,"该声明说。
但据一位知情人士透露,奥林巴斯正在从9月8日凌晨开始的勒索软件攻击中恢复。在奥林巴斯周日承认这一事件之前,该人士分享了事件的细节。
一张留在受感染电脑上的勒索赎金字条声称是来自BlackMatter勒索软件组。它写道:"您的网络已被加密,目前无法运行。"如果你付钱,我们将为你提供解密的程序。"赎金字条还包括一个只有通过Tor浏览器才能访问的网站的网址,众所周知,BlackMatter使用该网站与受害者交流。
EMSIsoft的勒索软件专家和威胁分析员Brett Callow表示,勒索信中的网站与BlackMatter集团有关。
BlackMatter是一个勒索软件即服务组织,它是作为几个勒索软件组织的继承者而成立的,包括DarkSide和REvil,前者在Colonial Pipeline受到高调勒索软件攻击后最近宣称金盆洗手,后者在Kaseya攻击使数百家公司充斥勒索软件后也沉寂了数月。这两次攻击都引起了美国政府的注意,政府承诺如果关键基础设施再次受到攻击,将采取行动。
像BlackMatter这样的组织出租其基础设施的访问权,附属机构利用这些访问权发动攻击,而BlackMatter则从支付的赎金中抽成。Emsisoft还发现Darkside和BlackMatter之间存在技术联系和代码上的交集。
自6月该组织出现以来,Emsisoft已经记录了40多起归因于BlackMatter的勒索软件攻击,但受害者的总人数可能要高得多。
像BlackMatter这样的勒索软件组织通常在加密前从公司的网络中窃取数据,然后威胁说如果不支付解密文件的赎金,就在网上公布这些文件。另一个与BlackMatter有关的网站,即该组织用来宣传其受害者和兜售被盗数据的网站,在发表时还没有出现奥林巴斯的条目。
总部设在日本的奥林巴斯为医疗和生命科学行业制造光学和数字照相技术。直到最近,该公司还在制造数码相机和其他电子产品,直到它在1月份出售了其陷入困境的相机部门。
奥林巴斯表示,它"目前正在努力确定问题的程度,并将在有新信息时继续提供更新信息"。奥林巴斯的发言人Christian Pott没有回复要求发表评论的电子邮件和短信。
2、美国联邦机构正在讨论是否需要启动对加密货币行业稳定币的调查
稳定币可以说是加密货币行业的创举,但是对现有金融体系来说这也可能是风险,尤其是体量逐渐变大的稳定币。
加密货币行业的稳定币最初由泰达公司创造,泰达推出与美元汇率进行挂钩的 USDT,而1USDT始终等于1美元。
泰达并非中央银行但泰达币在加密货币行业却相当于法币,可以用来快速兑换其他加密货币并以美元汇率来定价。
按理说泰达公司应该将其发行的泰达币数量与在现实世界里银行储蓄一致,即确保投资者始终可以重新兑换美元。
但公开数据显示泰达币的美元储备并不稳健,主要是泰达公司美元现金储备不足,而占比更多的是商业承兑票据。
泰达公司面临的风险极高:
目前美国联邦金融稳定监督委员会已经提出要对泰达公司进行调查,而美国财政部等目前尚未决定是否启动调查。
要进行调查的原因在于美国金融稳定监督委员会认为泰达公司储备的商业承兑汇票完全不足以应对潜在安全风险。
例如加密货币市场如果出现黑天鹅事件导致加密货币暴跌,那么泰达公司的商业承兑汇票有可能会被投资者操纵。
实际上就是泰达公司可能没有能力完全承兑市场上流通的所有泰达币,如果没有能力承兑那投资者可能遭受损失。
美国财政部长耶伦关注泰达公司就是因为该公司持有的商业承兑汇票占比太高,此前泰达公司也被调查过不少次。
不过目前美国联邦机构就金融稳定监督委员会提出的调查还没有讨论出结果,也就是是否进行调查暂时还不确定。
发起调查的可能性非常高:
尽管当前还没有结果但业界人士认为最终发起调查的可能性极高,主要是这些美国联邦机构成员存在较多的重叠。
例如赞成进行调查的美国财政部长耶伦、美联储主席包威尔及美国证券交易委员会主席根斯勒都是该委员会成员。
消息人士称相关工作组计划在十二月份前发布建议,如果同意进行调查则委员会会对加密货币的稳定币进行评估。
最终做出决定是否需要指示其他美国联邦政府机构对加密货币稳定币市场进行干预以降低稳定币交易带来的风险。
3、通讯软件WhatsApp启用云端备份端到端加密 将已知安全短板彻底补齐
WhatsApp是Facebook旗下的即时通讯软件,这款软件目前在全球拥有超过20亿名用户。为提高安全性此前WhatsApp已经启用端到端加密(E2EE),端到端加密可以确保只有信息发送者和接收者才能解密消息,而其他第三方或中间人因为没有密钥是无法读取消息的。
尽管如此但WhatsApp还有个饱受诟病的安全漏洞:如果用户启用备份那么通信数据会被直接上传到云端,这是没有加密的,例如用户使用iPhone的iCloud备份或Android的Google Drive这种保护就会停止,因为备份内容是没有加密的。
现在这块短板已经被补齐:
WhatsApp日前宣布启用更加全面的端到端加密技术,现在不仅用户之间的直接通信会被默认启用端到端加密,就连备份数据也同样会启用端到端加密。采用新安全策略后不论是WhatsApp还是Facebook亦或者其他任何第三方都没有解密密钥因此无法查看用户的消息。
这种新加密措施可以确保WhatsApp备份在云端中的数据机密性、完整性和可用性,就隐私保护来说确实是个进步,尽管Facebook在隐私方面的名声比较差。值得注意的是此次更新对WhatsApp来说也是个重大挑战,因为要确保云端数据也能启用端到端加密WhatsApp要对基础设施进行更改,这也是为什么这么长时间WhatsApp才为备份提供加密服务。
