-
-
[推荐]【每日资讯】 | CISA 在其已知漏洞目录中增加了 10 个新漏洞 | 2022年8月31日 星期三
-
发表于: 2022-8-1 10:31
-
2022年8月31日 星期三
今日资讯速览:
1、CISA 在其已知漏洞目录中增加了 10 个新漏洞
2、美国陆军宣布招募“国家黑客”
3、儿童智能手表藏风险 多管齐下护“腕上安全”
1、CISA 在其已知漏洞目录中增加了 10 个新漏洞
Hackernews 编译,转载请注明出处:
美国网络安全和基础设施安全局(CISA)在其已知漏洞目录中添加了10个新漏洞,其中包括影响Delta Electronics工业自动化软件的高严重性安全漏洞(CVE-2021-38406 CVSS 评分:7.8)。
根据具有约束力的操作指令(BOD)22-01:降低已知被利用漏洞的重大风险,FCEB机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。
专家还建议私人组织审查目录并解决其基础设施中的漏洞。
据美国机构称,Delta Electronics DOPSoft 2在解析特定项目文件时缺乏对用户提供的数据的正确验证(输入验证不正确)。攻击者可以触发该漏洞,导致越界写入并实现代码执行。
重要的是没有安全补丁可以解决此问题,并且受影响的产品已经报废。
CISA还在Apple iOS、macOS和watchOS中添加了一个Sanbox绕过漏洞,跟踪为CVE-2021-31010 (CVSS评分:7.5)。
“在受影响的Apple iOS、macOS和watchOS版本中,沙盒进程可能能够绕过沙盒限制。”公告中写道。
添加到该目录的其他漏洞有:
CVE-2022-26352 – dotCMS无限制上传文件漏洞
CVE-2022-24706 – Apache CouchDB资源不安全默认初始化漏洞
CVE-2022-24112 – Apache APISIX身份验证绕过漏洞
CVE-2022-22963 – VMware Tanzu Spring Cloud Function远程代码执行漏洞
CVE-2022-2294 – WebRTC堆缓冲区溢出漏洞
CVE-2021-39226 – Grafana身份验证绕过漏洞
CVE-2020-36193 – PEAR Archive_Tar链接解析不当漏洞
CVE-2020-28949 – PEAR Archive_Tar不受信任数据反序列化漏洞
CISA命令联邦机构在2022年9月15日之前修复这些漏洞。
2、美国陆军宣布招募“国家黑客”
乌俄冲突让网络战更加白热化,近期,美国陆军本周宣布对外招募网络战部队,防御国外政府发动的网络攻击以及防御工作。
美国陆军指出,21世纪的战争已经转移到网络,恶意网络流量、复杂的钓鱼攻击、病毒和其他虚拟攻击,正对美国关键基础设施以及人民安全产生直接威胁。
美国陆军表示,加入“网络战士”将会获得网络攻击及防御任务的技能训练,强化辨识锁定政府机构和金融中心的广告软件、勒索软件、间谍软件,以及找出国际黑客网络、破坏国内网络犯罪计划,保卫美国陆军通讯的能力。
虽然网络战一直存在,但在乌俄冲突后,网络战争也由暗转明,美国拜登政府今年也号召投入资金强化美国国防,号召企业协助美国网络基础架构及军事、政府信息系统的防御。另一方面,新冠疫情影响降低民众从军意愿,美陆军今年一月宣布提供入伍奖金到最高一年5万美元以及其他奖金。
美国陆军招募的主要包括网络电子作战官、网络作战官、密码情报分析师、网络防御员以及网络作战专员。网络电子作战官是网络防御及整合首要人物,负责协调电子攻击和防御任务,并提供电子作战支援。网络作战官主要面对敌人行动执行攻击。
密码情报分析师负责搜集和分析情报,找出目标所在,也要从电脑、语音、影像及文字通讯中找出敌军行动样态线索,协助作战。网络防御员则是专注在电脑网络,包括基础架构支援、安全事件回应、稽核和管理,也需侦测和扫除网络上的未授权活动,并以各种工具来分析以及回应攻击。最后,网络作战专员负责确保美国陆军的重要武器系统,包括卫星、导航、飞航系统免于国内、国外网络威胁。这个角色要协助指挥官在“网络所有领域”克敌制胜。
美国陆军将提供的训练包括基础技术、情报和网络作战技能、程序编写语言、IT安全认证、网络作战策划和执行、进阶的电脑指令、鉴识、恶意程序分析和黑客训练、以及拦截防范爆炸装置(improvised explosive device,IED)和辨识及对抗雷达及其他电子攻击系统的训练。
已有理工科系学位且现职为网络专业人士若加入美军,可以申请成为军官,依其程序编写及分析经验而定,军职可以从少尉起跳,最高到上校,而且获得相应的加给。
3、儿童智能手表藏风险 多管齐下护“腕上安全”
能拍照,能定位,还能打电话……近年来,儿童智能手表获得了越来越多未成年学生的青睐。暑假期间,各大品牌的儿童智能手表更是再次进入了销售高峰。然而,儿童智能手表这个快速增长的市场却频发乱象。信息泄露和免密支付带来的资金风险等问题,都是对未成年人安全的潜在威胁。
儿童智能手表不只是手表
“碰一碰手表,加个好友吧!”如今,这句话成了不少儿童社交时打招呼的见面语。从前的儿童手表,只能提供定位和紧急通信联络等一些简单功能。而如今,经过多年的迭代升级,儿童智能手表样式新颖而时尚,硬件配置和功能越来越强大。儿童智能手表早已不像传统的手表,而更像是一部戴在手腕上的,集定位、通话、社交、娱乐、学习、购物、拍照搜题等多种功能于一体“智能手机”。而且由于其手表的外观,佩戴儿童智能手表,往往可以绕开“中小学生不得带手机进校园”的规定。因此,儿童智能手表备受中小学生的推崇。
儿童智能手表市场蓬勃发展背后,乱象也在滋生。记者调查发现,一些儿童手表里可以下载的应用程序(App)多达上百款,其中不乏游戏类App。下载这些各式各样的App,很容易导致孩子沉迷其中,既耽误学习,也影响视力。
其中,一些App一旦绑定手机号,就同步开通了免密支付。在家长不知情的情况下,孩子可以随意进行消费,包括购物、开通平台VIP服务,购买游戏皮肤等,极大地影响了家庭的资金安全。
公开统计数据显示,近10年来我国14岁以下儿童人口数量一直保持在2.5亿人左右,这些人都是儿童智能手表的潜在用户。而随着“三胎政策”的放开,14岁以下儿童的数量可能会进一步上升,儿童智能手表的潜在用户还在进一步增加。据相关机构统计,近年来我国儿童手表保持较快增长,在2020年,其销售量已经达到了2990万件。
信息泄露极大危害用户安全
今年央视的“3·15”晚会曝光了儿童手表的许多信息安全漏洞。儿童手表中的一些App在安装后,无需用户授权就可以获得定位、通讯录、麦克风、摄像头等多种敏感权限,从而轻易获取孩子的位置、人脸图像、录音等个人隐私信息。
根据报道,“3·15”信息安全实验室对电商平台有着“10万+”销售记录的一款儿童智能手表展开了专门的测试。测试人员将一个恶意程序的下载二维码伪装成抽奖游戏,儿童通过这款手表扫码之后,恶意程序就轻松进驻到了手表中。工程师可以实现对这款手表的远程控制,采集位置信息、监听通话记录、偷窥视频等操作易如反掌。
儿童智能手表信息泄露的根本原因在于操作系统过于老旧。报道指出,这款手表使用的竟然是没有任何权限管理要求的安卓4.4操作系统。由于该操作系统的落后性,App申请什么权限,系统就会给App什么权限,而不会给用户任何告知。在该系统下,App无需用户授权就可以获得多种敏感权限。手表厂商选择低版本的操作系统是压缩成本而忽视安全的举措,给儿童带来的风险后患无穷。
廉价儿童手表更是信息安全的“重灾区”。科技日报记者在某电商平台搜索发现,在售的电话手表价格从35元到3600元不等,既有“小天才”“华为”“360”等大品牌,也有不少小品牌,可谓鱼龙混杂。
此外,许多儿童智能手表对App缺乏监管和筛选,用户可以轻易搜到色情、暴力等不良内容。部分平台还存在诱导消费、推送广告等问题。
解决乱象应靠他律与自律
今年4月,市场监管总局发布了推荐性国家标准GB/T41411-2022《儿童手表》。该标准将于今年11月1日开始实施。作为首个儿童手表国家标准,该标准覆盖了儿童手表的定位性能、通话、电磁辐射、信息安全等关键质量安全和性能指标,并提出了相关的评估和检测方法。
7月18日,中央网信办等部门将组织开展为期2个月的专项行动,聚焦未成年人使用频率高的短视频直播、社交、学习类App、网络游戏、电商、儿童智能设备等平台,集中解决涉未成年人问题乱象。该项活动强化对专门供未成年人使用的智能手表、智能音箱、平板电脑、早教故事机等智能设备信息内容管理,深入排查语音、视频、文字、图片、游戏等场景,以全面清理违法不良信息。
产业经济分析师、钉科技创始人丁少将在接受媒体采访时表示:“儿童智能硬件,安全性一定是基础,包括硬件本身的安全和内容的安全。一方面,厂商需要在功能开发和商业变现上进行克制和自律,确保安全底线不被突破;另一方面,国家有关方面在安全性方面可以设置细化的准入标准,特别是内容审查上要更加严苛,从而规范儿童智能硬件市场的发展。”
儿童手表制造、销售等相关行业呼吁,应对专项行动过程中行之有效、操作性强的具体措施和经验加以总结、完善,构建规范化、制度化、长效化的制度机制。比如在严格落实《未成年人保护法》等法律法规的基础上,针对儿童智能硬件的安全性设立行业准入标准,进一步明确儿童手表厂商和软件开发商的法律责任以及相关部门的监管责任,将儿童手表的生产、销售、使用等所有环节纳入常态化监管,还孩子们一个清朗的成长环境。
2022年8月30日 星期二
今日资讯速览:
1、Google开源Paranoid:用于识别各种加密产品中的漏洞
2、看到快递单全朝上,老板果断报警:两名快递员窃取近万条买家个人信息
3、因涉嫌未经同意收集人脸信息,Snap以2.4亿元达成和解
1、Google开源Paranoid:用于识别各种加密产品中的漏洞
Google 近日宣布开源 Paranoid,该项目主要用于识别各种加密产品中的漏洞。该库支持测试数字签名、通用伪随机数和公钥等多种类型的加密产品,以识别由编程错误或使用弱专有随机数生成器引起的问题。 Paranoid 项目可以检测任意加密产品、以及那些由未知实现的系统(Google 将其称之为 “黑匣子”,其特性是源代码无法被检查)生成的产品。
项目地址:https://github.com/google/paranoid_crypto
在随机数生成器中两个著名的、特定于实现(implementation-specific)的漏洞是 DUHK (Don’t Use Hardcoded Keys) 和ROCA (Return of Coppersmith’s Attack),这两个 SSL/TLS 漏洞在过去 5 年里已经广为人知。
例如,一个跟踪为 CVE-2022-26320 的错误,这是一个影响多个 Canon 和 Fujifilm 打印机系列的加密相关问题,它们生成带有易受攻击的 RSA 密钥的自签名 TLS 证书。该问题与 Rambus 使用 Safezone 库的基本加密模块有关。
Google 已经使用 Paranoid 从 Certificate Transparency 中检查了包含超过 70 亿个已发布网站证书的加密产品,并发现了数千个受到严重和高严重性 RSA 公钥漏洞影响的条目。这些证书中的大多数已经过期或被吊销,其余的被报告为吊销。
Paranoid 项目包含对 ECDSA 签名以及 RSA 和 EC 公钥的检查,并由 Google 安全团队积极维护。这个开源库可以被其他人使用,也可以增加透明度,并以对现有资源进行新检查和改进的形式接收来自外部资源的贡献。
2、看到快递单全朝上,老板果断报警:两名快递员窃取近万条买家个人信息
短短9天,8614条个人信息被窃!
万万没想到,“小偷”竟是快递员
......
老李(化名)是一个仓库老板,从事第三方仓储业务,为网络电商提供货物仓储、打包服务。
近来,有客户向老李反映,有多名网店买家投诉称接到诈骗电话,怀疑个人信息被泄露。
老李通过电商管理系统和视频监控对内部员工进行排查,没有发现异常情况。随后又对员工的工作电脑进行检查,也没有发现被黑客入侵的情况。
到底是谁泄露了买家的个人信息?
仓库一区域快递单全都一面朝上
老板起疑去查看发现2个人蹲在角落
为了找出“黑手”,老李仔细分析了买家下单后的每一个环节:仓库员工打包好货物,由贴票员贴好面单,然后等快递员来取货。老李注意到,这次泄露事件中,买家投诉的频率不是很高,不像是通过电子系统操作的,更像是人为通过偷偷拍照等“土办法”泄露的。
自己的员工没发现问题,会不会是在快递收件环节遭泄露?带着这个怀疑,老李开始留意揽收快递的快递员。
这一天,老李没有正常下班,而是在仓库里悄悄走动检查。在大货量区,老李看到有一个区域里,所有的快递都是贴着快递单的一面朝上,这不合常理!
老李说,贴票员为了提高工作效率,给快递贴好面单后,会随意扔在地上,不可能全部朝上。
老李继续往里走,发现在一个没有监控的角落里,竟然有两个人蹲在那里,其中一个对着快递在拍照!
“你在干嘛?”见此场景,老李大声喊道。对方察觉到被发现了,举起手机就想删除照片。老李眼疾手快,冲上去抢过手机。经查看,手机相册里居然有几百张快递面单照片。老李选择了报警。
两快递员偷拍快递面单,窃取买家信息出售
仅9天窃取买家个人信息8614条
被抓的是某快递公司的快递员刘某和朱某。
据刘某交代,他这次并非“初犯”,早在2018年就通过手机聊天软件认识了上家“老蔡”,向他贩卖快递面单上的买家个人信息。在老李的仓库内,刘某利用揽收快递的工作便利,用自己的手机偷拍快递面单,窃取网店买家的收件信息,并出售给“老蔡”。
仅在2021年8月23日至31日9天时间里,刘某与朱某就用这种方式窃取买家个人信息8614条。
近日,杭州市余杭区人民检察院以侵犯公民个人信息罪对刘某提起公诉。目前案件正在法院审理中。
检察官提醒:不法分子非法获取快递面单上的公民个人信息后,可能会冒充客服实施精准诈骗——以“购买商品出现质量问题”或“快递丢件”可申请退款或赔付为由,指导被害人在手机或电脑上操作,填写相应银行卡信息和验证码,从而盗刷银行卡。因此,接到此类电话,谨记切勿转账!切勿提供银行信息!
记者 王艳颖 通讯员 余检
编辑 杜海锋
3、因涉嫌未经同意收集人脸信息,Snap以2.4亿元达成和解
近日,据科技媒体TechCrunch报道,知名通讯软件Snapchat的母公司Snap与美国伊利诺伊州居民就一起隐私相关集体诉讼达成和解,和解金额总计为3500万美元(约合人民币2.4亿元)。
伊利诺伊州居民认为,Snapchat的滤镜(filters )和镜片( lenses)功能收集用户面部数据,违反了伊利诺伊州的《生物信息隐私法》(Biometry Information Privacy Act,BIPA)。
据悉,伊利诺伊州曾于2008年通过《生物信息隐私法》。此部法律严格限制公司收集、使用和共享生物信息,禁止公司在未经用户同意的情况下收集生物信息。同时,公司需要以书面形式告知用户为什么想要收集他们的生物信息、以及存储时间。
对于和解,Snap新闻发言人Pete Boogaard表示,Snapchat镜头功能不会收集可用于识别特定人或进行面部识别的生物信息。镜头功能获得的数据存储在用户的移动设备中,不会被传送到Snap的服务器。
“虽然我们相信镜头功能没有违反BIPA,但出于谨慎的考虑并以此证明我们对用户隐私的承诺,前段时间我们为伊利诺伊州的用户推出了应用内的告知-同意通知。”Boogaard说道。
2015年11月17日至今使用过滤镜和镜片功能的伊利诺伊州居民或有获得赔偿的资格,每名居民可能得到的赔偿在58美元至116美元之间。赔偿仍需最终批准,用户需要在网站上提交索赔申请。
这并非伊利诺伊州居民第一次因生物信息问题而起诉平台。
两个月前,谷歌同意向伊利诺伊州居民支付1亿美元,以了结针对谷歌相册面部识别功能的集体诉讼。原告方认为,谷歌在未获得用户同意的情况下,通过面孔分组功能收集并分析相关的人脸信息。
去年2月,Tik Tok同意支付9200万美元就一项集体诉讼达成和解,该诉讼称Tik Tok非法收集一些青少年用户的数据。Tik Tok否认了此种说法并表示,此举是为结束冗长的诉讼。
2020年末,在一项隐私相关集体诉讼中,Facebook与伊利诺伊州用户达成和解,Facebook同意支付6.5亿美元的赔偿。Facebook曾推出一项功能:利用人脸识别技术标注用户照片里出现的人。三名伊利诺伊州用户以未经同意存储生物信息为由,将Facebook告上法庭,其后此诉讼被合并为集体诉讼。
文|孙朝
2022年8月29日 星期一
今日资讯速览:
1、O.MG Elite破解工具演示:外观似Lightning线 但可入侵iPhone和Mac设备
2、集中整治!清理违法和不良信息200多亿条!
3、印度阿卡萨航空公司承认存在安全漏洞 导致34533条用户信息暴露
1、O.MG Elite破解工具演示:外观似Lightning线 但可入侵iPhone和Mac设备
在拉斯维加斯召开的 DEFCON 大会上,MG 展示了全新的 O.MG Elite 工具。MG 推出的最新破解工具在外观上看起来就像是一根 Lightning 充电线缆,但它可以破解各种设备,注入命令、记录键盘敲击等等。
该工具由 MG 制作,他表示:“这款工具在外观上和你目前使用的线缆并没有什么区别。但是在线缆内部,我植入了一个网页服务器、USB 通信装置和 Wi-Fi 访问”。虽然在外观上看起来并不起眼,但是它能窃取设备上的数据、记录电脑上的键盘敲击,以及实施其他攻击。
与之前版本的 O.MG 电缆相比,新的 O.MG elite 包含扩展的网络功能,可实现双向通信。换句话说,它可以侦听来自攻击者的传入命令,并将数据从它所连接的设备发送回控制服务器。
与渗透测试工具公司 Hak5 销售的其他产品一样,OM.G Elite 具有一系列功能。它可以注入击键或键盘命令,使其能够启动应用程序、下载恶意软件或窃取保存在 Chrome 中的密码。
由于其新的网络功能,它可以将窃取的任何数据发送回攻击者。此外,电缆还可以用作键盘记录器,可以捕获用户在机器上键入的单词、数字和字符。电缆可以执行的攻击类型取决于插入机器。但是,这种物理访问可能允许攻击者破坏从 Mac 到 iPhone 的一系列设备。
与大多数复杂的渗透测试或黑客工具一样,普通 iPhone 或 Mac 用户无需担心。除非您是高价值目标,否则 O.MG 电缆不太可能影响您。O.MG Elite 的售价也为 179.99 美元,这可能使其超出了低级诈骗者的价格范围。换句话说,它是专业人士的工具。
2、集中整治!清理违法和不良信息200多亿条!
“清朗”系列专项行动重点打击网络暴力等突出问题取得显著成效
“从2019年以来,我们累计清理违法和不良信息200多亿条、账号近14亿个,赢得了广大网民的支持肯定。”中央网信办副主任、国家网信办副主任盛荣华23日在国新办举行的新闻发布会上介绍,“清朗”系列专项行动围绕群众关注度高、反映强烈的突出问题,持续深入开展专项治理,网络生态环境更加清朗。
据介绍,针对网络暴力、网络水军、网络黑公关等较为突出、治理难度较大的问题,中央网信办结合“清朗”系列专项行动集中力量进行整治。
“我们将那些网络群组、网站论坛、电商、小程序等平台作为治理网络暴力、网络水军乱象的一个重点,将评论、弹幕、私信等环节作为治理网络暴力问题的重点,将青少年常用的应用程序、智能设备等环节作为治理涉未成年人网络乱象的重点,在实践当中取得了良好效果。”盛荣华说,通过强化信息公示、强化用户保护、强化推荐管理等方式遏制网络水军恶意营销,纠正不良倾向。同时,始终把影响面广、危害性大的网络问题作为整治重点,保持高压严打态势,形成有力震慑。
盛荣华表示,下一步,将在梳理总结前期工作成效的基础上,进一步强化工作统筹,深化标本兼治,不断巩固拓展“清朗”系列专项行动的成果,为营造良好的网络生态提供有力保障。
3、印度阿卡萨航空公司承认存在安全漏洞 导致34533条用户信息暴露
本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障,导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特(Ashutosh Barot)发现的,其中包括客户全名、性别、电子邮件地址、手机号码等等。
在阿卡萨航空公司网站于 8 月 7 日成立上线之后,巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通,但没有找到直接联系人。
这位研究专家表示:“我通过他们的官方Twitter账户联系了航空公司,要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID,我没有向其分享漏洞详细信息,因为它可能由支持人员或第三方供应商处理。所以,我再次给他们发了电子邮件,并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。
在没有得到航空公司关于他如何与安全团队联系的回应后,研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后,该航空公司承认确实存在该问题,导致 34,533 条客户记录面临风险。该航空公司还表示,暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch,它进行了额外的审查,以确保其所有系统的安全性。
2022年8月26日 星期五
今日资讯速览:
1、微软:80%勒索软件攻击都是由于服务器错误配置导致
2、VMware 修复了 VMware Tools 中的权限升级问题
3、科学家发现新漏洞:利用手机陀螺仪窃取气隙系统的数据
1、微软:80%勒索软件攻击都是由于服务器错误配置导致
Microsoft Security 博客官方发布的最新《Cyber Signals》报告指出,勒索软件即服务 (RaaS)日益猖獗,但是常规的软件设置就能应对,可以阻止大部分勒索软件攻击。此外,报告中还发现客户错误配置云服务、依赖不可靠的安全软件、通过默认宏设置流量勒索软件,这导致微软制造了某种勒索软件攻击,即人为操作的勒索软件。
在报告中指出:“你可能会使用某个热门应用来实现某种目的,但是这并不意味着攻击者将其武器化以实现另一个目标。其中最为常见的是,应用的‘经典’配置意味着它的默认状态,允许该组织内的任意用户进行广泛访问。不要忽视这种风险,也不要担心中断而更改应用设置”。
那么解决方案是什么呢?
微软威胁情报分析师 Emily Hacker 建议删除重复或未使用的应用程序,这有助于防止有风险的程序成为勒索软件攻击的门户。其次,注意授予 TeamViewer 等应用程序的权限,
Hacker 发现的其他一些勒索软件端点包括密码被盗、身份不受保护、安全产品丢失或禁用以及修补速度缓慢,她为此提供了身份验证、解决安全盲点以及保持系统最新等解决方案。Hacker 分析认为,与实施增强的安全协议相比,早期和常规的预防措施成本更低。
2、VMware 修复了 VMware Tools 中的权限升级问题
Hackernews 编译,转载请注明出处:
VMware本周发布了补丁,以解决VMware Tools实用工具套件中的一个严重漏洞,该漏洞被跟踪为CVE-2022-31676。
VMware Tools是一组服务和模块,支持公司产品中的多项功能,以便更好地管理客户机操作系统,并与客户机操作系统进行无缝用户交互。
对客户机操作系统具有本地非管理访问权限的攻击者可以触发CVE-2022-31676漏洞,从而提升受损系统上的权限。
通报中写道:“VMware Tools受到本地权限提升漏洞的影响,对客户机操作系统具有本地非管理访问权限的黑客可以作为虚拟机中的root用户提升权限。”
该漏洞影响了Windows和Linux平台上的工具,该公司发布的固定版本是12.1.0和10.3.25。
3、科学家发现新漏洞:利用手机陀螺仪窃取气隙系统的数据
一位擅长以各种创新方式从断网设备中提取数据的安全研究专家近日发现了一个新漏洞,可以使用手机窃取气隙系统的数据。气隙系统(air gapped)指的是,将电脑与互联网以及任何连接到互联网上的电脑进行隔离。该系统在物理上是隔离的,无法与其他计算机或网络设备进行无线或物理连接。
气隙系统主要用于关键基础设施以及其他对网络安全有极高要求的场所。虽然气隙系统在日常环境中并不常见,但是近年来也出现了针对这种系统的攻击方式,例如使用附近智能手机的麦克风接收数据的 Mosquito 攻击。
因此,Apple 和 Google 在 iOS 和 Android 中引入了权限设置,阻止应用程序访问设备的麦克风,并且当麦克风处于活动状态时,这两种操作系统都会使用视觉指示器。
和麦克风不同,在大部分现代化智能手机中陀螺仪已经是标准配置。陀螺仪用于检测智能手机的旋转速度,并被广泛认为是一种更安全的传感器,因为 iOS 或 Android 都没有指示它们何时被使用,也没有提供完全阻止访问的选项。
现在,Mosquito 攻击的创造者有了一项新技术,它使用智能手机的陀螺仪来接收附近听不见的声波,整个过程不依赖于麦克风。
本古里安大学网络安全研究中心的研发负责人 Mordechai Guri 在他最新的研究论文中表示,这种被他称为“Gairoscope”的新攻击可以在“几米远”的范围内从气隙计算机中窃取敏感信息。
与针对气隙系统的其他攻击一样,Guri 的“Gairoscope”概念验证需要非常接近气隙系统。但是从那里,攻击者可以通过侦听从气隙系统的扬声器产生的声波并从附近智能手机的陀螺仪中拾取来收集密码或登录凭据。
Guri 说,这些听不见的频率会产生“智能手机陀螺仪内的微小机械振荡”,可以将其转换为可读数据。他补充说,攻击者可以使用移动浏览器执行漏洞利用,因为可以使用 JavaScript 访问手机陀螺仪。
虽然该方法仍处于试验阶段,但 Guri 和他的团队建议了一些旨在限制新恶意软件影响的对策,例如消除扬声器以创建无音频网络环境,并使用音频硬件过滤掉音频硬件产生的共振频率。
2022年8月25日 星期四
今日资讯速览:
1、微软公开披露关键 ChromeOS 漏洞的细节
2、希腊最大天然气运营商遭勒索软件攻击,多项在线服务被迫中断
3、报告:美科技巨头收集了大量用户数据 其中Google追踪39种私人数据
1、微软公开披露关键 ChromeOS 漏洞的细节
Hackernews 编译,转载请注明出处:
微软公开披露一个关键ChromeOS漏洞的详细信息,该漏洞被追踪为CVE-2022-2587(CVSS评分:9.8)。该漏洞是OS Audio Server中的越界写入问题,可利用该漏洞触发DoS条件,或在特定情况下实现远程代码执行。
“微软在ChromeOS组件中发现了一个可远程触发的内存损坏漏洞,允许攻击者执行拒绝服务(DoS),或在极端情况下执行远程代码执行(RCE)。”微软发布的公告中写道。
作为Chromium bug跟踪系统的一部分,微软于2022年4月向谷歌报告了该问题。
谷歌在6月份解决了该漏洞,攻击者可以使用与歌曲相关的格式错误的元数据触发该漏洞。
Microsoft在服务器中发现一个函数未检查用户提供的“identity”参数,导致基于堆的缓冲区溢出。
OS音频服务器包含一种从代表歌曲标题的元数据中提取“身份”的方法。当播放新歌时,攻击者可以通过浏览器或蓝牙修改音频元数据来触发该漏洞。
我们发现,该漏洞可以通过操纵音频元数据远程触发。攻击者可能诱使用户满足这些条件,例如只需在浏览器或配对的蓝牙设备上播放新歌,或者利用中间对手(AiTM)功能远程使用该漏洞。基于堆的缓冲区溢出的影响范围从简单的DoS到成熟的RCE。虽然可以通过媒体元数据操作来分配和释放块,但在这种情况下,执行精确的堆清理并不简单,攻击者需要将该漏洞与其他漏洞链接起来,才能成功执行任意代码。
2、希腊最大天然气运营商遭勒索软件攻击,多项在线服务被迫中断
安全内参8月23日消息,欧洲国家希腊最大的天然气分销商DESFA在上周六(8月20日)证实,由于遭受网络攻击,该公司出现了一定程度的数据泄露与IT系统中断。
在向当地新闻媒体发布的公开声明中,DESFA称有黑客试图渗透其网络,但因为IT团队快速反应而被阻断。然而,对方仍在有限范围内实施了入侵,导致部分文件和数据被访问并可能“外泄”,
DESFA为此停用了多项在线服务,希望保护客户数据。而且随着专家们努力进行恢复,各项服务已经逐渐恢复运行。
DESFA向消费者保证称,此次事件不会影响到天然气供应,所有天然气输入/输出点均保持正常容量运行。
该公司也已通知警方的网络犯罪部门、国家数据保护办公室、国防部以及能源与环境部,希望在最短时间内以最低影响解决问题。
最后,DESFA宣布绝不会与网络犯罪分子对话,也就不存在进行赎金谈判。
Ragnar Locker宣布对事件负责
上周五(8月19日),Ragnar Locker勒索软件团伙在窃取数据后确认了此次攻击。这批恶意黑客亮相于两年多之前,并在2021年发起过多起大型网络攻击活动。
Ragnar Locker在今年活跃度仍然不低,但攻击数量上较去年有所下降。FBI最近一份报告提到,Ragnar Locker与截至2022年1月美国各关键基础设施实体遭受的共52起网络入侵有关。
该恶意黑客团伙还在其数据泄露与勒索门户上发布了所谓被盗数据清单,展示了一小部分似乎不涉及机密信息的被盗文件。
此外,Ragnar Locker提到他们在DESFA系统上发现了多个安全漏洞,并向对方告知了这一情况。这可能是该团伙勒索行动的一部分,但据称受害者并未做出回应。
如果受害组织不满足赎金要求,该恶意黑客团伙威胁将发布整个文件树内对应的所有文件。
图:DESFA公司名字已被挂上Ragnar Locker勒索页面
此次攻击恰逢欧洲各天然气供应商的艰难时期。当前欧洲大陆主要国家已决定快速削减对俄罗斯天然气的依赖,因此不可避免要产生问题。
预计在即将到来的冬季,供应短缺、停气、配给中断和能源价格飙升等因素可能轮番上演,届时消费者恐怕又将迎来一波针对天然气供应商的勒索攻击大爆发。
3、报告:美科技巨头收集了大量用户数据 其中Google追踪39种私人数据
据91Mobiles报道,数据隐私是当今数字世界中最令人担忧的问题。有多项关于这个话题的研究显示,科技公司收集了用户的大量敏感数据,似乎这些天在网络上没有什么是安全的。虽然人们无法控制科技巨头收集数据的行为,但可以了解这些公司从用户身上收集了什么以及有多少种数据。而这正是StockApps的一份新报告所揭示的内容。
在寻找哪家科技巨头从其用户那里收集最多的数据时,StockApps发现,这些公司从用户那里收集了多达39种数据,并在需要时使用这些数据,而不需要你担心。这包括Google、苹果、Facebook、亚马逊和Twitter:许多人每天都会频繁使用的网站/应用程序。
根据该报告,Google从用户那里收集的数据最多,有39种。接下来是Twitter,它搜集了24种数据。紧随其后的是亚马逊,它从用户那里累计了23类数据。当用户使用他们的平台时,Meta拥有的 Facebook会获取14种数据。排名最后的是苹果,它在12个不同类别中保存的数据量最少。
来自StockApps.com的Edith Reads对此评论说:“大多数人没有时间或耐心阅读他们访问的每个网站可能长达数页的隐私政策。而且,不是所有用户都有法律背景,这很可能无法正确掌握隐私政策。”
“除了用户不能够找到耐心、时间或精力来发现网站存储了哪些信息,以及如何利用这些信息来获取利益。这意味着,用户通过接受隐私政策,能够让Google获取他们所需要的所有信息"。”
虽然报告没有强调这些公司到底绞尽脑汁地收集了哪些数据,但它确实表明,收集的数据被用于他们的利益,这很可能是根据用户的搜索历史或在社交平台上的互动来投放广告。
2022年8月23日 星期二
今日资讯速览:
1、以色列间谍软件公司NSO正在重组,CEO即将卸任
2、谷歌曝光有史以来最大 DDoS 攻击,数据比之前的记录高出 76%
3、周鸿祎谈企业遭遇勒索攻击:基本无解 只能交赎金
1、以色列间谍软件公司NSO正在重组,CEO即将卸任
以色列间谍软件公司NSO集团在一份声明中称,随着公司重组以专注于北约成员国,该公司的CEO即将卸任。即将离任的CEO兼联合创始人Shalev Hulio在一份新闻稿中表示,该公司正在为其下一阶段的增长做准备。
据该公司的一名官员称,该公司还将从其750人的员工队伍中削减掉100个职位,由于这个问题的敏感性,他要求不透露姓名。
NSO的PegASUS软件主要出售给政府和执法机构,后者可以用它来入侵手机并秘密记录电子邮件、电话和短信。Amnesty International、Citizen Lab和Forensic Architecture去年记录了60多起使用间谍软件的案例,这些国家包括卢旺达、多哥、西班牙、阿拉伯联合酋长国、沙特阿拉伯、墨西哥、摩洛哥和印度的持不同政见者和政府批评者。
“NSO将确保公司的突破性技术被用于正当和有价值的目的,”将领导重组的COO Yaron Shohat在一份声明中说道。
去年,美国将NSO列入禁止接受美国公司出口的实体名单,理由是它在开发和提供间谍软件和黑客工具方面的作用。
这家公司曾于去年表示,它拒绝向55个国家出售其间谍软件,而在上一年,由于人权问题,15%的潜在Pegasus销售被拒绝。
2、谷歌曝光有史以来最大 DDoS 攻击,数据比之前的记录高出 76%
IT之家 8 月 20 日消息,今年 6 月,Cloudflare 证实,出现了历史上最大的 HTTPS 分布式拒绝服务 (DDoS) 攻击,不过它在出现任何实际损失之前就成功阻止了这次破纪录的攻击。该公司透露,它记录了每秒 2600 万次请求的 DDoS 攻击。
谷歌刚刚报告说,他们发现了一次大规模的 DDOS 攻击,对方尝试关闭其 Cloud Armor 客户服务,峰值可达每秒 4600 万个请求,规模相当于此前记录的 176.92%。这使其成为有史以来报告的最大的一次七层分布式拒绝服务攻击。
谷歌解释说,在高峰期,这种攻击相当于在 10 秒内实现一整天的 Wikipedia 访问量,因此能够抵御如此强大的 DDoS 攻击是一项令人难以置信的壮举。
据介绍,Google Cloud Armor 通过使用负载平衡技术定期保护应用程序(第 7 层)和网站免受此类互联网攻击,即使在面临这些挑战时也能保持 Web 服务运行。
IT之家了解到,谷歌 Cloud Armor 声称每秒可支持超过 100 万次查询请求,但这次它们却成功处理了 4600 万次每秒的负担。
谷歌报告称,Cloud Armor 成功检测到了此次 DDoS 攻击,并向客户推荐了一条规则来阻止攻击,实际效果不错。几分钟后,攻击者意识到攻击失败后,数据请求出现下降。