当然没有绝对的安全,对WhatsApp来说备份未加密是个已知的安全短板,现在这块短板已经被补齐,不过WhatsApp依然面临其他未知漏洞的侵袭。
部分元数据可以被检索:
按说明WhatsApp此次新提供的加密技术可以增强安全性但并不能彻底保护隐私,因为第三方仍然可以从元数据里检索信息,包括但不限于日期、时间、发送者以及接收者,但消息内容本身是无法被读取的,这是理想状态。
由于消息传递过程可能会遇到受感染的接收端或未加密的中间服务器,因此消息仍然有可能被中间人截获,同时攻击者也可以利用其它未知漏洞来窃取用户数据。当然这些预料之外的安全问题,就目前来说WhatsApp可能还无法彻底解决此类问题。
2021年9月10日 星期五
今日资讯速览:
1、全球超200万服务器仍运行过时IIS组件
2、南非司法部网络系统遭到黑客攻击陷入瘫痪
3、联合国证实其网络曾于今年4月受到黑客攻击
1、全球超200万服务器仍运行过时IIS组件
根据市场调查机构 CyberNews 公布的最新研报,全球有超过 200 万台网络服务器依然在运行过时且容易受到攻击的微软互联网信息服务(IIS)旧版本。IIS 占全球市场的 12.4%,是第三大最受欢迎的网络服务器软件套件,用于支持至少 5160 万个网站和网络应用。
不过,早于 7.5 的旧版本 IIS 已经不再受到微软的支持。与其他类型的过时服务器软件一样,微软IIS的所有遗留版本都存在许多关键的安全漏洞,使它们成为威胁者的一个有吸引力的目标。
CyberNews 研究人员使用一个物联网搜索引擎,寻找容易受到已知 CVE 影响的未打补丁的 IIS 网络服务器。在过滤掉蜜罐(安全团队使用的诱饵系统)后,他们发现了 2,033,888 个易受攻击的服务器。由于承载公共网站的服务器必须是可公开访问的,以发挥其功能,它们也在广播其过时的 IIS 版本,供所有人看到。
CyberNews 安全研究员 Mantas Sasnauskas 说:“这意味着在明显有漏洞的软件上运行这些服务器,等于向威胁者发出了渗透到他们网络的邀请”。目前国内有 679,941 个运行传统版本 IIS 的暴露实例,位居易受攻击的服务器地点之首。美国有 581,708 台未受保护的服务器,位居第二。
ThreatX 的首席技术官 Andrew Useckas 表示:“中国之所以有如此多运行旧版 IIS 的服务器,是因为它们比 Linux 服务器更容易安装,而且由于使用盗版绕过了许可证费用。而这些安装盗版的用户也不知道如何进行维护,更别说进行升级了”。
2、南非司法部网络系统遭到黑客攻击陷入瘫痪
南非司法部当地时间9月9日宣布,其网络系统遭到黑客攻击,导致所有信息系统都被加密,内部员工和公众已无法使用。南非司法部称,没有迹象表明数据已泄露,其IT团队正在努力修复系统。目前签发授权书、保释服务、电子邮件和部门网站浏览等功能受到影响。
3、联合国证实其网络曾于今年4月受到黑客攻击
联合国9月9日证实,今年早些时候联合国的网络受到了黑客攻击。根据彭博社的报道,黑客于4月初入侵了联合国的网络系统,利用从黑网购买的一名联合国雇员的登录账号窃取数据。联合国秘书长古特雷斯的发言人斯特凡纳·迪雅里克在一份声明中表示,“我们可以证实,身份不明的袭击者在2021年4月破坏了联合国的部分基础设施。”
彭博社援引网络安全公司Resecurity的调查结果报道了这一事件。Resecurity公司发现,黑客于8月初还在联合国网络上活动。
迪雅里克9日表示,联合国在Resecurity公司向其通报之前已经发现了黑客的攻击并做出了反应,以减轻影响。他补充道,联合国经常成为网络攻击的目标,联合国还检测到了与之前黑客攻击相关的进一步攻击,并正在采取措施。
2021年9月9日 星期四
今日资讯速览:
1、微软承认Windows存在可被恶意Office文件攻击的零日漏洞
2、澳大利亚高等法院裁定新闻网站要为社交媒体上的诽谤性评论承担责任
3、与陌生人“屏幕共享”存在极大风险
1、微软承认Windows存在可被恶意Office文件攻击的零日漏洞
微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档所使用。然后,攻击者需要说服用户打开该恶意文件。
该公司解释说:"那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。"
这个远程代码执行漏洞的标识符为CVE-2021-40444,是由不同网络安全公司的研究人员发现的,其中包括微软自家安全响应中心、EXPMON和Mandiant。该漏洞一旦被利用,就会影响到Internet Explorer的浏览器渲染引擎MSHTML,该引擎也被用来渲染Windows上Microsoft Office文件中基于浏览器的内容。
微软已经在进行修复工作,并计划在本月的补丁星期二或通过带外更新发布安全更新。同时,用户可以通过保持反恶意软件产品(即微软Defender系列)的运行来保护电脑。该公司还建议用户暂时禁用Internet Explorer中的ActiveX控件的安装,以减轻任何潜在的攻击。
2、澳大利亚高等法院裁定新闻网站要为社交媒体上的诽谤性评论承担责任
澳大利亚高等法院裁定,澳大利亚媒体公司可以为公众在其社交媒体页面上的诽谤性评论负责。这一决定是一个长期诽谤案的一部分,可能会对澳大利亚媒体行业产生巨大影响,迫使新闻网站严格控制或删除在Facebook、Twitter和其他地方分享的故事的评论。
这项裁决可能意味着任何经营社交媒体页面的人理论上都会因为读者或小组成员发布的贬低性评论而被起诉。这项裁决是澳大利亚迪伦-沃勒对包括《澳大利亚人》和天空新闻在内一些媒体提起的诽谤诉讼的一部分。
2016年,迪伦-沃勒在一个青年拘留中心被虐待令人震惊的照片在网络上疯传,并导致了对此类中心生存条件的调查。许多新闻机构报道了这个故事,并在Facebook上分享他们的文章。2017年,迪伦-沃勒起诉了其中的三家公司,认为它们Facebook页面上针对这些报道的评论是诽谤性的,而且,通过允许发布这些评论,这些新闻机构在法律上是这些评论的出版商。
事实证明,第二点特别有争议,但许多法院都支持迪伦-沃勒的论点。这些法院包括2019年的新南威尔士州最高法院和2020年的新南威尔士州上诉法院。澳大利亚高等法院的这一最新裁决是一个5比2的决定,似乎最终一锤定音,确定了媒体公司确实是第三方Facebook评论的"发布者",可以为其内容承担法律责任。然而,迪伦-沃勒仍然需要证明这些评论本身是诽谤性的,而媒体公司现在可以根据诽谤法进行新的辩护。
虽然Voller的案子还没有结束,但澳大利亚媒体公司对高等法院的裁决所带来的广泛影响感到非常担心。被迪伦-沃勒起诉的公司之一Nine的发言人表示,这一决定将对它们今后在社交媒体上发布的内容产生影响。评论家认为,高等法院在迪伦-沃勒案中的裁决对任何维护公共社交媒体页面的人来说都是重要的,因为他们发现他们可以为他人在该页面上发布的评论承担责任。
这项裁决甚至可能影响到在个人社交媒体页面上发布内容的个人。这项裁决显然对社交媒体平台的普通用户有影响,因为如果他们在自己的Facebook页面上发布类似内容,他们可以作为发布者被追究责任。
3、与陌生人“屏幕共享”存在极大风险
近年来,随着线上会议的广泛运用,“屏幕共享”逐渐普及,给工作和生活带来便利的同时,也被不法分子利用以实施新型诈骗,出现在“冒充公检法”“快递理赔”“网购退款”“注销校园贷”等各类骗局中。9月8日,北京银保监局发布金融知识普及月系列活动第二则风险提示,提醒消费者奏响防范四部曲,远离“屏幕共享”骗局。
近日,沙女士接到“00”开头的陌生来电,对方自称是她户籍所在地的“警察”,让她登录“中华人民共和国公安部”网站查看“逮捕令”。对方称,目前案件由警方侦办,要求其添加办案民警QQ接受调查。沙女士登录网站后,一看到“逮捕令”,心里顿时慌起来。而后,对方以查验资金流水为由,要求沙女士下载某视频会议软件App,打开“屏幕共享”功能,登录银行账户,将余额展示给对方查验。对方并没有让沙女士转账至“安全账户”,而是让她将钱转至其本人名下另一张银行卡,沙女士完全信任对方并进行转账。过程中,对方获取了沙女士的脸部认证,进而直接盗转了沙女士银行卡内资金。
据了解,目前“屏幕共享”还出现在“快递理赔”“网购退款”“注销校园贷”等诈骗套路的环节之中。
原来,“屏幕共享”功能会把屏幕上显示的内容全都记录下来,并同步让对方看到,不法分子可以实时监控用户手机的所有操作,不仅包括输入密码、解锁的过程,还有弹框显示短信、微信、其他App推送的内容。由此,不法分子就轻松获得了受害人的银行账户信息及短信验证码等,从而转走受害人卡内资金。
2021年9月8日 星期三
今日资讯速览:
1、新的蓝牙安全漏洞BrakTooth影响全球10亿台设备 修复路可能比较漫长
2、一天收到顺丰1000条寄件信息 “发件人”疑似信息遭泄露,被人利用刷单
3、苹果官方:2021 秋季发布会(iPhone 13/Pro 等)定于 9 月 14 日,邀请函现身
1、新的蓝牙安全漏洞BrakTooth影响全球10亿台设备 修复路可能比较漫长
无线蓝牙技术作为当前被广泛使用的通讯技术,发生漏洞就有可能影响全球数以亿计的设备,如果漏洞影响的制造商比较多那受影响的设备规模还可能继续提高,比如此次被发现的BrakTooth漏洞影响的设备可能超过10亿台。
漏洞由新加坡科技设计大学的研究人员发现,其利用方法不算复杂但也不简单,主要是很多商业设备和工控设备也实用蓝牙技术因此可能会遭到针对性攻击,如果是针对性的攻击的话那这个利用难度就不值一提了:攻击者只需要ESP32开发套件并使用LMP固件即可利用漏洞发起攻击。
影响范围非常广泛:
研究发现包括来自英特尔、高通、德州仪器、珠海杰理科技、蓝汛科技、炬芯科技、乐鑫科技、哈曼国际以及芯科实验室的蓝牙芯片均受漏洞影响,这些公司生产的蓝牙芯片被广泛用于台式机、笔记本电脑、智能手机、物联网设备、信息娱乐系统、音频设备(耳机、蓝牙音箱)、键盘和鼠标、玩具以及工业控制设备(如PLC)。
因此研究人员保守估计此次出现的漏洞在全球范围内影响的设备至少有10亿台,而利用漏洞攻击者可以篡改蓝牙固件、阻断蓝牙连接、设备死锁以及代码执行等。当然如果需要利用漏洞则需要在蓝牙范围内进行连接,因此发起大规模广泛的攻击可能比较难,但攻击者如果针对某些商业企业进行攻击,那蓝牙芯片的漏洞可能就是突破口之一,例如可以用来破坏工业设备的正常运行等。
至于消费类设备不论是集成蓝牙芯片的英特尔网卡还是智能手机例如OPPO Reno 5G都受漏洞的影响,接下来蓝牙芯片制造商们需要修复漏洞,然后再由设备制造商发布更新帮助企业和消费者修复漏洞。
攻击示意图
系列漏洞已分配20个CVE编号:
针对此系列漏洞研究人员已经申请20个CVE编号进行占位,当然在漏洞修复前这些漏洞细节都不会被公开,所以当前查询这些CVE编号的话也没法看到有效信息。