不过,谷歌指出 DDoS 攻击的数量呈指数级增长,而且是由大量恶意机器人提供的,因此这一记录可能不会保持太久。
3、周鸿祎谈企业遭遇勒索攻击:基本无解 只能交赎金
8月23日消息,前不久,网络安全机构Resecurity发布报告预测,到2031年,全球勒索软件勒索活动将达到2650亿美元,对全球企业造成的潜在总损失或达到10.5万亿美元。日前,360集团创始人、董事长 周鸿祎发文称,最近多起知名企业遭遇勒索攻击,在业界引起了热议。勒索攻击俨然已经成为“全球公敌”,严重影响企业业务发展。
周鸿祎表示,与传统攻击不同,勒索攻击已变成一种新商业模式。它不撬你的保险柜,而是给你做一个更大的保险柜,把你的保险柜也锁起来,而且被勒索后基本无解,你就只能交赎金。
据统计,在最严重的勒索软件攻击中,组织支付的平均赎金2021年比2020年增加近五倍,达到812360美元,中国勒索攻击起价也已达500万元。
前不久,国际知名服务器厂商思科公司证实被勒索攻击,泄露数据2.8GB,思科被窃取的数据包括大约3100个文件,许多文件是保密协议、数据转储和工程图纸。
根据其团队博文披露的细节,黑客是通过思科员工的个人谷歌浏览器个人帐户密码同步功能作为初始向量,从而获取了思科内部凭证。
2022年8月22日 星期一
今日资讯速览:
1、中国信通院牵头,2023 年发布《手机银行数字化服务能力要求》标准
2、黑客使用 Bumblebee 加载程序破坏 Active Directory 服务
3、微软近一年发放了1亿元漏洞赏金:平均每个漏洞8.5万元
1、中国信通院牵头,2023 年发布《手机银行数字化服务能力要求》标准
IT之家 8 月 22 日消息,据中国信通院发布,2022 年初,人民银行、银保监会相继发布《金融科技发展规划(2022-2025 年)》和《关于银行业保险业数字化转型指导意见》,提出“加快数字经济建设,全面推进银行业保险业数字化转型,推动金融高质量发展,更好服务实体经济和满足人民群众需要”。
随着互联网金融平台的普及以及商业银行业务线从传统零售向数字化转型,金融服务线上化发展已成趋势;特别是受到新冠肺炎疫情影响,越来越多的用户更倾向于通过零售电子银行渠道在线完成支付、转账、理财等业务,线上渠道的重要性日益增强。
银行等金融机构的手机银行已成为展示金融科技成果,实现数字化、智能化服务的落地平台,手机银行的数字化服务程度直接影响用户体验感受。在此背景下,《手机银行数字化服务能力要求》标准文稿由中国信息通信研究院牵头,中国农业银行、阿里云、中原银行、浦发银行等多家业内机构共同参与编制。
IT之家获悉,标准主要针对手机银行数字化服务能力进行了分类梳理和要求,包括用户体验层、开发框架层、平台服务层、后台连接层。手机银行数字化服务能力首轮评估马上开始,评估结果将于 2023 年数字化转型发展高峰论坛发布。
2、黑客使用 Bumblebee 加载程序破坏 Active Directory 服务
Hackernews 编译,转载请注明出处:
被称为Bumblebee的恶意软件加载程序越来越多地被与BazarLoader、TrickBot和IcedID相关的黑客利用,来破坏目标网络,进行开发后的活动。
Cybereason研究人员Meroujan Antonyan和Alon Laufer在一篇技术文章中说: “Bumblebee操作员进行密集的侦察活动,并将执行命令的输出重定向到文件中进行过滤。”
Bumblebee于2022年3月首次曝光,当时谷歌的威胁分析小组揭露了一个名为Exotic Lily的初始访问经纪人的活动,该经纪人与TrickBot和更大的Conti组织有联系。
通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付,此后,这种操作方式得到了调整,避开使用带有宏的文档,转而使用ISO和LNK文件,主要是为了响应微软默认阻止宏的决定。
研究人员说:“恶意软件的传播是通过钓鱼电子邮件来完成的,该邮件带有附件或指向包含Bumblebee的恶意档案的链接。初始执行依赖于最终用户的执行,最终用户必须提取存档,挂载ISO映像文件,并单击Windows快捷方式(LNK)文件。”
LNK文件就其本身而言,包含启动Bumblebee加载程序的命令,然后将其用作下一阶段操作(如持久性、权限升级、侦察和凭据盗窃)的管道。
攻击期间还使用了Cobalt Strike对手模拟框架,该框架在受感染端点上提升权限后,使黑客能够在网络中横向移动。持久性是通过部署AnyDesk远程桌面软件实现的。
在Cybereason分析的事件中,一名高权限用户的被盗凭据随后被用来控制Active Directory,更不用说创建一个本地用户帐户来进行数据泄露。
3、微软近一年发放了1亿元漏洞赏金:平均每个漏洞8.5万元
安全内参8月18日消息,微软官方宣布,在过去12个月中(2021.7-2022.6),他们通过漏洞奖励计划支付了1370万美元(约9299万元)奖金。
作为全球知名科技巨头,微软公司目前拥有17个漏洞奖励计划,广泛涵盖服务、桌面应用程序与操作系统、机密级虚拟化解决方案等资产,甚至还专门为ElectionGuard开源软件开发工具包(SDK)设置了相应项目。
如果能发现Hyper-V中的远程代码执行、信息泄露或拒绝服务(DoS)之类的严重漏洞,参与微软漏洞奖励计划的安全研究人员最高可以拿到25万美元的高额奖金。
事实上,微软在2021年7月1日到2022年6月30日期间,发出的最大单笔奖金达到20万美元,奖励的是Hyper-V虚拟机管理程序中的一个严重漏洞。
在这12个月中,共有超过330名安全研究人员通过微软漏洞奖励计划拿到了奖金,平均每个漏洞的奖金超过12000美元(约8.5万元)。
图:参与微软漏洞奖励计划的研究人员地理分布
微软公司表示,他们正根据研究人员的反馈改进现有漏洞奖励计划。今年,该公司还打算进一步引入新的研究挑战和高影响攻击场景。
新增及更新内容将包括Azure SSRF挑战赛,Edge奖励计划纳入Android与iOS平台版本,将本地Exchange、SharePoint及Skpye for Business纳入多个漏洞奖励计划,并为Azure、M365、Dynamics 365以及Power Platform等奖励计划添加高影响攻击场景。
微软公司总结道,“将这些攻击场景引入Azure、Dynamics 365、Power Platform以及M365奖励计划,将帮助我们把研究重点集中在影响最大的云漏洞上,具体涵盖Azure Synapse Analytics、Key Vault及Azure Kubernetes服务等领域。”
参考资料:https://www.securityweek.com/microsoft-paid-137-million-bug-bounty-programs-over-past-year
2022年8月22日 星期一
今日资讯速览:
1、新谷歌 Chrome 零日漏洞已遭在野利用
2、技术支持骗子正在利用带有微软logo的USB驱动器来骗取用户
3、微软提醒客户注意俄罗斯黑客组织SEABORGIUM的网络钓鱼攻击
1、新谷歌 Chrome 零日漏洞已遭在野利用
Hackernews 编译,转载请注明出处:
谷歌周二推出了适用于桌面的Chrome浏览器补丁,来解决在野外积极利用的高严重性零日漏洞。
跟踪为CVE-2022-2856,该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和谷歌威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞。
与通常的情况一样,在更新大多数用户之前,这家科技巨头都没有透露关于该漏洞的更多细节。“谷歌意识到CVE-2022-2856漏洞存在于野外。”它在一份简短的声明中承认。
最新更新进一步解决了其他10个安全漏洞,其中大部分与FedCM、SwiftShader、ANGLE和Blink等各种组件中的use-after-free漏洞有关,同时还修复了下载中的堆缓冲区溢出漏洞。
这是谷歌自年初以来修复的第五个Chrome零日漏洞:
- CVE-2022-0609 – 动画中的Use-after-free
- CVE-2022-1096 – V8中的类型混淆
- CVE-2022-1364 – V8中的类型混淆
- CVE-2022-2294 – WebRTC中的堆缓冲区溢出
建议用户更新到适用于macOS和Linux的104.0.5112.101版本,以及适用于Windows的104.O.5112.102/101版本,以缓解潜在威胁。基于Chromium浏览器(如Microsoft Edge、Brave、Opera和Vivaldi)的用户也建议应用修复程序。
2、技术支持骗子正在利用带有微软logo的USB驱动器来骗取用户
通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出,这些骗局仍相当活跃,即使在今天也是如此。在日前的一篇报道中,Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。
据悉,该驱动器被包装在一个Office 2021 Professional Plus的盒子内,这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。
假Office 2021照片
当目标将U盘插入他们的电脑之后,一条假的警告信息就会弹出,告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话,这显然是骗子使用的号码。然后,骗子要求受害者安装一个远程访问程序来接管系统。
微软发言人就这一案件向Sky News发表了以下声明:“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。”
这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。
3、微软提醒客户注意俄罗斯黑客组织SEABORGIUM的网络钓鱼攻击
微软最近透露,他们已经发现了一种恶意攻击与俄罗斯的黑客密切相关,因为其背后的目标似乎有利于他们。据说SEABORGIUM黑客组织是这次攻击的幕后黑手,微软进一步表示,他们目前正在调查此事,同时试图追踪他们在服务器中的数字足迹,以确定任何可能进一步使他们受到影响的漏洞。
微软威胁情报中心一直在密切关注该黑客组织自2017年以来的举动,并建立了一个跟踪模式,通过不断的冒充和与目标方建立关系,他们能够入侵并获取凭证信息。
在持续努力之下,微软现在能够识别SEABORGIUM的渗透所带来的挑战,特别是在OneDrive中,从而使(微软威胁情报中心)MSTIC获得所有必要的信息,因为他们已经确定了受影响的客户。
MSTIC与微软的反滥用团队合作,禁用了该行为人用于侦察、网络钓鱼和收集电子邮件的账户。微软防御系统SmartScreen也对SEABORGIUM活动中的钓鱼域名实施了检测。
微软列举了一个例子说明该黑客组织如何冒充某个组织的领导向毫无戒心的成员发送电子邮件,目的是渗透到他们的系统中。
微软进一步发现了黑客组织使用的几个途径,其中包括直接在其钓鱼邮件的正文中加入一个URL,一个包含URL的PDF文件附件,以及一个包含URL的PDF文件的OneDrive链接。
一旦用户点击该URL,他们就会被自动重定向到一个由攻击者扮演的"演员"控制的服务器,该服务器托管着一个钓鱼框架,在最后一页,用户被提示输入他们的凭证,因为该平台反映了组织的登录页面。完成后,攻击者获得了对账户的访问权。
微软在安全博客继续提供详细信息,强调他们的客户如何避免成为这些恶意攻击的受害者:
https://www.microsoft.com/security/blog/2022/08/15/disrupting-seaborgiums-ongoing-phishing-operations/
微软昨天举行的关于微软安全和勒索软件的数字活动涉及到用户应对这些恶意攻击的许多方法。
2022年8月18日 星期四
今日资讯速览:
1、卡巴斯基实验室:正开发防黑客自主品牌手机,不支持安装应用商城
2、研究人员演示基于远程电磁精确定位的触屏设备“隐形手指”攻击方法
3、德国政府强制实施安全浏览器
1、卡巴斯基实验室:正开发防黑客自主品牌手机,不支持安装应用商城
IT之家 8 月 17 日消息,据俄罗斯卫星社报道,近期卡巴斯基实验室总裁叶夫根尼・卡巴斯基表示,该实验室正在开发自主品牌手机的防黑客入侵功能。
2020 年 12 月卡巴斯基首次表示,正在研制防黑客入侵自主品牌手机,当时预计这款手机将在 2021 年问世。
卡巴斯基说:“这一功能还未准备完毕。摄像头不好用。我们正在解决,但需要时间。存在大量各种各样的技术问题,我们逐步突破这些问题。我们什么时候能展示成品并宣布准备就绪,还不知道。”
卡巴斯基表示,这款设备将介于普通智能手机和按键式手机之间。
卡巴斯基进一步表示:“但是我们不认为它将替代普通智能手机。它还是更适用于关键基础设施工作。当代社会需要远程控制基础设施。所以需要能够保证不被黑客入侵的设备。因此我们开发这款功能非常有限的设备。不支持安装应用商城,也不会有智能手机上大家都爱用的软件,但它会是一个可以用某种设备安全操控的手机。”
2、研究人员演示基于远程电磁精确定位的触屏设备“隐形手指”攻击方法
在上周于拉斯维加斯举办的 Black Hat USA 2022 大会上,来自佛罗里达与新罕布什尔大学的研究人员,演示了如何通过“隐形手指”来远程操控目标设备的触控屏。尽管人们早就知晓电磁场(EMF)可对电子设备产生一些奇怪的影响,但最新实验还揭示了一套更加复杂的技术 —— 通过机械臂和多个天线阵列,远程模拟手指对多个电容式触控屏设备的操作。
该方法涉及使用一副隐藏的天线阵列来精确定位目标设备的位置,并使用另一个来生成具有精确频率的电磁场。以将电压信号馈送至触屏传感器。后者可处理这些信号,并解释为特定类型的触摸操作。
在实验室环境中,研究团队已在包括 iPad、OnePlus、Google Pixel、Nexus 和 Surface 等品牌在内的多种设备上,成功模拟了任意方向的点击、长按和滑动操作。
理论上,黑客也可利用这项‘隐形手指’技术技术,来远程执行任何预期的触屏操作。佛罗里达大学博士生兼会议首席演讲人 Haoqi Shan 表示:
它能够像你的手指一样工作,我们甚至可在 iPad 和 Surface 上模拟全方位的滑动操作,并且完全可用它来触发基于手势的解锁动作。
测试期间,他们使用该技术在 Android 手机上安装了恶意软件、以及往指定 PayPal 账户汇款。
但是这项方案也并非万能,比如任何需要响应 Android“是 / 否”对话框的操作,就因按钮靠得太近而难以精确模拟。
最后,在这项技术的成本变得足够低廉之前,大家还是无需担心遇到类似的攻击。毕竟光是用于精确定位的电磁天线 + 机械臂,动辄就要耗费数千美元的资金。
此外攻击者必须深入了解触摸屏的工作原理,以及摸清触发相关手势所需的精确电压。
3、德国政府强制实施安全浏览器
近日,德国计划强制要求在政府网络中使用安全、现代的网络浏览器,并公布了最低标准提案的意见征求稿。
德国联邦信息安全办公室(BSI)曾在7月发布了一个最低标准草案,希望这些标准能够增强政府的网络弹性并更好地保护敏感数据。先进的浏览器包含多种功能,可阻止或减轻各种常见的基于Web的攻击。
提议的标准涵盖桌面和移动浏览器,而之前的安全指南仅适用于政府PC和工作站上的桌面浏览器。
意见征询后,BSI预计将在政府系统中强制执行最低标准。此举将禁止联邦雇员在政府业务中使用不合规的浏览器,例如现已弃用的Internet Explorer。
BSI规定的大多数安全和隐私技术目前大多数现代浏览器都能提供。其中包括支持X.509标准的证书、加密与服务器的连接以及支持HSTS(HTTP严格传输安全)。
浏览器还需要支持自动更新机制,只有在完整性检查成功时才会执行更新。此外还必须实施同源策略(SOP),以便文档和脚本无法访问其他网站的资源,例如文本和图形。
事实上,所有现代浏览器都已经非常安全(忽略隐私),它们中的大多数共享完全相同的引擎(编者:例如开源的Chromium),因此共享相同的安全功能和加密功能。浏览器公司Vivaldi的开发人员和安全专家Tarquin Wilton Jones指出:“总的来说,浏览器一直处于建立安全连接和实施沙盒等安全功能的最前沿。”
他补充说,此举的目的更多是为了提高政府IT的安全性,而不是改变浏览器的设计方式。但是,他警告说,某些浏览器不允许用户关闭遥测或供应商跟踪数据的方式可能会导致合规问题。
参考链接:
https://www.dataguidance.com/news/germany-bsi-requests-comments-revised-minimum-standard
2022年8月17日 星期三
今日资讯速览:
1、美国网络司令部举行年度大型演习“网络旗帜22”
2、微软提醒客户注意俄罗斯黑客组织SEABORGIUM的网络钓鱼攻击
3、AI预测30秒内火灾轰燃 中国石油大学参与研究
1、美国网络司令部举行年度大型演习“网络旗帜22”
美国网络司令部近日举行年度大型演习“网络旗帜22”,旨在增强多国参与团队的战备状态和互操作性。
该演习为防御性演习,防御方由来自美国国防部、美国联邦机构和盟国的超过275名网络专业人员组成,攻击方由来自英国和美国的60多名“红队”操作人员组成。“五眼”联盟国家的网络保护团队(CPT)均参与了此次演习,各团队在虚构设施中处理遭入侵网络,目标是检测、识别、隔离和对抗其网络上的敌对存在。在保护网络时,各团队被鼓励使用其所在机构在实际任务中使用的所有工具。为了增加演习场景的复杂性,在场景允许交叉通信前,各团队被禁止直接相互协作。除战术演习外,美国网络司令部还单独举行了一场多国研讨会和桌面演习,召集伙伴国代表参加研讨会、圆桌讨论和工作组,并围绕培训和演习中的互操作性概念提供观点和想法。
“网络旗帜22”演习继续使用美军正在构建的“持续网络训练环境”(PCTE),演习的虚拟训练环境几乎是先前演习的五倍。该演习在美国网络司令部位于马里兰州的“梦想港”中开展,同时跨9个时区和5个国家远程开展。2022年度“网络旗帜”演习将分两次迭代,包括7月的“网络旗帜22”和10月的“网络旗帜23”,后者仍在规划中。
奇安网情局编译有关情况,供读者参考。
在美国网络司令部的年度演习“网络旗帜22”中,来自美国国防部、美国联邦机构和盟国的超过275名网络专业人员正在与一支由来自英国和美国的60多名“红队”操作人员组成的强大而充满活力的敌对力量展开竞争。
该防御性网络演习提供了针对恶意网络行为者活动的现实“键盘动手训练”,旨在增强参与团队的战备状态和互操作性。
超过15个团队包括来自每个“五眼”联盟国家的网络保护团队(CPT)。此外,“网络旗帜22”演习包括一个由新西兰、英国和美国情报专业人员组成的“情报融合小组”,该小组在演习期间为CPT提供时间紧迫的信息和见解。
来自美国网络司令部的组成司令部(美国陆军、美国空军、美国海军陆战队和美国海岸警卫队)的CPT正在与来自联合部队总部-国防部信息网络的人员开展演习,后者在演习中充当敌对力量。
这些参与者是网络操作人员,他们在现实世界事件中被要求保护其所在机构的关键网络基础设施。
各团队在虚构设施中处理遭入侵网络,目标是检测、识别、隔离和对抗其网络上的敌对存在。随着演习的进行,他们的决策和活动相互依赖,或为团队带来更多挑战,或使团队能够采用更先进和更全面的防御措施。
在战术执行期间,与“网络旗帜22”相结合,还单独举行了一场多国研讨会和桌面演习。伙伴国代表参加了研讨会、圆桌讨论和工作组,并围绕培训和演习中的互操作性概念阐述想法。在出席的同时,他们还能够就像“网络旗帜”这样的演习对社区的协同效应发表评论。
某芬兰官员表示,“重要的是,多国参与并都承认信息共享和相互学习的原则和重要关键因素。问题和挑战是共同的,解决方案也可以是共同的,所以这是关键。
瑞典武装部队网络防御主管托马斯·尼尔森少将称,“美国网络司令部的设置、资源和重点工作以及演习给我留下了深刻的印象;并且我认为我们尝试以最好的方式进行锻炼,也就是说,对于我和我的团队来说,我找不到更好的锻炼和参与的地方了。”
为了增加演习场景的复杂性,在场景允许交叉通信前,各团队被禁止直接相互协作。但是,各团队被鼓励在保护网络时使用其所在机构在实际任务中使用的所有工具。
在先前演习成功使用“持续网络训练环境”(PCTE)的基础上,“网络旗帜22”的虚拟训练环境几乎是以前演习的五倍。
“网络旗帜22”演习当前在美国网络司令部位于马里兰州哥伦比亚的“梦想港”设施中开展,并于7月20日至8月12日期间跨9个时区和5个国家远程开展。
“网络旗帜”将分两次迭代,即7月的“网络旗帜22”和10月的“网络旗帜23”。10月演习的规划仍然在进行中。
2、微软提醒客户注意俄罗斯黑客组织SEABORGIUM的网络钓鱼攻击
3、AI预测30秒内火灾轰燃 中国石油大学参与研究
这段时间天气巨热,天干物燥,也是火灾高发的时候。最近就接连发生了一些火灾事件,还有消防员牺牲的消息,令人心痛。火灾中对消防员威胁很大的,其实是爆燃现象。短短两天,就有两起消防员因为爆燃现象而牺牲的事故。
这种爆燃的现象往往是由于在建筑物内部,当室内大火燃烧形成的充满室内各个房间的可燃气体和没充分燃烧的气体达到一定浓度时,形成的爆燃。
这时候,室内其他房间的没接触大火的可燃物也一起被点燃而燃烧,也就是“轰”的一声,室内所有可燃物都被点燃,所以整个过程也被称为“轰燃”。
正是因为“轰燃”的不可预测性,才如此危险。
本周,一项研究利用图神经网络(GNN)建立了一个系统,以学习模拟火灾中不同数据源(以节点和边表示)之间的关系,从而提前预测接下来的30秒内是否会发生“轰燃”现象。
这一研究有望帮助消防员判断室内建筑是否会发生“轰燃”,从而拯救生命。论文发表在《人工智能工程应用》上。
30秒内预测“轰燃”,准确率可达92.1%
一般来说,消防员得凭自己的经验来判断是否会发生这样的“轰燃”:
1.产生灼伤人皮肤的辐射热,几秒钟后辐射热强度可达10kw/m²。
2.室内的热气流使人无法坚持,室内的对流温度接近450℃。
3.门热的烫人,木质部分温度平均超过320℃。
4.由门上蹿出的火舌几乎达到顶棚,大量的辐射热由顶棚反射到室内的可燃物上。
5.烟气降至离地面1m左右,空气中的热层部分占据上部空气,驱使热分解产物下降。
为了更好的帮助消防员预测“轰燃”,研究人员据此收集了各种各样的数据,从建筑布局,表面材料,火灾条件,通风配置,烟雾探测器的位置,以及房间的温度分布,模拟了17种不同建筑类型的41000起虚拟火灾,共使用了25000个火灾案例来训练该模型,其余的16000个案例用于微调和测试。
在17种不同的房屋中,新模型的准确性取决于它需要处理的数据量以及它寻求提供给消防员的准备时间。
最终,该模型的准确率(在提前30秒的情况下,最好为92.1%)超过了其他五种基于机器学习的工具,包括项目组自己之前的模型,重要的是,该工具产生了最少的假阴性,即在危险的情况下,模型未能预测到“轰燃”。
这个模型被称为FlashNet,将 FlashNet 放入了一些场景中,在这些场景中,FlashNet 事先并不了解建筑物的具体情况以及建筑物内部的火灾情况,这与消防员经常遇到的情况类似。
“考虑到这些限制,该工具的性能是相当有希望的”,论文作者Tam表示。然而,作者在带领FlashNet跨越终点线之前还有很长的路要走。作为下一步,他们计划用真实世界的数据而不是模拟数据对模型进行实战测试。
从4到5个房间,到十几个房间,预测难度Max
轰燃一般倾向于在大约600摄氏度(1100华氏度)突然爆发,然后可以导致温度进一步上升。
此前那的预测工具要么依赖于来自燃烧建筑物的恒定温度数据流,要么利用机器学习来填补可能发生的热探测器受高温影响而丢失的数据。
到目前为止,大多数基于机器学习的预测工具,包括作者之前开发的一种工具,都经过了在单一、熟悉的环境中操作的训练。 但在现实中,消防队员面对的是极其复杂的环境,当他们冲进火灾区域时,他们可能对现场情况、火灾发生的位置或门是开着还是关着一无所知。
“我们以前的模型只需要在一个建筑布局中考虑四到五个房间,但是当建筑布局切换时,你有13到14个房间,这对模型来说可能是一个噩梦,”Tam说,“对于真实世界的应用,我们相信关键是建立一个适用于许多不同建筑的通用模型。”
GNN作为一种善于根据节点和线的图做出判断的机器学习算法,可以表示不同的数据点及其彼此之间的关系,非常适合这样的任务。
“GNN经常用于估计到达时间,或ETA,在交通中,你可以(用GNN)分析10到50条不同的道路。同时合理地利用这类信息是非常复杂的,所以我们才有了使用GNN的想法,”论文作者、香港理工大学研究助理教授Yujun Fu说。
除了美国国家标准与技术研究院(NIST)、Google以及香港理工大学,中国石油大学也参与了这项研究。
2022年8月16日 星期二
今日资讯速览:
1、硬件付费订阅引众怒 黑客向宝马宣战:将免费破解给车主使用
2、新 PyPI 包将无文件加密矿工应用于 Linux 系统
3、macOS端Zoom获更新 修复高危安全漏洞
1、硬件付费订阅引众怒 黑客向宝马宣战:将免费破解给车主使用
前段时间,宝马宣布将为今后的新车推出远程付费升级服务,包括座椅加热、自适应巡航等功能,客户可以在需要的时候,暂时或者永久付费开通某些功能。韩国和英国等市场,已经上线了部分服务,英国车主每月花15英镑(约合人民币120元)激活加热座椅等设备,或每月花35英镑(42美元)激活主动巡航控制设备。
而这也引起了不少消费者的不满,他们觉得自己花钱买的车,凭什么关闭功能而要额外支付费用才允许使用,有些功能我不想用的话,也就不想让它出现在自己车上。
据报道,近日,国外一些改装厂和黑客就向宝马订阅制提出宣战,黑客表示他们将攻克宝马的付费订阅系统,让用户免费使用该功能。
黑客表示:“我们一直在倾听客户的意见,并想方设法提供。只要有客户付费使用过,宝马激活该功能,我们就能攻破它;相反的,如果宝马没有激活该功能,我们可以用第三方应用或硬件来改造它,实现该功能。”
此外,在美国市场,宝马对于黑客或者改装厂破解的固件还必须保修,要不然会触犯FTC消费者保护法,因为这些功能都是已经存在了,用户只是启动它而已。
中国市场暂时只有模拟声浪和远程温控两个订阅,但这意味着宝马已经在中国市场尝试订阅制,未来,国内黑客是否会对宝马的订阅制“动手”,还需拭目以待。
2、新 PyPI 包将无文件加密矿工应用于 Linux 系统
3、macOS端Zoom获更新 修复高危安全漏洞
2022年8月15日 星期一
今日资讯速览:
1、因在收集个人位置数据方面误导用户,谷歌在澳大利亚被罚款约 4 亿元
2、Meta Instagram 被曝通过 App 内浏览器跟踪用户网络活动,已违反苹果 iOS 隐私政策
3、破解Starlink卫星终端需要多少成本?25美元
1、因在收集个人位置数据方面误导用户,谷歌在澳大利亚被罚款约 4 亿元
IT之家 8 月 12 日消息,据澳大利亚联合通讯社报道,在与澳大利亚竞争监督机构的法律斗争中,谷歌已经同意支付 6000 万美元(约 4.04 亿元人民币)的罚款,原因是该科技巨头在收集个人位置数据方面误导了用户。
去年 4 月,澳大利亚联邦法院发现谷歌违反了消费者法律,误导一些用户相信该公司没有通过安卓操作系统的移动设备收集有关他们位置的个人数据。当用户的位置记录被设置为“关闭”,但他们在网络和应用程序上的活动是“启用”的,并且正在使用其应用程序时,谷歌会继续收集和访问位置数据。
IT之家了解到,谷歌公司还被认定违反了其他两项消费者法律,涉及可能误导公众的行为和对服务性能特征的误导性声明。澳大利亚竞争和消费者委员会当时称这一判决向数字平台发出了明确的信息,要求他们向消费者坦诚其数据的使用情况。
在周五澳大利亚联邦法院举行的简短听证会上获悉,双方已就 6000 万美元的罚款达成了“公正合理”的共识。
2、Meta Instagram 被曝通过 App 内浏览器跟踪用户网络活动,已违反苹果 iOS 隐私政策
IT之家 8 月 14 日消息,对 Meta 旗下 Instagram 应用程序的一项新分析表明,每次用户点击应用程序内的链接时,Instagram 都能够监控他们的所有交互、文本选择,甚至是文本输入,例如内部网站内密码和私人信用卡详细信息应用程序。
Felix Krause 进行分析发现,iOS 版 Instagram 和 Facebook 都使用自己的应用内浏览器,而不是苹果为第三方应用提供的 Safari 浏览器。
使用他们定制的浏览器(仍然基于 WebKit),Instagram 和 Facebook 将跟踪 JavaScript 代码注入到所有显示链接和网站中。Krause 发现,使用该代码,Meta 可以完全自由地跟踪用户交互,而无需征得用户的明确同意。
这使得 Instagram 可以在未经用户或网站提供商同意的情况下监控外部网站上发生的一切。
Instagram 应用程序将跟踪代码注入到显示的每个网站中,包括在点击广告时,使他们能够监控所有用户交互,例如点击每个按钮和链接、文本选择、屏幕截图以及任何表单输入,例如密码、地址和信用卡号码。
正如 Krause 所指出的,像 Meta 这样的公司开发和维护自己的应用内浏览器而不使用苹果内置 Safari ,需要一定的开发付出。在其开发者门户上,Meta 声称此举旨在通过监控用户在其定制浏览器中所做的所有事件来“跟踪网站上的访问者活动”。
不过还没有证据表明拥有 Instagram 的 Meta 积极收集了哪些用户数据。正如 Krause 所写:
Facebook 不会真的窃取用户密码、地址和信用卡号码,我现在还没有证据,只是想展示他们在用户不知情情况下可以获得的数据类型。如过去所示,如果公司可以无需征求用户许可而免费访问数据,他们就会选择对其进行跟踪。
但是,这种做法违反了苹果 App Tracking Transparency (ATT) 政策。 ATT 要求所有应用程序在跨其他公司拥有的应用程序和网站跟踪它们之前征求用户同意。
Meta 一再反对苹果允许用户选择是否希望被跟踪的目标。2020 年 12 月,Meta 刊登了整版报纸广告,攻击苹果公司的变革。Krause 说他与 Meta 分享了相关发现,Meta 回应说他们已经确认该“问题”,但此后没有回应。Krause 说,在决定公开他的发现之前,已经提前两周通知了 Meta 。
3、破解Starlink卫星终端需要多少成本?25美元
近日在拉斯维加斯召开的 Black Hat Security Conference 峰会上,一名 Lennert Wouters 的比利时研究人员现场演示,成功破解了 SpaceX 的其中一个 Starlink 用户终端。Starlink 是伊隆·马斯克(Elon Musk)旗下私人航天公司 SpaceX 推出的卫星互联网业务,主要为全球偏远地区和网络信号无法覆盖的地区提供网络服务。目前该业务已经发展到 3000 多颗卫星。
Wouters 在展示过程中,所使用的破解装置总成本仅为 25 美元,成功侵入 Starlink 的卫星天线终端并获得系统访问权限。 Wouters 写道:“我们的攻击可以让 Starlink 的用户终端无法使用,并允许我们任意执行代码”。
在拉斯维加斯会议上展示他的发现之前,Wouter 曾警告 SpaceX 其用户终端的漏洞。 Starlink 已经更新了系统,但研究人员回答说,避免此类攻击的唯一可靠方法是创建一个新版本的主芯片。
2022年8月12日 星期五
今日资讯速览:
1、被病毒勒索千万美元?美的回应:传闻系谣言 业务系统未受影响
2、思科修复了ASA、FTD设备中的漏洞,该设备能访问 RSA 私钥
3、阿卡迈阻止了欧洲最大型DDoS攻击
1、被病毒勒索千万美元?美的回应:传闻系谣言 业务系统未受影响
8月11日晚间,@美的集团 官微就“美的受黑客攻击并勒索千万美元”的传闻进行回应。美的集团表示,网传美的遭受病毒勒索系谣言,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。
此前,网络上流传的一则聊天记录显示,美的集团在休集体年假期间遭遇加密勒索,工厂多处电脑中病毒,导致无法打开文件或进入不了系统。该病毒为勒索病毒,需要7天内汇1000万美金到指定账户。
聊天记录还提到,针对发生的加密勒索,公司提示相关用户需要保持非必要不开机;已经开机的用户马上关机断电;不要使用美信、邮箱发送文件等,并且会安排安保进行强制关机。
据了解,2021年美的集团实现营业总收入3434亿元,同比增长20.2%;实现净利润290亿元,同比增长5.5%。
2022年第一季度,美的集团实现营业总收入909亿元,同比增长9.5%;实现净利润72亿元,同比增长10%。
2、思科修复了ASA、FTD设备中的漏洞,该设备能访问 RSA 私钥
Hackernews 编译,转载请注明出处:
思科修复了一个严重漏洞,跟踪为CVE-2022-20866,影响自适应安全设备(ASA)和火力威胁防御(FTD)软件。
该漏洞影响了运行思科ASA软件和FTD软件的设备对RSA密钥的处理,未经身份验证的远程攻击者可以触发该漏洞以检索RSA私钥。一旦获得密钥,攻击者可以模拟运行ASA/FTD软件的设备或解密设备流量。
“RSA密钥存储在执行硬件加密的平台内存中时,存在逻辑错误,从而引起该漏洞。攻击者可以通过对目标设备使用Lenstra侧通道攻击来利用此漏洞,成功利用可使攻击者检索RSA私钥。”IT巨头发布的公告中写道。
该公告指出,在受影响的设备上可能会观察到以下情况:
- 此问题将影响运行易受攻击的ASA软件或FTD软件的设备上大约5%的RSA密钥;并非所有RSA密钥都会因应用于RSA密钥的数学计算而受到影响。
- RSA密钥可能有效,但它具有特定的特征,容易受到RSA私钥潜在泄露的影响。
- RSA密钥可能格式不正确且无效。格式错误的RSA密钥不起作用,并且TLS客户端连接到运行思科ASA软件或FTD软件的设备,如果使用格式错误的RSA密钥,将导致TLS签名失败,这意味着易受攻击的软件版本创建了无效的RSA签名,无法通过验证。如果攻击者获取RSA私钥,他们可以使用该密钥来模拟运行思科ASA软件/FTD软件的设备,或解密设备流量。
该漏洞会影响运行易受攻击的思科ASA(9.16.1及更高版本)或思科FTD(7.0.0及更高版本)软件的产品,这些软件执行基于硬件的加密功能:
- ASA 5506-X with FirePOWER Services
- ASA 5506H-X with FirePOWER Services
- ASA 5506W-X with FirePOWER Services
- ASA 5508-X with FirePOWER Services
- ASA 5516-X with FirePOWER Services
- Firepower 1000 Series Next-Generation Firewall
- Firepower 2100 Series Security Appliances
- Firepower 4100 Series Security Appliances
- Firepower 9300 Series Security Appliances
- Secure Firewall 3100
思科建议ASA/FTD设备的管理员删除格式错误或易受攻击的RSA密钥,并吊销可能与这些RSA密钥相关的任何证书,因为RSA私钥可能已泄露给攻击者。
思科对加州大学圣地亚哥分校的Nadia Heninger和George Sullivan以及科罗拉多大学博尔德分校的Jackson Sippe和Eric Wustrow报告该安全漏洞表示感谢。
产品安全事件响应团队尚未发现有利用此漏洞进行的野外攻击。