以下是部分CVE编号:CVE-2021-28139 任意代码执行/死锁、CVE-2021-34144 死锁、CVE-2021-28136 触发崩溃、CVE-2021-28135 CVE-2021-28155 CVE-2021-31717 触发崩溃、CVE-2021-等待生成编号 LMP 2-DH1 溢出、CVE-2021-34150 死锁、CVE-2021-31613 触发崩溃、CVE-2021-31611 死锁、CVE-2021-31785 死锁、CVE-2021-31786 死锁、CVE-2021-31610/34149/34146/34143 触发崩溃/死锁、CVE-2021-34145 触发崩溃、CVE-2021-34148 触发崩溃、CVE-2021-34147 触发崩溃、CVE-2021-待生成编号 触发崩溃、CVE-2021-带生成编号 触发崩溃、CVE-2021-待生成编号 死锁。
部分厂商已经着手修复:
2、一天收到顺丰1000条寄件信息 “发件人”疑似信息遭泄露,被人利用刷单
近日,读者陈女士向“新民帮侬忙”反映,她遇到了一件怪事,自己的“顺丰速运”账号1天内无缘无故多了整整1000条寄件记录,疑似个人信息泄露,她成了“刷单”的受害者。而“顺丰”的答复无法让陈女士满意。
收到1000条寄件信息
陈女士告诉记者,6月25日下午,她收到“顺丰速运”公众号推送的通知,提示由她寄出的一份快件已被签收。随后,类似的通知接踵而至,没多少时间,又多了300多条。这些快递全部由黑龙江省绥化市寄往全国各地。
陈女士本人身处上海,绥化市是其公司合作方的所在。陈女士说,自己一开始以为是公司合作方的“误操作”,但她联系了绥化的合作方,对方表示并不知情。
陈女士致电顺丰客服,要求顺丰赶快介入并制止这一情况。“我打了几个电话,顺丰都表示会‘尽快处理’,但后来就没了消息。”与此同时,陈女士这边仍然不断收到快件送达的提醒,到当天晚上,她发现总共收到了999+条寄件信息。“我点开仔细看,每页10条,100页,整整1000条。”
令陈女士疑上加疑的是,这些寄件很多为空单,有单号却无包裹。即使是有货物的寄件,也是一些无价值的小玩意。“快递员无件可送,收件人莫名其妙,都向我发来消息、或打电话询问情况,甚至质问我是不是骗子。”陈女士说,这严重干扰了她的工作和生活。
顺丰只赔23元优惠券
陈女士分析,此事的背后,应该是自己的个人信息遭泄露,被人利用刷单。
但顺丰方面称是系统误操作导致,向陈女士致歉,并表示赠送一张23元的优惠券作为补偿。“顺丰几次打电话来,但内容无非是‘正在调查’‘对不起’和优惠券补偿。”陈女士表示不能接受,还称被顺丰骚扰得够呛。
7月5日,记者联系了顺丰客服。对于记者提出的“刷单”和“信息泄露”等问题,客服人员表示,公司已经派专人进行调查,让记者等候答复。当晚,顺丰给记者的回复是:“此事系陈女士的一位客户误用了陈女士的身份来寄件。”还表示,愿意与陈女士线下会谈。
对此,陈女士称自己已经排除了客户误用的情况,并且拒绝与顺丰线下会谈。
7月6日中午,陈女士收到显示来自哈尔滨的一个电话,对方自称是发货地的顺丰工作人员,错用了陈女士的信息寄件。陈女士质疑,已和多位快递小哥和收件人联系,证实这些寄件中存在大量空单,“这又是怎么回事”,对方没有回答就挂断了电话。
6日晚上,陈女士查看“顺丰速运”微信公众号发现,之前的1000条寄件信息已经被系统删除得只剩1条。
业内人士讲刷单现象
针对此事,记者咨询了几位快递业内人士。他们一致认为,陈女士应该成了刷单的受害者。
据这几位业内人士介绍,在电商行业中有这样一群操盘手,他们为电商提供刷单服务。所谓刷单,大致流程为:首先,操盘手通过各种手段,非法盗取他人的个人信息。其次,操盘手以被盗取者的名义大量寄件,这些件一般都是空件,或是无价值的东西,而快递公司一般不会对批量寄送的物品进行检查。最终,这些快件在被签收后,将为刷单的电商增加相应的销售量。
电商为何要动歪脑筋“虚增”销售量?一方面,可以向顾客展示“品质优良,交易活跃”的假象,另一方面,其所处平台会对电商的销售量作出要求,只有达到了一定的销售量才可以获得平台给予的优惠条件,平台通过追踪每一个订单号来计算销售量。为了达成这些要求,个别电商就会选择刷单。
除了电商,快递公司也有可能刷单。“快递公司总部可能会对下属快递网点在某一时间段的发件量规定指标。为了达到指标,快递网点也可能会刷单。但这种情况一般较少发生,因为快递公司通常对下属网点有严格的监管措施。”
另外,也有可能存在电商勾结快递网点的情况。电商通过给予网点好处费,让快递网点帮忙刷单。
多位业内人士表示,刷单行为因为运费等原因存在一定成本,但和可能获得的利润相比,是“九牛一毛”。像陈女士这样的情况,她的个人信息肯定已经被泄露了,建议直接报警,让警方介入调查,维护个人信息安全。
3、苹果官方:2021 秋季发布会(iPhone 13/Pro 等)定于 9 月 14 日,邀请函现身
IT之家 2021 年 9 月 8 日凌晨零点最新消息,苹果官方宣布:秋季发布会定于美西时间 9 月 14 日,北京时间 2021 年 9 月 15 日凌晨 1 点。
目前大概率 iPhone 新系列会命名为 iPhone 13 / Pro / Pro Max,值得一提的是,苹果秋季发布会至少包括三场,首场预计是 iPhone 专场,月底可能还有一场 AirPods 相关的发布会,也有可能会直接上架官网,10 月可能是新款 iPad 系列,11 月则是新款 MacBook Pro 2021 等系列。
根据历年惯例,新一代的 iOS 15 /iPadOS 15 正式版和 WatchOS 8 正式版也将降临。
下图为 2021 年苹果秋季发布会邀请函中国版“真身”。
2021年9月7日 星期二
今日资讯速览:
1、新西兰全国大范围断网:因第三大电信运营商遭DDoS攻击
2、非法采集面部信息被罚50万 一点也不冤
3、英国信息专员呼吁联合对抗互联网cookies弹窗顽疾
1、新西兰全国大范围断网:因第三大电信运营商遭DDoS攻击
由于一家本土主要电信运营商遭遇DDoS攻击,新西兰部分地区遭遇严重的网络连接中断问题。
作为新西兰第三大电信运营商,旗下拥有Orcon、Slingshot及Stuff Fiber等品牌的Vocus公司证实,此次攻击是受到了某家托管客户的殃及。
根据官方网络状态更新,该公司表示,“今天下午,Vocus某客户遭遇DDoS攻击……我们的Arbor DDoS平台更新了DDoS缓解规则,意在阻止针对此次最终客户的攻击。”
他们还补充道:
根据初步调查,正是这一规则变更导致众多Vocus客户遭遇服务中断。我们正在与平台供应商密切合作,希望了解引发这种状况的原因。
受到影响的Vocus客户被迫离线约30分钟。
虽然细节仍不明确,但考虑到新冠疫情之下大量居家办公的新西兰居民,此次断网恐怕在全国范围内都造成了严重破坏。
路透社报道称,Vocus公司对网络攻击的响应措施很可能引发了连锁反应,导致全国多地断网达30分钟,包括奥克兰、惠灵顿及基督城在内的多个大城市受到影响。我们已经就此事向Arbor DDoS保护供应商Netscout征求意见。
截至本文发稿时,网络服务似乎已经恢复正常。
而在遥远的欧洲,上周两家英国VoIP运营商的服务同样遭受DDoS攻击。此番攻击据信出自俄罗斯网络攻击团伙之手,对方还开出了“巨额赎金”要求。
另外,上周在英格兰东南部及威尔士部分地区发生的Sky Broadband网络中断事件现在似乎也得到了解决。
事件始于上周三,客户们开始投诉断网问题。尽管据称服务已经在逐步恢复,但周四一整天仍有Sky Broadband用户在陆续上报自己的服务问题。
一位Sky公司发言人告诉我们,他们“发现加的夫和英格兰东南部部分地区的Sky Broadband与Talk客户受到了影响”,而且工程师们正在着手解决问题。
但客户在Twitter和Down Detector上证实影响范围其实更远,包括东米德兰兹与西米德兰兹。
直到昨晚,Sky公司发言人终于告诉我们,“大部分受到Broadband与Talk间歇性问题影响的Sky客户,现在应该已经恢复正常使用。”
该公司对于“由此造成的任何不便”表示歉意。【阅读原文】
2、非法采集面部信息被罚50万 一点也不冤
报载,近日,江苏省市场监管局公布3起非法采集消费者人脸信息典型案例。其中,苏州万店掌网络科技有限公司通过“万店掌App”或定制的相关App及网页端复核抓拍人脸照片,查看精准的客流统计情况,无违法所得,被处以50万元罚款。
人脸识别作为基于人的脸部特征信息进行身份识别的生物识别技术,在具体应用过程中必然要采集并保存含有人脸的图像或视频流。这些信息属于受法律严格保护的肖像权和个人信息,假使被不当使用或泄露,将导致非常严重的后果。在正常的人脸识别场景中,经营者事先要告知消费者,征得消费者同意后方可采集、使用人脸信息。而报道中所指出的部分经营者的做法则毫无商业底线和规则意识,他们在消费者毫不知情的情况下非法采集人脸信息并加以利用。如果这一违法的现象得不到有效遏制,将导致人们人身和财产安全受到极大威胁。
其行为不仅涉嫌民事侵权和行政违法,还可能涉嫌刑事犯罪。根据相关法律,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的,即可构成侵犯公民个人信息罪。
即将于2021年11月1日起施行的《个人信息保护法》规定,处理生物识别、特定身份、医疗健康、金融账户、敏感个人信息的,应采取严格保护措施,并取得个人的单独同意。违规处理个人信息的,可处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。情节严重的,可没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。
技术越发达,越应约束可能滥用技术的商家,越应着重维护处于弱势地位的消费者。否则,技术就可能沦为商家违法的工具,消费者却毫无还手之力。在遍地摄像头的背景下,谁也不能保证不会被哪个摄像头窃取人脸信息。因而,严厉惩戒这些觊觎消费者面部信息的商家是监管者的职责所在,也是保护消费者信息的应有之义。只有不折不扣地严肃惩戒这些不法行为,方可形成震慑,让每个人真正地成为自己人脸信息的主人。【阅读原文】
3、英国信息专员呼吁联合对抗互联网cookies弹窗顽疾
即将于今天晚些时候举行的七国集团(G7)峰会上,英国信息专员伊丽莎白·德纳姆(Elizabeth Denham)呼吁其他国家联合起来对抗网络上的 Cookies 弹窗。Denham 女士表示:“单靠某一个国家是无法解决这个问题的”
她继续表示:“因此,我呼吁七国集团的其他成员共同努力。我们可以与技术公司和标准组织一起制定一个协调的方法来应对这一挑战”。
互联网用户和企业普遍不喜欢 Cookies 弹窗,它们被认为是一个恼人的障碍,而且隐私倡导者,他们认为所谓的"黑暗模式"欺骗人们接受隐私侵犯,而不是阅读每个网站的设置页面。