3、阿卡迈阻止了欧洲最大型DDoS攻击
本月早些时候,Akamai Technologies(阿卡迈技术公司,下称阿卡迈)平息了欧洲史上最大型分布式拒绝服务(DDoS)攻击,将一家东欧公司从30多天的持续重创中解救出来。
作为网络安全和云服务供应商,阿卡迈表示,攻击高潮出现在7月21日,14个小时内达到峰值每秒6.596亿数据包(Mpps)和每秒853.7千兆比特每秒(Gbps)。
在一篇博客文章中,阿卡迈云安全业务部门产品经理Craig Sparling写道:“该攻击针对大量客户IP地址,是阿卡迈Prolexic平台上历来挫败的最大型全球横向攻击。”
Sparling没有透露遭攻击公司的名称,但表示这家公司是阿卡迈在东欧的客户。在30天的时间里,该客户遭到通过多种途径发起的75次攻击。用户数据报协议(UDP)是这场DDoS攻击中最常用的途径,创纪录的峰值中就有UDP攻击的身影。
其他攻击方法还包括:UDP分片、ICMP洪水、RESET洪水、SYN洪水、TCP异常、TCP分片、PSH ACK洪水、FIN洪水和PUSH洪水。数据清洗系统能够清除大部分危险流量。
DDoS攻击的流量表明,网络犯罪团伙“利用由被黑设备构成的复杂全球性僵尸网络来策划这场攻击活动。”Sparling写道。“整场攻击中没有哪个数据清洗中心处理了超过100Gbps的攻击。”
Prolexic平台囊括全球20个大容量数据清洗中心,分布在世界各地,便于就近处理DDoS攻击和保护受害者。在攻击中,流量经阿卡迈Anycast网络流经最近的清理中心,阿卡迈安全运营指挥中心在此应用各种缓解控制措施来阻止攻击。
DDoS攻击的目的是用流量洪水冲击目标企业,使其无法再开展线上业务。应用层攻击可利用僵尸网络发起流量洪水,淹没Web服务器等联网软件,使其无法处理合法请求。网络层攻击通常针对系统处理入站网络数据包的能力。
“分布式拒绝服务攻击(DDoS)的风险从未像现在这样大。”Sparling写道,“过去几年里,企业遭遇了大量的DDoS勒索、新型威胁、国家支持的激进黑客行动,还有威胁领域前所未有的创新招数。而且攻击者毫无放缓迹象。”
今年4月,卡巴斯基发布报告称,一季度DDoS攻击创下历史新高,环比暴增46%,针对性攻击的数量甚至增加了81%。这家网络安全公司认为,俄乌冲突或许是DDoS威胁范围不断扩大的原因之一。
Cloudflare在4月挫败了创纪录的HTTPS DDoS攻击,仅仅两个月后又战胜了更大规模的攻击。这家公司同样在报告中称,第一季度DDoS攻击增加了645%之巨。
Cloudflare研究人员称,在4月和6月的网络安全事件中,DDoS攻击的持续演进得到了体现。攻击者在两起案例中都使用了垃圾HTTPS请求来淹没网站。此外,6月的网络流量洪水源自云服务提供商而非住宅互联网服务提供商,这表明攻击者不得不劫持虚拟机来放大攻击,而不是劫持更简单的物联网设备和家庭网关。
本月早些时候,Cloudflare表示,6月份每秒2600万次请求(RPS)的攻击是Mantis僵尸网络所为,而Mantis正是Meris僵尸网络的进化版。Meris在2021年9月攻击了俄罗斯科技巨头Yandex。
去年,微软两次报告称缓解了史上最大型DDoS攻击,其中包括2021年11月Azure客户遭受的一次攻击,该攻击峰值达到了每秒3.47兆兆比特(Tbps)。
2022年8月11日 星期四
今日资讯速览:
1、VMware 警告关键身份验证绕过漏洞的公共 PoC 代码
2、印度央行催促借贷应用程序为消费者提供更大的透明度和控制权
3、LogoKit 更新:利用开放重定向漏洞的网络钓鱼工具包
1、VMware 警告关键身份验证绕过漏洞的公共 PoC 代码
Hackernews 编译,转载请注明出处:
VMware警告其客户,在多个产品中存在针对关键身份验证绕过漏洞的概念验证漏洞利用代码,该漏洞追踪为CVE-2022-31656。VNG security的安全研究员Petrus Viet发现了这个漏洞,并且今天发布了针对该漏洞的概念验证(PoC)漏洞利用代码,并提供了有关该漏洞的技术细节。
上周,这家虚拟化巨头解决了CVE-2022-31656漏洞,该漏洞影响了多个产品的本地域用户,未经身份验证的攻击者可以利用此漏洞获取管理员权限。
虚拟化巨头发布的公告称:“具有用户界面网络访问权限的攻击者,可能无需进行身份验证即可获得管理访问权限。”
该漏洞影响Workspace ONE Access、Identity Manager和vRealize Automation产品,被评为严重漏洞,CVSS v3评分为9.8。
今天,VMware报告了CVE-2022-31656和CVE-2022-31659的PoC漏洞的可用性。
已更新的咨询信息表明,VMware已确认可以在受影响的产品中利用CVE-2022-31656和CVE-202-31659的恶意代码。
好消息是,供应商没有意识到这些攻击利用了野外攻击中的漏洞。
该公司发布的一份公告称:“在发布本文时,VMware并未意识到这些漏洞被利用了。”
2、印度央行催促借贷应用程序为消费者提供更大的透明度和控制权
印度储备银行公布了它打算对数字贷款公司实施的指导方针,建议给客户更多的透明度和控制权,因为这个南亚国家的中央银行正在采取进一步措施,打击粗制滥造的做法和债权人。
周三发布的指导方针规定了谁可以向印度的借款人贷款,他们可以从借款人那里收集哪些数据,并授权扩大披露要求,此举可能会使世界第二大互联网市场的许多金融科技初创企业感到不安。
贷款人将不被允许在未获得客户同意的情况下增加客户的信用额度,并被要求以明确的条款披露年度贷款利率。数字贷款应用程序也将被要求在收集任何数据之前事先征得客户的明确同意。
根据指导方针,在任何情况下,数字贷款公司应停止访问手机资源,如文件和媒体、联系人名单、通话记录、电话功能等。只有在借款人明确同意的情况下,才可以对摄像头、麦克风、位置或任何其他必要的设施进行一次性访问。
近年来,在印度出现了许多草率的借贷应用程序和非银行金融机构向客户收取高额费用的情况下,这些指导方针在去年首次提出,其中一些已获得原则性批准。简略做法的盛行促使Google去年从印度的Play Store中撤出了一些个人贷款应用程序,并实施了更有力的措施来防止滥用。
3、LogoKit 更新:利用开放重定向漏洞的网络钓鱼工具包
Hackernews 编译,转载请注明出处:
LogoKit:黑客利用在线服务和应用中流行的开放重定向漏洞,来绕过网络钓鱼活动中的垃圾邮件过滤器。
Resecurity, Inc.(美国)是一家总部位于洛杉矶的网络安全公司,为财富500强企业提供托管威胁检测和响应,识别黑客,它利用在线服务和应用中流行的开放式重定向漏洞来绕过垃圾邮件过滤器,最终提供网络钓鱼内容。
他们使用高度可信的服务域,如Snapchat和其他在线服务,创建特殊的URL,从而通过网络钓鱼工具获得恶意资源。所识别的工具包名为LogoKit,曾用于攻击Office 365、美国银行、GoDaddy、Virgin Fly以及国际上其他主要金融机构和在线服务的客户。
LogoKit的峰值是在8月初左右发现的,当时已经注册了多个冒充流行服务的新域名,并与开放重定向一起使用。虽然LogoKit在地下就为人所知,但自2015年以来,其背后的网络犯罪集团一直在利用新策略。
LogoKit以其使用JavaScript的动态内容生成而闻名——它能够实时更改登录页面上的徽标(模拟服务)和文本,以适应动态变化,这样,目标受害者更有可能与恶意资源进行交互。2021年11月左右,在利用LogoKit的活动中使用了700多个已识别的域名,其数量还在不断增长。
值得注意的是,参与者更喜欢在滥用管理流程相对较差的异域管辖区使用域名——.gq、.ml、.tk、ga、.cf,或未经授权访问合法网络资源,然后将其用作主机来进行进一步的网络钓鱼分发。
LogoKit依靠向用户发送包含其电子邮件地址的钓鱼链接。一旦受害者导航到URL,LogoKit就会从第三方服务(如Clearbit或谷歌的favicon数据库)获取公司徽标。然后,受害者的电子邮件会自动填写电子邮件或用户名字段,从而使他们感觉自己以前登录过。如果受害者随后输入密码,LogoKit将执行AJAX请求,将目标的电子邮件和密码发送到外部源,最终将受害者重定向到他们的“合法”公司网站。
这些策略允许网络犯罪分子在合法服务的通知背后伪装其活动以逃避检测,从而诱使受害者访问恶意资源。
不幸的是,开放重定向漏洞的使用极大促进了LogoKit的分发,因为许多(甚至流行的)在线服务并不将此类漏洞视为关键问题,在某些情况下,甚至不进行修补,为这种滥用留下了机会。
Resecurity发布的分析报告中提供了更多细节。
2022年8月10日 星期三
今日资讯速览:
1、这个荷兰版的“反诈中心”,从勒索病毒手上救下了不少人。
2、国家网信办集中整治涉虚拟货币炒作乱象
3、丹麦7-Eleven便利店受网络攻击致收银系统瘫痪 目前已暂时停业
1、这个荷兰版的“反诈中心”,从勒索病毒手上救下了不少人。
最近瑞星威胁情报中心发现了一款由国内开发者制作的,非常有想法的勒索病毒 —— SafeSound。
这款病毒可以说把外挂玩家们拿捏的死死的,它会隐藏在《 穿越火线 》、《 绝地求生 》这些游戏的外挂中进行传播。
如果你不小心中招了,勒索者会非常礼貌的给你写一封信,大概意思是: 你的资料已经被我加密,想要恢复这些文件,打钱!
这条新闻,让勒索病毒这个话题又一次回到了大家的讨论中~
所谓的勒索病毒其实很简单,像出现在新闻里的 SafeSound 就是一个典型的勒索病毒。
它把勒索病毒藏在非正常渠道的游戏外挂里,玩家下载完外挂后,它就能把你 电脑磁盘里的文件进行一波 加密。
中了病毒的用户只有给勒索者 打钱,才能 获得一个解密的秘钥解锁这些文件。
这种病毒只会针对文件和文件夹,感染之后通常不影响正常的电脑使用,但是如果你想打开加密的文件,就会收到一个 “ 打钱弹窗 ”。
当然了,除了这种恶心人的加密病毒,还有更加过分的 锁屏勒索病毒。
这种病毒会直接锁住你的电脑屏幕,然后让你打钱。
一旦中了锁屏病毒,你几乎无法在电脑上进行任何操作,这个 “ 打钱界面 ” 会占据你所有视线,不让你在电脑上进行任何操作。
此外还有影响你电脑操作系统启动的病毒,这类病毒会更改电脑的主引导记录,中断电脑的正常启动,让电脑屏幕始终显示勒索信的内容。
还有专门攻击网络服务器对文件加密的病毒、甚至在手机上也有伪装成正常 App 锁住你手机的病毒 。
总之这些五花八门的勒索病毒会用极其恶心人的方式,不让你正常的使用手机和电脑,锁住文件。
如果你乖乖打钱了,他们才会有一定概率给你一个解锁的秘钥。
为什么说是一定概率呢?
聪明的差友应该意识到了,这些人都能做勒索病毒骗钱了,你还指望他们都是 “ 侠盗 ”,等你打钱了就给乖乖给你秘钥?
他们拿完钱跑路了才是大概率会发生的情况, 所以非常不建议各位中了勒索病毒的差友给黑客打钱。
根据深信服发布的《2021年度勒索病毒态势报告》,2021年,全网勒索攻击总次数超过 2234万次!
并且随着类似比特币这些加密货币的使用,追查这些犯罪者变得更加困难了。
为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了个网站。
这个网站收录了 172 种已知的勒索病毒, 并且针对这些病毒专门做了破解工具。
如果你知道勒索病毒的种类,可以直接在网站的病毒库里搜索名字,然后下载对应的解密器。
如果你不幸中了勒索病毒并且不知道病毒的种类,可以把电脑上被 “ 封印 ” 起来的加密文件上传到网站这个叫做 “ 解码刑警 ” 的工具。
然后这个 “ 解码刑警 ” 会根据你上传文件的信息, 分析出你中的是哪种勒索病毒。
接下来再去网站的工具库中下载对应的病毒工具,这些工具会破解被加密的文件,你就不用给骗子们打钱了。
我们还可以随手进行一个举报,把勒索信件中看到的任何电邮和网站地址上传到 “ 解码刑警”,这些上传的信息会帮助荷兰警方追查黑客的信息。
也算是对荷兰警方进行了一波国际帮助了~
不过世超觉得,等你中了勒索病毒再去想办法多少有些亡羊补牢的意思了。
其实在大家上网冲浪的时候做好必要的防范才是最重要的,对于各位差友来说,只要做好这几点很大程度上就能避免被勒索病毒找上门。
首先是定期备份储存计算机上的数据。
毕竟勒索病毒 “ 绑架 ” 的是你电脑里重要的文件,如果中了勒索病毒直接重装系统就完事了。
然后是不要点击垃圾邮件、不知名的可疑电子邮件链接,远离外挂。
上网冲浪的时候同样也是,不要点乱七八糟的链接、弹出窗口和对话框;只从官方网站或者可以信赖的网站下载软件。
总之就是一句话: 上网有风险,同志需谨慎。
最好是安装一些靠谱的安全软件,比如火绒安全,他们会提醒你哪些链接存在安全隐患,不想安装第三方安全软件的差友,可以在系统中开启本地防火墙。
以上就是一些针对个人用户预防勒索病毒的一些小建议。
最后把这个拒绝勒索软件的官网链接分享给大家,有需要的可以自取:
网站链接: https : //www.nomoreransom.org/zh/index.html
2、国家网信办集中整治涉虚拟货币炒作乱象
随着虚拟货币的兴起,与之相关的投机、炒作、诈骗等活动愈演愈烈,一些网民受投资虚拟货币可获高额回报等虚假宣传迷惑,盲目参与到相关交易活动中,给自身财产带来较大损失。今年以来,国家网信办贯彻落实党中央决策部署,高度重视网民举报线索,多举措、出重拳清理处置一批宣传炒作虚拟货币的违法违规信息、账号和网站。
按照《关于进一步防范和处置虚拟货币交易炒作风险的通知》精神,国家网信办督促指导主要网站平台切实落实主体责任,持续保持对虚拟货币交易炒作高压打击态势,加大对诱导虚拟货币投资等信息内容和账号自查自纠力度。微博、百度等网站平台根据用户协议,关闭@ICE暴雪创始人、@币圈爆爺等1.2万个违规用户账号,清理“投资比特币轻松赚钱”等违规信息5.1万余条。
国家网信办加强督导检查,对打着“金融创新”“区块链”的旗号,诱导网民进行“虚拟货币”“虚拟资产”“数字资产”投资的@飞哥的故事江湖、@绝对盘感比特币等989个微博、贴吧账号和微信公众号依法予以关闭。此外,指导地方网信部门约谈涉虚拟货币宣传炒作的“链节点”、“创投圈”等经营主体500余家次,要求全面清理宣传炒作虚拟货币交易的信息内容。对专门为虚拟货币营销鼓吹、发布教程讲解跨境炒币、虚拟货币“挖矿”的“币头条”等105家网站平台,国家网信办会同相关部门依法予以关闭。
下一步,国家网信办将继续会同相关部门,加强对虚拟货币相关非法金融活动的打击力度,依法保护人民群众财产安全。提醒广大网民树立正确投资理念,增强风险防范意识,不参与虚拟货币交易炒作活动,谨防个人财产受损。
3、丹麦7-Eleven便利店受网络攻击致收银系统瘫痪 目前已暂时停业
丹麦境内的多家 7-Eleven 便利店由于受到网络安全攻击,导致店内的支付和结账系统出现瘫痪,无奈选择暂时关门歇业。本次攻击发生于当地时间 8 月 8 日上午,7-Eleven 的丹麦官方 Facebook 账号发布了一条如下动态
翻译过来就是:“非常遗憾,我们今天(2022 年 8 月 8 日)遭到了一次网络攻击。这意味着我们无法使用使用结账和支付系统。在我们确定影响范围之前我们不得不选择临时关闭这些门店。自然的,我们希望尽快让这些门店重新开业”。
在一条已经删除的 Reddit 帖子中,一名自称是 7-Eleven 的丹麦员工确认了遭受网络攻击,在结账系统停止工作之后不得不暂停营业。这位员工写道
我目前在 Strøget 的 7-Eleven 便利店工作,我们的结账系统已经无法工作了。目前丹麦境内所有 7-Eleven 均使用相同的系统,因此所有 7-Eleven 门店现在都关门了。我所在的门店目前已经关门了,给大家提个醒了。
2022年8月9日 星期二
今日资讯速览:
1、研究人员锁定伊朗对阿尔巴尼亚政府实施的网络攻击行为
2、GwisinLocker:专门针对韩国的勒索软件
3、美国海军发起“网络龙行动”预计培养数百名网络安全人才
1、研究人员锁定伊朗对阿尔巴尼亚政府实施的网络攻击行为
7月中旬,一场针对阿尔巴尼亚政府的网络攻击使国家网站和公共服务中断了数小时。随着俄罗斯在乌克兰的战争肆虐,克里姆林宫似乎是最可能的嫌疑人。但威胁情报公司Mandiant周四发表的研究报告将这次攻击归咎于伊朗。虽然德黑兰的间谍活动和数字干预已经在世界各地出现,但曼迪安特的研究人员说,来自伊朗对一个北约成员国的破坏性攻击是一个值得注意的行动升级。
阿尔巴尼亚 地拉那
7月17日针对阿尔巴尼亚的数字攻击发生在"自由伊朗世界峰会"之前,该会议定于7月23日和24日在阿尔巴尼亚西部的马涅兹镇召开。该峰会隶属于伊朗反对派组织(通常缩写为MEK、PMOI或MKO)。但会议在预定开始的前一天被推迟,因为据说有未指明的"恐怖主义"威胁。
Mandiant研究人员说,攻击者部署了Roadsweep系列的勒索软件,可能还利用了一个以前未知的后门,被称为Chimneysweep,以及Zeroclear擦除工具的一个新变种。Mandiant发现,过去使用类似的恶意软件,攻击的时间,Roadsweep勒索软件说明中的其他线索,以及在Telegram上声称对攻击负责的行为人的活动都指向伊朗。
Mandiant的情报副总裁John Hultquist说:"这是一个积极的升级步骤,我们必须承认。伊朗的间谍活动在世界各地一直在发生。这里的区别是这不是间谍活动。这些是破坏性的攻击,影响到生活在北约联盟内的阿尔巴尼亚人的日常生活。而且,这基本上是一种胁迫性的攻击,以迫使政府出手。"
伊朗在中东,特别是在以色列进行了广泛的黑客活动,其国家支持的黑客已经渗透和探测了制造、供应和关键基础设施组织。2021年11月,美国和澳大利亚政府警告说,伊朗黑客正在积极努力获取与运输、医疗保健和公共卫生实体等相关的一系列网络。国土安全部网络安全和基础设施安全局当时写道:"这些伊朗政府资助的APT行为者可以利用这种访问进行后续行动,如数据渗出或加密、勒索软件和敲诈。"