Denham 女士说:“我经常听到人们说,他们已经厌倦了不得不与这么多的cookie弹出窗口打交道。这种疲劳正在导致人们提供比他们希望的更多的个人数据”。
英国国家数据监督机构信息专员办公室(ICO)提出了一个“未来愿景”。网络浏览器甚至设备范围内的设置将“允许人们设置他们所选择的持久的隐私偏好,而不是在他们每次访问网站时通过弹出窗口进行设置”。
这将“确保人们的隐私偏好得到尊重”,同时改善体验。ICO说,它相信这种方法“在技术上是可行的,并且符合数据保护法”。然而,要实现这一目标,需要不同的技术公司或标准组织之间的合作。
关于追踪cookies的未来已经有了相当多的争论,苹果公司在其软件中默认限制了它们,而Google公司则在追求一个新的标准,但没有得到其他软件制造商的支持。ICO 表示,它相信七国集团当局的综合力量在引导大型科技公司制定解决方案方面"可能产生重大影响"。【阅读原文】
2021年9月6日 星期一
今日资讯速览:
1、由于存在安全缺陷 谷歌人工智能项目TensorFlow完全放弃支持YAML
2、涉黄涉赌涉诈 非法引流:黑流量肥了黑产
3、日企开发人脸识别系统:取款购物瞬间完成认证支付
1、由于存在安全缺陷 谷歌人工智能项目TensorFlow完全放弃支持YAML
由谷歌提供的开源机器学习和人工智能项目TensorFlow目前已经放弃为YAML提供支持,放弃原因是继续支持YAML可能存在安全问题。在最新版中谷歌移除YAML支持以解决不受信任的反序列化漏洞执行问题,此漏洞编号为CVE-2021-37678严重性等级为高危,评分达到9.3分,由研究人员Arjun Shibu提交给谷歌的。
YAML是个可读性更高用来表达数据序列化的格式,研究人员发现TensorFlow代码中加载 yaml.unsafe_load() 函数,利用缺陷攻击者能够在应用程序反序列化以YAML格式提供的Keras模型时执行任意代码,当应用程序读取来自不真实来源的格式错误或恶意数据时通常就会发生反序列化漏洞。
而TensorFlow中的反序列化漏洞可能会导致DoS拒绝服务供给,更糟糕的时利用此漏洞甚至可以执行任意代码,这也是这枚漏洞的评分达到9.3分(满分10分)的原因。为此谷歌已经将TensorFlow以及Keras项目的YAML解析给停掉,以此解决潜在的安全问题。
unsafe_load函数可以相当自由地反序列化YAML数据,可解析所有标签即使是那些已知的不受信任的标签。理想状态下unsafe_load应该只在来自可信来源且没有任何恶意内容的输入上调用,但攻击者也可以利用反序列化机制通过在尚未序列化的YAML数据中注入恶意负载来执行攻击者想要执行的代码。【阅读原文】
2、涉黄涉赌涉诈 非法引流:黑流量肥了黑产
看着是正常网站,鼠标一点就跳转到了色情网站;主播成为境外赌博网站“代理”,直播间引流招揽参赌人员;在招聘网站发布“招工帖”,实则为刷单类电信诈骗猎寻受害者……半月谈记者采访发现,作为网络黑灰产业的上游,非法推广引流正呈现高发态势,具有更为隐蔽、更高收益、更多危害的特点。
当前,短信群发、邮件群发、非法嵌入“暗链”、利用短视频和直播平台引流、通过招聘网站虚假招工等是不法分子非法引流的常见手段,这些“黑流量”绝大多数是为下游的网络赌博、电信诈骗提供“客源”。
记者从北京市公安局网安总队了解到,今年以来,按照公安部“净网2021”专项行动部署,北京警方已侦破非法推广引流类黑产案件85起,抓获嫌疑人320名,刑事拘留278名。
——非法嵌入暗链。 在一起案件中,多家单位、企业网站出现点击后自动跳转到境外赌博网站的情况。北京警方调查发现,有人利用黑客技术,将境外赌博网站“暗链”嵌入到正规网站上,使相关单位、企业网站点击或搜索访问时显示为赌博网站信息,以此达到为赌博网站引流的目的。
“不法分子通过黑客技术,先从海量网站中寻找目标,找出有安全漏洞的网站黑进去,再嵌入暗链。”北京市公安局网安总队办案民警说。
——利用短视频、直播平台非法引流。 今年5月,甘肃省兰州市七里河区人民法院对梁某开设赌场罪,判处有期徒刑6个月。据了解,梁某通过下载某赌博App的方式参与网络赌博,后申请成为该赌博网站的“代理”,并通过斗鱼直播平台招揽参赌人员。
知情人士告诉记者,目前,黑灰产利用平台非法引流的形式有三种,包括通过私信弹幕引流、在个人资料主页中通过“个性签名”等方式展示非法网站信息等,以及通过直播内容引流。“直播时主播通过口播、内容场景、公屏公告等方式,引导用户加入第三方粉丝群聊、交流群等,再通过群聊推送涉黄、涉赌、涉诈等内容。”
记者在浏览某直播平台时发现,除了有通过直播间向站外不法网站、涉赌涉黄的聊天群进行引流的行为,有的主播也会利用播放低俗视频或者查看低俗直播来提升直播人气,并在直播间讲述赌博玩法,向正在涉嫌赌博活动的站内直播间进行导流。
——招聘网站埋“坑”。 在北京警方今年5月侦破的一起案件中,4名嫌疑人在某招聘网站批量发布招聘打字员、小时工等信息,再给有意愿的应聘人员介绍“帮主播点赞增加人气”“给电商店铺增加销量”等兼职信息。“看似招聘,实则是刷单类电信诈骗。”民警说,为了能最大限度广撒网,嫌疑人往往需要大量购买招聘网站会员账号,部分还会使用虚假的营业执照进行注册。【阅读原文】
3、日企开发人脸识别系统:取款购物瞬间完成认证支付
据共同社网站近日报道,日本理索纳控股和松下等4家公司近日发布消息称,将共同开发使用人脸识别技术提供上述服务的系统。一旦该系统得以应用,只要事先登记脸部照片,就可空手在银行窗口办理存取款手续、在零售商店购物。
据报道,该系统还可用于办理宾馆入住及租车时的身份确认,有望在广泛领域提高便利度。
除了索纳和拥有人脸识别技术的松下之外,这4家公司还包括在运用数字技术确认身份方面具有优势的大日本印刷,以及开展结算服务的JCB。
这一技术本年度内将用于理索纳公司内的房间进出管理,下一年度在理索纳银行的部分店铺尝试是否可不使用存折和现金卡,仅通过人脸识别进行存取款、汇款、购买投资信托等手续。将来还考虑推广到地方银行等难以自行开发技术的企业。
JCB将利用信用卡的店铺网络扩大服务,考虑的系统是事先登记脸部照片的顾客来店时,可以瞬间确认身份、完成支付。
登记脸部照片以顾客同意为前提,但从保护隐私的角度看,如何确保安全性或成为普及相关服务的关键。
关于此次的服务,用户的脸部照片数据将保管在外部无法访问的服务器上,由理索纳管理。松下的负责人表示:“人工智能的发展使人脸识别的精度飞跃性提高,非法访问很困难。”【阅读原文】
2021年9月3日 星期五
今日资讯速览:
1、FTC宣布禁止间谍软件制造商SpyFone 命令其删除非法收集的数据
2、安全研究人员开发出带有隐藏芯片的密码窃取Lighting数据线
3、WhatsApp被欧盟罚款2.25亿欧元:数据共享不透明
1、FTC宣布禁止间谍软件制造商SpyFone 命令其删除非法收集的数据
据外媒The Verge报道,当地时间周三,美国联邦贸易委员会(FTC)宣布禁止间谍软件制造商SpyFone及其首席执行官 Scott Zuckerman从事监控业务。该委员会称SpyFone是一家“跟踪软件公司”,据称通过隐藏的设备非法收集和分享人们的行动、电话使用和在线活动数据。
FTC在一份声明中说:“该公司的应用程序出售对其秘密监视的实时访问权限,使跟踪者和家庭虐待者能够隐蔽地跟踪他们暴力的潜在目标。SpyFone缺乏基本的安全性,也使设备所有者面临黑客、身份窃贼和其他网络威胁。”
除了禁令之外,FTC还命令SpyFone删除非法收集的数据,并在设备所有者不知情的情况下安装该应用时通知他们。
FTC主席Lina Khan在一份声明中说:“我们必须对监控企业带来的各种威胁保持清醒的头脑。FTC将在数据安全和隐私执法中保持警惕,并将寻求大力保护公众免受这些危险的影响。”【阅读原文】
2、安全研究人员开发出带有隐藏芯片的密码窃取Lighting数据线
MacRumors 报道称,安全研究人员已经开发出了一款能够窃取密码等数据、并将之发送给黑客的 Lighting 数据线。虽然外观上难以分辨,但变造 Lighting 数据线(OMG Cable)还隐藏了一枚窃密芯片。对于毫无戒备的用户来说,它仍然能够用于 Mac、iPad 和 iPhone 的键盘连接,然后将按键操作发送给可能在一英里外的黑客。
据悉,攻击者可创建一个 Wi-Fi 热点,并利用一款简单的网络应用程序来记录受害者的按键操作。
外观上难以辨认【阅读原文】
3、WhatsApp被欧盟罚款2.25亿欧元:数据共享不透明
据报道,爱尔兰数据保护委员会(DPC)今日对Facebook旗下即时通讯应用WhatsApp处以创纪录的2.25亿欧元(约合2.66亿美元)的罚款。在此之前,WhatsApp在与Facebook其他子公司分享个人数据的透明度上遭到调查。对于该罚款决定,WhatsApp表示,罚款金额完全不成比例,将提起上诉。
根据欧盟的《通用数据保护条例》(GDPR),爱尔兰DPC负责管理欧洲总部设在都柏林的美国跨国公司,因此也是Facebook在欧盟的主要监管机构。DPC称,针对WhatsApp的调查,与其在2018年是否遵守欧盟关于透明度的数据规则有关。
WhatsApp发言人在一份声明中称:“我们不同意该罚款决定,罚款金额完全不成比例。”
除了罚款,爱尔兰DPC还对WhatsApp进行了谴责,并下令WhatsApp采取一系列具体的补救行动,使其数据处理过程合规。截至去年年底,爱尔兰DPC对Facebook及其子公司WhatsApp和Instagram共展开了14项重大调查。【阅读原文】
2021年9月2日 星期四
今日资讯速览:
1、攻击者从 Cream Finance 窃取了价值 2900 万美元的加密货币
2、研究人员:由微软 GitHub Copilot 自动生成的代码中,有 40% 存在漏洞
3、移民系统漏洞,导致加拿大超额接受7300份移民申请
1、攻击者从 Cream Finance 窃取了价值 2900 万美元的加密货币
威胁行为者从去中心化金融 (DeFi) 平台 Cream Finance 窃取了超过 2900 万美元的加密货币资产。CREAM Finance 是一种去中心化借贷协议,供个人、机构和协议访问金融服务。它向被动持有 ETH 或 wBTC 的用户承诺收益。【阅读原文】
该公司通过 Twitter 发送消息确认了安全漏洞:
区块链安全公司 PeckShield 首先发现了这次攻击,并发布了一系列包含安全漏洞证据的推文。
2、研究人员:由微软 GitHub Copilot 自动生成的代码中,有 40% 存在漏洞
GitHub 在 6 月份联合 OpenAI,推出了一款“GitHub Copilot”工具,官方宣传语为“你的 AI 结对编程助手”。
根据官方的介绍,GitHub Copilot 可以根据上下文自动写代码,包括文档字符串、注释、函数名称、代码,只要用户给出提示,就可以写出完整的函数,将程序员从重复的编写中解放出来。
那么,该 AI 工具的代码质量如何呢?