不过,德黑兰已经限制了其攻击的范围,在全球范围内主要保持数据渗透和侦察。然而,该国也参与了影响行动、虚假信息活动和干预外国选举的努力,包括针对美国。
Hultquist说:"我们已经习惯于看到伊朗在中东地区咄咄逼人,这种活动从未停止过,但在中东以外的地区,他们一直都很克制。我担心他们可能更愿意在该地区之外利用其能力。而且他们显然对针对北约国家毫无顾忌。"
由于伊朗声称它现在有能力生产核弹头,而且该国代表与美国官员在维也纳就可能恢复两国之间的2015年核协议进行了会晤,任何关于伊朗在与北约打交道时可能的意图和风险容忍度的信号都是重要的。
阅读研究报告以了解更多:
2、GwisinLocker:专门针对韩国的勒索软件
Hackernews 编译,转载请注明出处:
研究人员警告称,一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司,其名称来自作者“Gwisin”(韩语中的幽灵)的名字。
勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示,韩国警方,国家情报局和KISA等韩国实体的名称也出现在勒索信上。
据当地媒体报道,Gwisin黑客在公休日和凌晨攻击了韩国公司。
Windows系统上的攻击链利用MSI安装程序,需要一个特殊值作为参数来运行MSI中包含的DLL文件。
“它类似于Magniber,因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同,Gwisin本身不执行恶意行为,它需要为执行参数提供特殊值,该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动,因此很难检测到Gwisin,勒索软件的内部DLL通过注入正常的Windows进程来运行,对于每个受攻击的公司来说,这个过程都是不同的。”
GwisinLocker勒索软件能够在安全模式下运行,它首先将自身复制到ProgramData的某个路径,然后在强制系统重新启动之前注册为服务。
Reversinglabs的研究人员分析了勒索软件的Linux版本,他们指出这是一种复杂的恶意软件,具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合,为每个文件生成唯一密钥。
Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站,才能与黑客取得联系。
“对更大规模的GwisinLocker活动的分析和公开报道表明,勒索软件掌握在复杂的黑客手中,他们在部署勒索软件之前获得了对目标环境的访问和控制权,这包括识别和窃取敏感数据,用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明,他们熟悉韩语以及韩国政府和执法部门。因此人们猜测,Gwisin可能是一个与朝鲜有关的高级持续威胁(APT)组织。”
3、美国海军发起“网络龙行动”预计培养数百名网络安全人才
马里兰州杰瑟普在米德堡的边境地区,美国海军正在采取串联方式进行网络防御和人才培养。
由美国舰队网络司令部授权的首席准尉斯科特布赖森的心血结晶“赛博龙行动”,旨在修复虚拟漏洞一点一点地支撑系统同时培养新一波的网络安全专业知识。“我们这样做是为了继续减轻和加强我们的攻击媒介,并更好地保护我们的网络,”布赖森在7月22日对记者说。
据悉,Cyber Dragon于3月启动,目前该计划的第二阶段正在进行中。在目前的形势下,该行动的重点是加强非机密网络并根除常见的、普遍存在的数字弱点:松懈的安全设置、容易猜到的凭据、未打补丁的软件等等。
官员们表示,这样做会使黑客更难闯入并造成严重破坏。据海军称,最初在服务网络上发现了大约 14,500 个需要解决的问题。每个都可能成为对手的立足点,尤其是在网络冲突加剧的时候。负责信息战的海军作战部副部长杰弗里·特鲁斯勒(Jeffrey Trussler)在2月份的一份备忘录中警告水手们,“针对企业和美国基础设施的网络攻击的频率和复杂性正在增加。”
为了应对如此庞大且不断变化的工作量,需要人力。所以布赖森求助于储备,包括那些不一定能熟练使用网络的人。“我去了第 10 舰队的预备役部队,我想出了一个训练计划。我说,'好吧,如果你给我 X 天的 X 数量的水手,我认为我们可以得到一定百分比的漏洞,修补和扫描。预备队通过人员配备,他们通过空间。“布赖森说。
据参与这项工作的官员称,到目前为止,Cyber Dragon 团队已经发现并修复了数千个问题——从几次“高调曝光”到默认用户名和密码 ,再到发现“我们不希望数据存在的数据”。
“默认用户名和密码意味着任何人都可以在这些特定机器上登录并执行。现在,它们与国家安全无关。没有直接关系到国家安全的重大问题,”美国第 10 舰队舰队网络司令部副司令、海军少将史蒂夫·唐纳德说。“但在某些情况下,它可能会对个人造成伤害、身份盗窃或类似性质的事情。我们能够关闭它。”
团队还关注潜在的欺骗证书、有风险的软件使用和云管理问题。大约50名水手接受了最先进的攻击面管理软件的培训,用于发现、分类和评估组织资产的安全性,预计未来几个月还将有 100 人接受同样的教育。
具有网络和技术背景的预备役军人布莱克·布雷兹中尉表示,这次行动提高了他对该领域和海军网络安全的理解。“我留在预备队的最大动机是我想接近战斗,以防我们的一些近乎同行的对手变得有趣,”布拉兹说。“可以这么说,我们并没有直接与敌人接触,但我们正在努力阻止他们进入我们网络的途径。”
2022年8月8日 星期一
今日资讯速览:
1、卡巴斯基发布《2022年第二季度的DDoS攻击》报告
2、Twitter 证实,零日漏洞致540万账户数据泄露
3、以色列警方Pegasus间谍软件原型被曝光
1、卡巴斯基发布《2022年第二季度的DDoS攻击》报告
近日,卡巴斯基发布《2022年第二季度的DDoS攻击》报告,与上一季度相同出于政治动机的网络攻击在2022 年第二季度主导了DDoS 领域,俄罗斯网站仍然是第二季度DDoS攻击的目标。攻击地域没有显著变化,但值得注意的是,与并发地缘政治事件相关的攻击,可能会利用僵尸网络统计数据中未考虑的特殊创建的资源
季度趋势
2022年第二季度延续了上一季度的趋势:超长攻击次数增加。这些攻击持续时间长,造成网站持续处于高压之下。与上一季度相比,DDoS攻击逐渐淡出公众视野,业余黑客攻击基本停止。也就是说,并未造成重大损失,从DDoS防御的角度来看,攻击停止的影响很小。
2021年第二季度、2022年第一季度和第二季度的DDoS攻击数量对比(2021年第二季度的数据取为100%)
本季度,卡巴斯基DDoS保护组击退的攻击同比增加了约2.5倍。虽然攻击的绝对数量减少了,但整体的DDoS情况可能已经恶化。如上所述,造成上一季度激增的黑客活动逐渐减少。这些攻击中的绝大多数既没有专业的管理,持续时间较短,除了计入统计数据外,并未产生其他特别影响。在第二季度处于观察期的攻击,其性质有些不同。它们持续数天,甚至数周,本季度的记录是41441分钟。遭受攻击最多的资源几乎一直处于高压状态。
DDoS攻击持续时间,2021年第二季度,2022年第一季度和第二季度(2021年第二季度的数据取为100%)
第二季度DDoS攻击的平均持续时间约为3000分钟。与2021年第二季度的平均30分钟相比:这个数字指数级增长。维持长时间的攻击的成本十分高昂,尤其是被网络安全系统阻挡的无效攻击。持续的僵尸活动增加了僵尸网络主机磨损或被检测的风险,甚至C2中心本身也会被追踪。
就DDoS攻击的质量而言,趋势更为复杂。2022年第二季度,智能攻击占比高达50%,接近历史记录。历史记录出现在四年前DDoS市场处于谷底时。
2021年第二季度、2022年第一季度和第二季度智能攻击的份额
更有趣的是,2022年第二季度出现了大量的高级定向攻击,这些攻击针对特定的网站设计的,并考虑到其特点和漏洞。攻击复杂且成本高昂,需要攻击方和防守方都拥有高超的经验和能力。一般这些攻击是以个位数发生的,在第二季度,有两次该类型攻击,这一趋势十分令人震惊。
第二季度的另一个极其重要的趋势是加密货币崩盘,它以Terra(Luna)的瞬间崩溃开始,此后态势一直在加剧。DDoS市场对加密货币市场的波动高度敏感,在加密货币下跌时不可避免地增长,从各种迹象来看,这种状态将持续下去:例如,矿工已经开始向游戏玩家出售农场。俄罗斯的DDoS情况已经十分紧张,该地区很难捕捉到任何变化。在全球范围内,DDoS活动很有可能会加剧。
DDoS攻击统计
1 方法
在本报告中,只有在僵尸网络活动时间间隔不超过24小时的情况下,事件才被算作一次DDoS攻击。例如,如果同一资源在间隔24小时或更长时间后被同一僵尸网络攻击,则会被计算为两次攻击。源自不同僵尸网络但针对一个资源的僵尸请求也算作单独的攻击。
DDoS攻击受害者和用于发送命令的C2服务器的地理位置由其各自的IP地址决定。本报告中的DDoS攻击的独特目标数量是由季度统计中的独特IP地址数量来计算的。
DDoS情报统计数据仅限于卡巴斯基检测和分析的僵尸网络。请注意,僵尸网络只是用于DDoS攻击的工具之一,本节并不涵盖审查期间发生的每一次DDoS攻击
2 季度总结
在2022年第二季度。
DDoS情报系统记录了78,558次DDoS攻击。
25%的目标位于美国,占所有攻击的45.95%。
6月20日和21日是最疯狂的日子,分别有1815和1735次攻击,而4月10日和11日以及5月17日是最平静的日子,分别有335、294和267次攻击。
短时攻击占总数的95.42%。
17%的僵尸网络C2服务器位于美国。
UDP攻击占比62.53%
3 DDoS攻击的地理分布
美国仍然是DDoS攻击数量的领导者,占比从第一季度的44.34%略微上升到45.95%;德国紧随其后,占6.47%,增长了1.41个百分点。
2022年第一季度和第二季度按国家和地区划分的DDoS攻击分布
法国和加拿大涨幅极小,分别为4.60%和3.57%,位列第四和第五位。英国以3.51%降至第六位,其次是巴西的3.2%和荷兰的2.91%。新加坡紧随其后,排名第九,是前十名中除美国和德国外唯一一个攻击率增长超过一个百分点的国家,从1.86%增至2.9%。新加坡的目标份额(3.22%)增长更为明显,比2022年第一季度增长了一倍总的来说,TOP10的构成与按攻击次数排名的传统相似。
2022年第一季度和第二季度按国家和地区划分的独特目标分布
4 DDoS攻击数量的动态变化
2022年第二季度,DDoS攻击与上一报告期相比下降了13.72%(至78558次)。整个季度的活动稳步增加:从4月的平均每天731次攻击到5月的845次,到6月的1195次。事实证明,6月20日和21日攻击最为频繁,分别有1815次和1735次攻击,而4月10日和11日最为平静,卡巴斯基DDoS情报系统分别记录了335次和294次攻击;5月17日,只捕捉到267次攻击。
2022年第二季度DDoS攻击数量的动态变化
每周DDoS 攻击的分布略高于2022 年第一季度。周五(13.33%)增长了0.56个百分点,周日的占比从16.35%下降到15.81%。
2022年第二季度DDoS攻击按星期的分布情况
周二(14.06%)和周六(15.59%)均有所增长,周一(14.22%)有所下降。因此,周六和周日的DDoS活动水平最高。
5 DDoS攻击的持续时间和类型
2022年第二季度,长时间(20小时及以上)的攻击在整个DDoS持续时间中的占比明显减少,从第一季度的近20%降至略高于7%。从数量上看,这些攻击仅占总数的0.3%,其中0.24%是持续20-49小时的攻击。
持续时间不超过4小时的短时DDoS攻击占总时间的74.12%,占总数的95.24%。持续5-19小时的攻击比例几乎没有变化(占总数的4.28%,2022年第一季度为4.32%),但比例略微转向持续5-9小时的攻击。
本季度最长的攻击持续了423和403小时(约17.5和17天),比第一季度创纪录的549小时(近23天)的攻击缩短了126小时。平均攻击时间从近两小时下降到约1小时45分钟。
2022年第一季度和第二季度DDoS攻击的持续时间分布
UDPflood攻击仍是僵尸网络采用的主要技术,其份额在2022年第二季度再次上升到62.53%。SYNflood仍然排在第二位,占比20.25%。TCPflood的占比缩减到以前的一半,为11.40%。HTTPflood的份额(2.43%)保持不变,而GREflood上升到3.39%,上升到第四位。
2022年第二季度DDoS攻击的类型分布
6 僵尸网络的地理分布
位于美国的僵尸网络控制服务器的占比46.17%,比2022年第一季度下降了9.3%,但仍位列前茅。其次是荷兰(14.49%),其次是德国(9.11%),两个国家的排名互换。之前排名第四的捷克共和国几乎跌出了前十名,与加拿大和克罗地亚(1.24%)分列第九、第十和第十一位。俄罗斯(4.76%)和法国(3.52%)的排名因此分别上升了一位。
2022年第二季度僵尸网络C2服务器在各国的分布情况
新加坡(2.69%)和越南(2.48%)分别排在第六和第七位,其份额与上一报告期相比翻了两番。英国(2.07%)下降到第八位。
7 对物联网蜜罐的攻击
美国(13.52%)SSH蜜罐攻击的数量排名第二,德国(5.64%)和巴西(5.43%)也分别保持第三和第四位,而新加坡(4.71%)将香港(4.35%)挤出第五位,并被印度(4.70%)紧随其后。韩国(4.21%)排名第八,俄罗斯(3.41%)排名第九,英国(3.33%)位列前十。
按攻击次数计算,来自俄罗斯的攻击领先于其他国家和地区,占54.93%。美国以对SSH蜜罐的攻击数量和与之相关的机器人数量位居第二,占7.82%。越南(6.74%)位居第三:位于该国的机器人在2022年第二季度对蜜罐发起了超过150万次攻击。
2022年第二季度试图攻击卡巴斯基SSH蜜罐的设备的地理分布
2022年第二季度,攻击卡巴斯基Telnet蜜罐的设备也大多位于中国(其中39.41%)。这些设备也是所有攻击的一半以上(58.89%)的原因。印度按僵尸数量排名第二(6.90%),但在僵尸活动方面仅排名第七(2.5%)。荷兰的僵尸活动水平第二高(8.11%)。俄罗斯在这两份名单上都排在第三位,拥有5.83%的机器人,在蜜罐上发起了7.48%的攻击。
2022年第二季度试图攻击卡巴斯基Telnet蜜罐的设备的地理分布
总结
在DDoS攻击方面,第二季度比第一季度略显平缓。夏季临近时,活动量下降是常规趋势。然而,本季度内攻击数量的变化并不符合这一趋势:僵尸网络活动在4月至6月期间稳步增长,而上一季度末则出现下滑。这与加密货币的崩盘相一致,这一事件通常会助长DDoS攻击。与过去的报告期相比,攻击地域没有明显变化,但值得注意的是,与并发地缘政治事件有关的攻击可能会利用专门创建的资源,而不计入僵尸网络统计数据中。
现在预测,只要政治议程保持不变,俄罗斯的情况不太可能很快改变。该国的DDoS活动已经达到了某种程度的高峰。预计2022年第三季度俄罗斯的数据与第二季度类似。考虑到加密货币的情况,预计DDoS市场将在全球范围内增长。这可能会对俄罗斯产生间接影响:僵尸网络租赁的价格可能会下降,使DDoS作为一种服务更加实惠,这意味着以前成本太高无法进行攻击资源现在将成为可获得的目标。特别是,人们可以预测对教育网站的攻击会增加。无论如何,DDoS攻击的数量不会减少。任何地方都没有降低威胁程度的先决条件,而增长因素却很多。
2、Twitter 证实,零日漏洞致540万账户数据泄露
Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。
威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份,Hacker 上发布的一份报告声称发现了一个漏洞,攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户,即使用户已选择在隐私选项中阻止这种情况。
“该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID(这几乎等于获取账户的用户名),即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程,特别是在检查 Twitter 账户重复的过程中,存在该错误。”zhirinovskiy 提交的报告中指出:“通过漏洞赏金平台 HackerOne,这是一个严重的威胁,因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户,而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前(创建一个带有电话/电子邮件到用户名连接的数据库)。此类基地可以出售给恶意方用于广告目的,或用于在不同的恶意活动中对名人进行攻击。”
卖家声称该数据库包含从名人到公司的用户数据(即电子邮件、电话号码)。卖家还以 csv 文件的形式分享了一份数据样本。
在帖子发布几个小时后,Breach Forums 的所有者验证了泄漏的真实性,并指出它是通过上述 HackerOne 报告中的漏洞提取的。
“我们下载了样本数据库进行验证和分析。它包括来自世界各地的人,拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。”
卖家告诉 RestorePrivacy,他要求为整个数据库至少支付 30,000 美元。
现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。
Twitter 确认了此漏洞的存在,并授予了 zhirinovskiy 5,040美元的奖金。