近日,康奈尔大学的研究人员公布了一项数据,他们为 GitHub Copilot 生成了 89 个不同的场景,生成了 1692 个程序。其中,大约 40% 的程序存在漏洞。
研究人员表示,由于 Copilot 是利用 GitHub 上提供的开源代码进行训练的,因此可以推断,代码安全质量取决于 GitHub 社区的开源代码质量。
IT之家了解到,GitHub Copilot 接受了数十亿行公共代码的培训,目前仅支持在微软 Visual Studio Code 中使用,支持 Python、JavaScript、TypeScript、Ruby 和 Go 等编程语言。【阅读原文】
3、移民系统漏洞,导致加拿大超额接受7300份移民申请
8月31日,BLEEPINGCOMPUTER 披露,加拿大移民系统出现了漏洞,导致政府接受了额外的7300份移民申请,其中包括希望将临时签证身份更改为永久居留权的国际研究生申请。
据加拿大移民局资料显示,加拿大移民法案通常会对每一种移民方式,每年可接受移民申请数量设定一个上限。符合条件的加拿大国际毕业生,可以通过在线申请将其临时居留身份调整为永久居留 (PR)。
事件发生后,加拿大移民、难民和公民局(IRCC)称,2021 年,接受国际研究生申请上限为 40000 份,但是漏洞导致系统将某些同时提交的两个或多个申请,视为一个申请,因此导致系统额外接受了7300份申请。【阅读原文】
2021年9月1日 星期三
今日资讯速览:
1、黑客现在可以绕过万事达和Maestro非接触式卡的PIN码
2、免费升级!Windows 11 10月5日发布:微软确认Android应用引入还要等
3、卡巴斯基:Kanye West的《Donda》新专辑就像是“网络诈骗磁铁”
1、黑客现在可以绕过万事达和Maestro非接触式卡的PIN码
苏黎世的瑞士工程学院的研究人员发现了一个新的漏洞,非接触式万事达卡和Maestro密码可以被轻松绕过。该漏洞的关键之处在于,如果利用得当,盗贼可以使用被入侵的万事达卡或Maestro卡进行非接触式支付,而无需输入密码来完成交易。
要实现上述做法,需要首先在两部Android智能手机上安装专用软件。一个设备用于模拟正在安装的销售点终端,而另一个则作为一个卡片模拟器,允许将修改后的交易信息传输到真正的销售点设备。一旦卡片启动交易,它就会泄露所有相关信息。
苏黎世联邦理工学院的专家证实,这是一次孤立的攻击,但随着非接触式支付方式的更多漏洞被揭开,这很容易在现实生活中被利用。过去,同一个团队成功地绕过了Visa的非接触式支付密码,研究人员你在"EMV标准:破解、修复、验证"研究论文中详细描述了这一实验。
目前的实验集中在非Visa非接触式支付协议使用的卡上的PIN绕过,但使用的都是相同的策略和已知的漏洞。该团队能够拦截Visa的非接触式支付规范,并将交易方面转移到一个真正的销售点终端,该终端并不知道交易凭据的来源,直接验证并确认了PIN和购卡者的身份,因此PoS也不需要进行进一步的检查和身份鉴别流程。
不管是Visa、Mastercard还是Maestro,ETH都成功地进行了实验,这并不是数以百万计的非接触式卡用户所希望听到的。由于这个漏洞的严重性及其潜在的后果难以估量,研究人员没有透露所使用的应用程序的名称。【阅读原文】
2、免费升级!Windows 11 10月5日发布:微软确认Android应用引入还要等
微软正式宣布了Windows 11的发布时间,就是10月5日。
新的操作系统将作为符合条件的Windows 10电脑的免费升级版,或在预装Windows 11的新硬件上提供。免费升级Windows 11的工作将于10月5日开始,但与过去的许多Windows升级一样,它将分阶段提供。
"在从Windows 10中获得巨大的经验教训之后,我们希望确保我们为您提供尽可能好的体验,"微软Windows营销总经理Aaron Woodman解释说。"我们预计到2022年中期,所有符合条件的设备都将被提供免费升级到Windows 11。"
在现有的Windows 10电脑上,Windows Update会让人们知道何时可以升级到Windows 11。你也可以通过Windows Update,或微软专用的PC健康检查应用程序(目前处于预览阶段),检查你的设备是否有资格获得Windows 11的升级。
不过不好的消息是,Android应用引入Windows 11的这项功能不会在10月5日出现。Windows 11上的Android应用预览版将在未来几个月内提供给Windows Insiders,这表明它很可能在2022年前不会向所有Windows 11用户推出。
微软上周澄清了Windows 11的最低系统要求,但也为那些不符合要求的PC透露了一个变通办法,即可以使用ISO方法在任何硬件上安装Windows 11,只要电脑有一个64位的1GHz处理器,有两个或更多的核心,4GB内存,64GB存储,以及TPM 1.2芯片。
但是,如果你使用该解决方法,你的PC将处于不支持的状态。这意味着不支持的Windows 11电脑可能无法获得Windows Update,甚至是安全补丁。【阅读原文】
3、卡巴斯基:Kanye West的《Donda》新专辑就像是“网络诈骗磁铁”
网络犯罪分子正在发起一个新的骗局,利用Kanye West的《Donda》专辑的发行,在互联网上分发包含恶意软件的假专辑。网络安全公司卡巴斯基研究了这一事件,以了解威胁者是否在互联网上传播任何恶意软件。他们强调,其中一个骗局是针对备受期待的媒体(电影、音乐)的发布,因为他们可以将恶意代码放在可以轻易下载的假文件中。
这个特殊的骗局尝试涉及将假的恶意文件上传到互联网上,这些文件与电影《黑寡妇》问世前的文件相似。Kanye的粉丝会得到一个下载专辑的链接,然后被要求参与一项调查,以确认他们不是机器人,之后,客户被重定向到一个提供几个比特币生成骗局的网站。
卡巴斯基实验室检测到以下两个文件被感染了广告软件,并伪装成《Donda》专辑,以欺骗Kanye的粉丝:"Download-File-KanyeWestDONDA320.zip_88481.MSI和Kanye West _ DONDA (Explicit) (2021) Mp3 320kbps [PMEDIA] __ - Downloader.exe"。
除了常见的欺诈性下载之外,卡巴斯基还发现了各种不同的欺诈网站,它们采用不同的策略,试图诱使客户点击虚假链接,提供个人信息,并以其他方式泄露他们的敏感数据。
卡巴斯基安全专家安东·伊万诺夫在关于围绕《黑寡妇》发布的骗局时的警告中解释说,骗子和网络犯罪分子正在利用许多人的兴奋、热情和放松警惕,因为他们试图找到一种方法来获得新内容。
为了避免成为此类骗局的受害者,建议仔细检查下载链接,不要点击不正当的网址,并始终从有信誉的来源下载。【阅读原文】
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课