“我们想让你知道一个漏洞,该漏洞允许某人在登录流程中输入电话号码或电子邮件地址,以试图了解该信息是否与现有的 Twitter 账户相关联,如果是,哪个特定账户。” Twitter 的公告。“在 2022 年 1 月,我们通过我们的漏洞赏金计划收到了一份漏洞报告,该漏洞允许某人识别与账户关联的电子邮件或电话号码,或者,如果他们知道某人的电子邮件或电话号码,他们可以识别他们的 Twitter 账户,如果存在的话,”这家社交媒体公司继续说道。
“这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。”
该公司正在通知受影响的用户,它还补充说,它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码,但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证,以保护其账户免受未经授权的登录。
BleepingComputer报告说,两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。
3、以色列警方Pegasus间谍软件原型被曝光
2014年为以色列警方设计的Pegasus间谍软件原型细节和截图显示了该系统的工具和深远的能力,该系统计划在日常警务工作中部署。
这套间谍软件工具本应提交给由当时的总理本雅明-内塔尼亚胡领导的安全内阁,其中包括警方寻求的各种功能,从监听被感染手机上的任何电话,阅读短信,到在手机主人不知情的情况下远程打开麦克风和摄像头。
该间谍软件提交给内阁的报告是由当时新任命的信号情报部门负责人约阿夫-哈桑准将准备的,他曾是以色列国防军精英8200网络情报单位的成员。在他的领导下,并在摩萨德特工协助下,该单位发展成为一个准独立的、分工明确的小组。
该部门从更广泛的情报单位中分离出来,并向当时的调查部门负责人、警察少将马尼-伊扎基报告。这是一支警察部队中的警察部队,没有人知道那里发生了什么,其中没有监管,没有监督,他们手中的工具非常具有侵略性,需要受到严格的监管。在现实中,这并没有发生。
为了回应以色列经济日报《Calcalist》在年初震撼全国一篇调查报道,一个由副总检察长阿米特-梅拉里领导的调查委员会试图审查警方使用攻击性间谍软件,特别是PegASUS,它周一发表了一份报告,调查了那里发生的情况。梅拉里小组的结论是,早在2016年,当阿尔谢赫还是局长的时候,就已经在操作上部署了间谍软件,使用的技术超出了其法律授权。收集的电话数据超过了法院命令所允许的合法范围,该组织仍在其网络部门的数据库中持有这些信息。
调查报告当中提到的Pegasus间谍软件另一项能力是拦截来往电话。除了这种在情报监视领域似乎比较常规的能力外,还有一种在专业术语中被称为"音量监听"的能力,被认为更具侵入性。简单地说,它意味着通过远程激活设备的麦克风对设备的周围进行实时窃听。这种类型的窃听需要地区法院院长或其副手的命令。
警方打算列出的功能清单超出了窃听的范围,包括远程操作"受感染"设备上的摄像头,这种行为很可能是非法的,因为法律没有明确允许植入隐蔽的摄像头,当然也不允许通过入侵嫌疑人的移动设备远程控制摄像头。通过间谍软件,警方可以完全访问存储在手机上的所有文件,包括那些经过端到端加密的文件。
这种加密技术可以防止通过手机天线或其他基础设施访问设备的内容。即使一个文件被截获,也无法解码。然而,在一个已经感染了间谍软件的设备上,所有的文件都变得可见。然而,悉现Pegasus间谍软件的消息人士说,调查报告当中描述的Pegasus间谍软件是大约八年前计划的版本,显然是当前软件的早期版本或演示版本。
2022年8月5日 星期五
今日资讯速览:
1、台湾四大网站遭到DDoS攻击
2、Cloudflare推出密码学实验 以防范被未来的量子计算机破解
3、湖人老板推特账户被盗 黑客用其进行PS5义卖诈骗
1、台湾四大网站遭到DDoS攻击
2、Cloudflare推出密码学实验 以防范被未来的量子计算机破解
有人说,目前的加密技术在未来可能会被量子计算机破解。为了对此做好准备,Cloudflare正在推出一项后量子实验,以增加对两种混合后量子密钥协议(X25519Kyber512Draft00和X25519Kyber768Draft00)的支持,所有网站所有者都可以报名参加。这些密钥协议将与现有的加密方案一起工作,以确保兼容性。
目前在网站上添加这些密钥协议不会有什么作用,因为还没有网络浏览器支持它们。浏览器遇到这些加密方案时将退回到现有的方式,因此自然也不具有抗量子性。Cloudflare表示,互联网将在未来几年内向量子加密技术发展,并希望这个测试版能给其客户一个尝试的先机。
Cloudflare正在使用的后量子密码学被称为Kyber。上个月,美国国家标准与技术研究所(NIST)决定对Kyber进行标准化,最终规范将于2024年出台。通过启动这项试验,Cloudflare希望能推动后量子密码学的采用。
就特点而言,Kyber使用更大的密钥和使用更多的内存。Cloudflare认为,如果Kyber单独使用,对网站的连接可能会更快,但在这次试验中,使用的是混合模式,所以连接速度会慢一些。
如果你想在你的一个域名上进行测试,请查看Cloudflare控制后台的综合步骤来设置它。请注意,Kyber将在未来几个月接受向后兼容的变化,Cloudflare的实施将改变,以与其他早期采用者兼容。此外,如果社区发现任何问题,那么将在Cloudflare的实施中加入解决方法。由于变化的速度很快,Cloudflare不能保证长期稳定或持续支持。
访问以了解更多细节:
https://blog.cloudflare.com/experiment-with-pq/
3、湖人老板推特账户被盗 黑客用其进行PS5义卖诈骗
Hackernews 编译,转载请注明出处:
Google修补了Android操作系统中的一个关键漏洞,跟踪为CVE-2022-20345,可利用该漏洞通过蓝牙实现远程代码执行。
Google没有透露有关该漏洞的其他细节。
“本节中最严重的漏洞可能导致通过蓝牙远程执行代码,而不需要额外的执行权限。”Google发布的安全公告中写道。
Google通过发布安全补丁级别“2022-08-01”和“2022.08-05”解决了这个问题。
CVE-2022-20345漏洞是Google本月唯一被评为“严重”的漏洞。其他所有漏洞都被评为“高危”。这些漏洞影响了框架、媒体框架、系统、内核、想象技术、联发科技、Unisoc和高通组件。
Google还修补了Google Pixel设备中的数十个安全漏洞,包括四个关键的远程代码执行漏洞,跟踪如下:
| CVE | REFERENCES | TYPE | SEVERITY | COMPONENT |
|---|---|---|---|---|
| CVE-2022-20237 | A-229621649 * | RCE | Critical | Modem |
| CVE-2022-20400 | A-225178325* | RCE | Critical | Modem |
| CVE-2022-20402 | A-218701042 * | RCE | Critical | Modem |
| CVE-2022-20403 | A-207975764 * | RCE | Critical | Modem |
2022年8月4日 星期四
今日资讯速览:
1、2.88亿条印度养老基金持有人的身份数据被暴露在互联网
2、币圈提款机:Solana钱包出现未知安全漏洞 大量用户数字资产被盗
3、湖人老板推特账户被盗 黑客用其进行PS5义卖诈骗
1、2.88亿条印度养老基金持有人的身份数据被暴露在互联网
一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存已在网上浮出水面。安全研究员Bob Diachenko发现两个独立的IP地址存储了超过2.88亿条记录--其中一个IP地址下有约2.8亿条记录,约840万条是第二个IP地址的一部分。该研究人员说,这两个IP地址都公开向互联网暴露数据,但没有密码保护。
这些记录是名为"UAN"的集群指数的一部分,这显然是指该国国有雇员公积金组织(EPFO)分配给养老基金持有人的通用账户号码。
Diachenko表示:"据我所知,数据库中的信息可能被用来拼凑出一个印度公民的完整档案,使他们成为网络钓鱼或诈骗攻击的目标。"
每条记录都包括详细的个人信息,包括他们的婚姻状况、性别和出生日期。还有一些细节主要与他们的养老基金账户有关,包括UAN、银行账户号码和就业状况。
除了泄露持有养老基金账户的个人身份信息(PII)外,这些记录还暴露了其办理人的详细信息。这些信息包括他们的全名和与账户持有人的关系。
Diachenko本周早些时候发现了泄露敏感数据的IP地址。他在Twitter上发布了一张截图,显示了周三暴露个人信息的数据字段,同时提醒了印度计算机应急响应小组(CERT-In)。在发布他的推文后不到一天,这两个有问题的IP地址已经无法访问。
但Diachenko说,目前还不清楚谁应该对网上出现的曝光数据负责。目前也不清楚除了他之外,是否还有其他人也发现了这些曝光的数据。
印度养老金的IT系统出现安全问题已经不是第一次,2018年,印度中央公积金专员通知技术支持部门,黑客能够从EPFO网站的Aadhaar播种门户窃取数据。这一事件使约2700万养老基金成员的信息处于危险之中。然而,该养老基金机构后来在记录上声称,其方面没有数据泄漏,但没有提供证据。
2、币圈提款机:Solana钱包出现未知安全漏洞 大量用户数字资产被盗
据网上流传的消息,加密货币Solana(代币:SOL)钱包出现未知的高危安全漏洞,黑客通过漏洞获取到用户钱包的私钥或者助记词,然后直接将钱包资产清空。 目前具体问题还不清楚,但如果用户使用SOL代币钱包请立即将所有资产转移到中心化的交易所进行过渡,防止资产被盗。
当前被盗的钱包数量还在增长、用户损失的资金量也在继续飙升,目前已经被盗的加密货币预估超过了1000万美元,涉及的SOL钱包包括Phantom和Slope等,这俩都是热钱包。
如果用户有硬件钱包的话也可以将资产转入到硬件钱包,这样安全性应该也可以提升不少。
区块链安全公司派盾发布的消息是上述钱包可能由于供应链问题,Phantom钱包则表示不相信这是他们特有的问题,但无论如何用户被盗的资金也不会找回来,钱包方面是不可能因为这类黑客攻击而赔偿用户的。
另外有专注于区块链诈骗的追踪者从钱包方面获取到部分蛛丝马迹,黑客将被盗资产转入的主钱包似乎是7个月前通过币安资助的。即这个钱包在之前有过交易记录,黑客通过币安交易所提币到这个钱包,这和交易所倒是没什么关系,但币安应该可以通过提币者信息来追踪黑客。
币安创始人赵长鹏也对该问题发布警告提醒用户尽快转移资产,不过目前还是没有确定黑客身份以及漏洞情况。
对Solana这个加密货币蓝点网此前就表示用户应该远离,之前Solana试图通过投票强行接管巨鲸账号,尽管后来投票被撤销但这种行为已经违背去中心化理念。
另外Solana这个加密货币存在非常明显的高度控盘问题,不排除是其团队和早期投资者高度控盘割韭菜。上述情况与此次安全问题虽然没有关联但也值得用户警惕,如果你在上次投票过后就跑路了那至少此次不会被这个黑客攻击事件所影响。
3、湖人老板推特账户被盗 黑客用其进行PS5义卖诈骗
据Kotaku报道,近日,NBA洛杉矶湖人队老板珍妮·巴斯的推特账户被黑客盗取,并在其推特账号上发布有关于PS5的骗局广告。黑客在盗取珍妮·巴斯的账户后,用其账号发文称,作为全球知名球队的拥有者,她将为了慈善事业,把自己手中的三台PS5进行义卖。
珍妮·巴斯在推特上有43万的粉丝,有些人发现了这条推文端倪,其并未明确的说明合作慈善机构的具体信息,提供的汇款账户也存在异常。珍妮·巴斯在发现账户被盗后,通过湖人队的官方账号说明了此事。目前她已经重新登陆账号,并删除了这条诈骗推文。
2022年8月3日 星期三
今日资讯速览:
1、黑客组织“匿名者”通过六种方式对俄罗斯发动网络战
2、诈骗团伙斥巨资在某搜索平台投广告诈骗5亿元 广告费花费超过2亿元
3、QQ 音乐已在用户主页、信息发布页等位置展示 IP 属地信息
1、黑客组织“匿名者”通过六种方式对俄罗斯发动网络战
编者按
美国网络安全专家总结黑客组织“匿名者”对俄罗斯开展网络攻击的六种方式,并对其攻击效果进行评析。
“匿名者”对俄罗斯网络攻击活动主要分为六类:一是侵入数据库,发布遭攻击实体或人员信息,或篡改和删除被黑文件;二是攻击继续在俄罗斯开展业务的公司,包括屏蔽网站、泄露公司数据等,从而增加公司继续在俄罗斯运营的财务风险;三是通过分布式拒绝服务攻击致瘫网站,导致关键应用程序无法使用甚至运营和生产完全停止;四是培训低级别人员开展基本任务,让技能熟练黑客发起更高级的攻击,同时向乌克兰提供网络安全援助;五是劫持媒体和流媒体服务以发布遭审查的图像和消息;六是直接对俄罗斯人员开展宣传,包括入侵打印机以打印反战和亲乌克兰信息、向俄罗斯社交网站VK用户发送消息以及拨打电话、发送电子邮件和短信等。
网络安全专家称,“匿名者”的持续活动揭开了俄罗斯网络安全能力的“神秘面纱”,让俄罗斯政府及其网络安全技术“处境尴尬”;“匿名者”对俄罗斯网络攻击方式不仅具有高度的破坏性和有效性,而且还改写了如何开展众包现代网络战的规则;“匿名者”泄露的大量信息可能促发更多网络渗透,使得系统“像多米诺骨牌一样倒下”。
奇安网情局编译有关情况,供读者参考。
黑客组织“匿名者”的持续活动正在让俄罗斯及其网络安全技术“处境尴尬”。
美国网络安全公司Security Discovery联合创始人耶利米·福勒表示,自从“匿名者”宣布对俄罗斯发动“网络战争”以来,他一直在关注该黑客组织。
福勒表示,“匿名者使俄罗斯的政府和民间网络防御显得很脆弱。该组织揭开了俄罗斯网络能力的神秘面纱,并成功地让俄罗斯公司、政府机构、能源公司和其他公司感到尴尬。”福勒称,“这个国家可能是‘铁幕’,但以黑客军队在线攻击的规模,它似乎更像是一个‘纸幕’。”
“ 匿名者 ” 声明分类排名
福勒表示,尽管导弹袭击近日占据头条新闻,但“匿名者”及其附属组织并没有失去动力。福勒总结了该组织针对俄罗斯的许多声明,并按照有效性排序分为六类:
01 侵入数据库
声明:
● 发布有关俄罗斯军方成员、俄罗斯中央银行、俄罗斯联邦航天局、石油和天然气公司(Gazregion、Gazprom、Technotec)、物业管理公司Sawatzky、广播公司VGTRK、IT公司NPO VS、律师事务所等的泄露信息
● 篡改和删除被黑文件
福勒表示,“匿名者”声称已经入侵了2500多个俄罗斯和白俄罗斯网站。他说,在某些情况下,被盗数据在网上泄露,数量大到需要数年时间才能审查完毕。福勒称,“最大的发展将是获取、加密或在线泄露的大量记录。”
威胁情报公司Cyberint的安全研究员什穆尔·吉洪同样认为泄露的数据量是“巨大的”。他称,“我们目前甚至不知道如何处理所有这些信息,因为我们没想到会在这么短的时间内获得这些信息。”
02 攻击继续在俄罗斯开展业务的公司
声明:
● 屏蔽被认定为继续在俄罗斯开展业务公司的网站
● 泄露属于瑞士食品公司雀巢的10GB电子邮件、密码和其他数据。雀巢表示,这些说法“没有根据”。
3月下旬,一个名为@YourAnonTV的Twitter账户开始发布据称仍在俄罗斯开展业务的公司的徽标,其中一个帖子发出要求在48小时内撤出俄罗斯的最后通牒,并威胁称“否则你将成为我们的攻击目标。”
通过攻击这些公司,黑客活动分子正在增加继续在俄罗斯运营的财务风险。福勒称,“通过追踪他们的数据或对他们的业务造成干扰,公司所面临的风险远不止销售损失和一些负面公关。”
03 屏蔽网站
声明:
● 封锁俄罗斯和白俄罗斯网站
● 在圣彼得堡国际经济论坛上中断互联网连接,导致俄罗斯总统普京的主题演讲延迟了约100分钟
分布式拒绝服务(DDoS)攻击的工作原理是用足够的流量淹没网站以使其脱机。防御此类攻击的一种基本方法是对外国IP地址进行“地理定位阻止”。福勒表示,通过入侵俄罗斯服务器,“匿名者”据称绕过了这些防御机制。
福勒表示,“被黑服务器的所有者通常不知道他们的资源被用来对其他服务器和网站发起攻击”,与流行的观点相反,DDoS攻击不仅仅是造成轻微不便。他称,“在攻击期间,关键应用程序变得无法使用,运营和生产完全停止。当政府和公众所依赖的服务无法使用时,就会对财务和运营产生影响。”
04 培训新人
声明:
● 培训人们如何发起DDoS攻击并掩盖其身份
● 向乌克兰提供网络安全援助
福勒表示,培训新成员使“匿名者”能够扩大其影响范围、品牌名称和能力。他表示,人们想参与其中,但不知道如何参与,匿名者通过培训低级别行为者完成基本任务来填补这一空白。
这使得技能熟练的黑客可以发起更高级的攻击,例如NB65的攻击。NB65是一个隶属于“匿名者”的黑客组织,该组织7月在Twitter上声称使用“俄罗斯勒索软件”控制了由俄罗斯电力公司Leningradsky Metallichesky Zavod运营的一家制造厂的网域、电子邮件服务器和工作站。
福勒称,“就像在体育运动中一样,职业选手参加世界杯,而业余选手则在较小的场地,但每个人都参加比赛。”
05 劫持媒体和流媒体服务
声明:
● 在俄罗斯24、第一频道、莫斯科24、Wink和Ivi等电视广播中显示遭审查的图像和消息
● 针对国定假日的攻击加剧,包括在俄罗斯“胜利日”(5月9日)入侵俄罗斯视频平台RuTube和智能电视频道列表以及在乌克兰“宪法日”(6月28日)入侵俄罗斯房地产联邦机构Rosreestr
这种策略旨在直接破坏俄罗斯对战争的审查制度,但福勒表示这些信息只会引起“那些想听到它的人”的共鸣。那些俄罗斯公民可能已经在使用VPN绕过俄罗斯审查;其他人员已被监禁或选择离开俄罗斯。
06 直接接触俄罗斯人
声明:
● 侵入打印机并更改杂货店收据以打印反战和亲乌克兰信息
● 向俄罗斯公民发送数以百万计的电话、电子邮件和短信
● 在俄罗斯社交网站VK上向用户发送消息
福勒表示,在所有策略中,“这个最有创意”,但这些活动正在逐渐结束。福勒称,到目前为止,他的研究还没有发现任何怀疑“匿名者”说法的理由。
“匿名者”的效果如何?
福勒称,“匿名者对俄罗斯使用的方法不仅具有高度的破坏性和有效性,而且还改写了如何开展众包现代网络战的规则。”他表示,从数据库泄露中收集的信息可能会显示犯罪活动以及“谁在牵线搭桥以及资金流向”。
然而,安全研究员什穆尔·吉洪表示,大部分信息都是俄语的,网络专家、政府、黑客活动家和日常爱好者可能会仔细研究这些数据,但不会像人们想象的那样多。
吉洪还表示,他认为不太可能发生刑事诉讼。他称,“遭入侵的很多人员都是由俄罗斯政府赞助的,我不认为这些人会很快被捕。”然而,吉洪称,信息泄露确实是相辅相成的。
福勒回应了这种观点,称一旦网络被渗透,系统就会“像多米诺骨牌一样倒下”。黑客也经常也依托其他人的泄密信息,吉洪将这种情况称之为他们工作方式的“谋生之计”。他称,“这可能是稍后会出现的大规模活动的开始。”
福勒和吉洪一致认为,黑客攻击的更直接结果是,俄罗斯的网络安全防御已被揭露为远比以前想象的要弱。然而,吉洪补充称,俄罗斯的进攻性网络能力很强。吉洪称,“我们预计俄罗斯政府会表现出更大的实力,至少在他们的战略资产方面,例如银行和电视频道,尤其是政府实体。”
福勒称,“匿名者”揭开了俄罗斯网络安全实践的面纱,这“让克里姆林宫感到尴尬和沮丧”。
2、诈骗团伙斥巨资在某搜索平台投广告诈骗5亿元 广告费花费超过2亿元
据央视财经频道报道,江苏丹阳警方日前成功破坏某特大诈骗团伙 ,该诈骗团伙成功骗取的资金高达5亿元。
警方介绍称诈骗团伙主攻手机定位等功能,通过在某搜索引擎平台投放广告吸引用户上钩再以各种理由要钱。
极其夸张的是诈骗团伙在某搜索引擎花费的广告费高达2亿余元,也就是诈骗团伙骗到的钱有 2/5 用来推广。
诈骗团伙如此舍得花钱是因为他们认为只有得到有效的推广才能吸引更多用户,最终才能骗到更多用户的钱。
大家鉴定下这是哪家搜索:
央视财经频道报道时也没具体说是哪家搜索平台,从视频里看也比较模糊,放大后大家鉴定下这是哪家搜索。
李某等67人被抓:
从报道来看此次被抓获的李某等人应该是该搜索引擎的广告渠道代理商,主要吸引客户在平台投放搜索广告。
据李某介绍其从事互联网推广业务多年,即便客户没有相应资质他们也可以帮忙搞定,然后在搜索平台推广。
由于案件还在办理中警方尚未透露诈骗团伙的相关信息,但李某及搜索平台应该只是整个诈骗活动中的一环。
李某被抓后也交待称他们帮忙投放的广告曾引起多起消费者投诉,但由于利益驱使他们并没有进行任何处理。
而搜索平台方面也没有对已经上架的广告进行任何巡查,基本是初次审核通过后放任诈骗团伙从事非法活动。
这家搜索平台此前也因类似问题被报道过,每次都是甩锅二次跳转问题,对自己应承担的巡查责任避而不谈。
所谓二跳指的是广告审核上线后广告主修改网页跳转到其他网站,不过平台方日常巡查不可能无法发现问题。
所以说到底平台和李某这种代理商一样,都是在利益驱使下明知很多广告存在问题也基本睁一只眼闭一只眼。
3、QQ 音乐已在用户主页、信息发布页等位置展示 IP 属地信息
IT之家 8 月 2 日消息,在微博、微信等各大互联网平台相继展示 IP 属地信息后,QQ 音乐现已开始展示用户 IP 属地信息。
目前,QQ 音乐安卓与 iOS 最新正式版均已开始展示用户 IP 属地信息,包括个人主页、歌曲评论等页面。
IT之家了解到,根据 QQ 音乐的公告信息,7 月 31 日起,QQ 音乐已在用户个人主页、信息发布页等位置展示 IP 属地,具体展示信息以网络运营商提供信息为准,用户暂时无法主动开启或关闭相关展示。
2022 年度第一季度财报显示,腾讯收费增值服务付费会员数达 2.39 亿,同比增长 6%。腾讯视频拥有 1.24 亿付费会员。在音乐方面,付费会员数增长至 8000 万。
2022年8月2日 星期二
今日资讯速览:
1、黑客称已入侵欧洲制造商 MBDA
2、最新关键 Atlassian Confluence 漏洞已被广泛利用
3、多年考量后NIST公布后量子加密和签名算法的首推名单
1、黑客称已入侵欧洲制造商 MBDA
2、最新关键 Atlassian Confluence 漏洞已被广泛利用
Hackernews 编译,转载请注明出处:
一周前,Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁,其中包含一个关键漏洞,现在这个漏洞已经被广泛利用。
该漏洞追踪为CVE-2022-26138,它涉及在应用程序中使用硬编码密码,未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。
在Twitter上发布硬编码凭据之后,这家澳大利亚软件公司开始优先考虑补丁,以缓解针对该漏洞的潜在威胁。
值得注意的是,这个漏洞只在Confluence应用程序启用时才存在。也就是说,卸载Confluence应用程序并不能修复漏洞,因为在卸载应用程序后,创建的帐户不会自动删除。
建议受影响产品的用户尽快将其本地实例更新到最新版本(2.7.38和3.0.5),或采取措施禁用/删除该帐户。
Palo Alto Networks在其2022年Unit 42事件响应报告中发现,黑客在公开披露新的安全漏洞后15分钟内,会扫描易受攻击的端点。
3、多年考量后NIST公布后量子加密和签名算法的首推名单
美国国家标准技术研究所(NIST)近日宣布已持续数年的后量子加密和签名算法竞赛已落下阶段性帷幕,首批获胜者名单已经出炉。在后量子加密上,NIST 首推 CRYSTALS-Kyber 算法,但后期可能会根据表现有所调整。在签名算法上,NIST 首推 CRYSTALS-Dilithium,以及两款同样优秀的备选算法:Falcon 和 SPHINCS+。
NIST 耗费了很长时间才选定这些获胜者,期间更是经历了多次延期。其中一个重要原因是,未来的量子计算机可能会破坏当前所使用的几乎所有公钥加密。像 RSA 等其他基于椭圆曲线的算法在未来都可以使用强大的量子计算机进行破解。尽管当前这样的量子计算机还未诞生,但是科学家在这方面的研究已经有了进展。
因此,研究人员开始探索即便是量子计算机也无法破解的算法,也就是我们上文所说的是后量子加密学(post-quantum cryptography)。在 2016 年,NIST 宣布希望标准化后量子加密学并寻求建议。
这项竞赛已阶段性结束,不过 NIST 也表示计划未来对其他算法进行调查,再从中确认可以成为标准的算法。而且对于签名算法,NIST 希望能够推动多种加密方式,从而实现算法的多样性。
自然,这也会给获胜者带来巨大的好处。在 NIST 公开的细节中,NIST 提到,它正在与几个潜在相关专利持有人签订专利协议:“如果协议在 2022 年年底前无法执行,那么 NIST 可能考虑使用 NTRU 来替代 Kyber”。NTRU 也是一种比较热门的算法,其专利影响目前已经过期。Kyber 和 NTRU 都是基于 Lattice 的加密算法。
在签名算法方面,该机构选择了 3 款算法,表明了该机构对该领域的犹豫。选中的这 3 款算法都能对像 TLS 这样每天都在使用的协议进行安全替代。其中 Falcon 和 Dilithium 是基于 Lattice 的,而 SPHINCS+ 是基于 hash 的。
Falcon 是三款中体积最小的签名算法,但这在其他方面做出了牺牲:Falcon 需要恒定的浮点算术。如果无法正确计算,那么可能会导致 side-channel 攻击,从而曝光私钥。
SPHINCS+ 是三款中安全性最高的。这项基于 hash 的算法主要依赖基础哈希函数。哈希函数是一个非常知名的加密结构,不过在签名尺寸上存在挑战:基于版本和安全等级,可以达到 8-50 kilobytes。
2022年8月1日 星期一
今日资讯速览:
1、澳大利亚一男子因自15岁起向数万名网络犯罪分子销售间谍软件而被捕
2、涉嫌超范围采集个人隐私信息,17 款移动 App 被点名
3、西班牙一核安全系统遭黑客攻击,部分地区服务中断数月
1、澳大利亚一男子因自15岁起向数万名网络犯罪分子销售间谍软件而被捕
据Techspot报道,一名澳大利亚男子因涉嫌创建并向全球数以万计的网络犯罪分子销售黑客工具而被捕。这名24岁的黑客被指控创建并销售一种远程访问木马,旨在窃取个人信息并监视毫无戒心的目标。该病毒创造者通过销售该工具赚取了30多万美元,其中大部分似乎从其15岁起就被用在了外卖和快递项目上。
24岁的Jacob Wayne John Keen因涉嫌向来自128个不同国家的网络犯罪分子、家庭暴力实施者等人出售名为Imminent Monitor的木马病毒而被捕。该工具允许用户以毫无戒心的受害者为目标,窃取他们的个人数据,跟踪输入文件的信息,并利用目标的网络摄像头和麦克风对他们进行监视。
这次逮捕是在2017年启动的全球刺探行动之后进行的。这项名为"Cephus行动"的全球努力是在澳大利亚联邦警察(AFP)从美国联邦调查局和Palo Alto Networks获得可疑信息后开始的。
据称,Keen在15岁时创建并开始以每个用户35美元的价格出售该工具,当时他住在母亲的出租房里。该工具的收益总额在30万至40万美元之间,直到它在2019年最终被关闭。关闭是在执行几项由 AFP领导的搜查令之后执行的,这些搜查令扣押了被发现包含指向 RAT开发证据的硬件和资产。Keen最近的逮捕是基于世界各地的参与执法机构向AFP提供的额外证据。
根据 AFP的报告,该工具被用来监视全球数以万计的受害者,而该工具的买家中至少有200人直接来自澳大利亚。在这些来自澳大利亚的嫌疑人中,有很多人被发现参与了以前的家庭暴力电话,这种关联性在一定程度上说明了什么样的犯罪分子利用了这种邪恶的工具。对可能使用该工具的其他行为者的调查仍在进行中。
当局分析的证据显示,在Keen9年多的参与过程中,黑客工具的大部分收益被用来购买外卖食品。本月早些时候,他遭到了六项指控,并计划在8月的某个时候出庭。Keen的母亲似乎也知道这些犯罪活动并从中受益。她还被指控从事侵入性工具的销售并从中获益。
2、涉嫌超范围采集个人隐私信息,17 款移动 App 被点名
IT之家 7 月 29 日消息,近期,国家计算机病毒应急处理中心监测发现 17 款移动 App 存在隐私不合规行为,违反《网络安全法》《个人信息保护法》相关规定,涉嫌超范围采集个人隐私信息。
1、未向用户告知个人信息处理者的名称或者姓名和联系方式,或处理的个人信息种类、保存期限,涉嫌隐私不合规。涉及 4 款 App 如下:
《杜绍斐 DUSHAOFEI》(版本 3.1.1,应用宝)
《觅上》(版本 3.5.1,豌豆荚)
《乐业天空》(版本 2.9.20,360 手机助手)
《海豚家》(版本 2.9.7,百度手机助手)
2、未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及 15 款 App 如下:
《货车帮司机》(版本 8.27.4,应用宝)
《运满满货主》(版本 7.27.4.0,应用宝)
《杜绍斐 DUSHAOFEI》(版本 3.1.1,应用宝)
《重装战姬》(版本 1.34.0,TapTap)
《魔法纪录 魔法少女小圆外传》(版本 2.1.10,TapTap)
《滑雪大冒险》(版本 2.3.8.14,豌豆荚)
《觅上》(版本 3.5.1,豌豆荚)
《粉萌日记》(版本 2.3.8,豌豆荚)
《麦田数学》(版本 3.5.9,豌豆荚)
《CC 直播》(版本 3.9.16,安智市场)
《横店电影城》(版本 6.5.2,360 手机助手)
《酷安》(版本 12.3.2,360 手机助手)
《苏小团》(版本 3.7.3,360 手机助手)
《乐业天空》(版本 2.9.20,360 手机助手)
《海豚家》(版本 2.9.7,百度手机助手)
3、向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,涉嫌隐私不合规。涉及 6 款 App 如下:
《滑雪大冒险》(版本 2.3.8.14,豌豆荚)
《杜绍斐 DUSHAOFEI》(版本 3.1.1,应用宝)
《横店电影城》(版本 6.5.2,360 手机助手)
《觅上》(版本 3.5.1,豌豆荚)
《乐业天空》(版本 2.9.20,360 手机助手)
《海豚家》(版本 2.9.7,百度手机助手)
4、App 在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及 1 款 App 如下:
《觅上》(版本 3.5.1,豌豆荚)
5、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及 4 款 App 如下:
《天气通》(版本 7.68,360 手机助手)
《滑雪大冒险》(版本 2.3.8.14,豌豆荚)
《觅上》(版本 3.5.1,豌豆荚)
《苏小团》(版本 3.7.3,360 手机助手)
6、通过自动化决策方式向个人进行信息推送、商业营销,未提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式,涉嫌隐私不合规。涉及 2 款 App 如下:
《横店电影城》(版本 6.5.2,360 手机助手)
《粉萌日记》(版本 2.3.8,豌豆荚)
7、处理敏感个人信息未取得个人的单独同意,涉嫌隐私不合规。涉及 7 款 App 如下:
《新浪金融》(版本 3.9.34,豌豆荚)
《货车帮司机》(版本 8.27.4,应用宝)
《运满满货主》(版本 7.27.4.0,应用宝)
《重装战姬》(版本 1.34.0,TapTap)
《魔法纪录 魔法少女小圆外传》(版本 2.1.10,TapTap)
《CC 直播》(版本 3.9.16,安智市场)
《乐业天空》(版本 2.9.20,360 手机助手)
8、处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则,涉嫌隐私不合规。涉及 2 款 App 如下:
《新浪金融》(版本 3.9.34,豌豆荚)
《乐业天空》(版本 2.9.20,360 手机助手)
IT之家了解到,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动 App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
3、西班牙一核安全系统遭黑客攻击,部分地区服务中断数月
安全内参7月28日消息,西班牙警方宣布,已逮捕两名黑客。据悉,二人应对2021年3月至6月期间针对辐射警报网络(RAR)的攻击行为负责。
两名被捕者是外包商前员工,曾负责按合同为西班牙民防和紧急情况总部(DGPGE)提供辐射警报网络系统维护服务。正因如此,二人对该系统的运作原理及如何实施针对性网络攻击有着深入了解。
两名被捕人员曾非法访问紧急情况总部网络,并试图删除控制中心内的辐射警报网络管理Web应用程序。
与此同时,二人还对传感器发起单独攻击,断开了它们与控制中心间的连接,破坏了数据交换,导致分布在西班牙全国的800个传感器中的300个停止工作。
当局发现这一违规行为,并在国家警察网络犯罪部门的协助下立即开展调查后,针对辐射警报网络的破坏活动于2021年6月停止。最终,在追踪黑客行迹一年之后,警方终于发现了这起网络攻击的责任人。
“经过对被破坏传感器的所有通信内容,以及与被入侵计算机系统相关的数据进行长达一年的调查与详细技术刑侦分析,最终发现数据源头可能来自马德里市中心一家知名酒店的公共网络,网络攻击的幕后黑手也由此被确定。”
- 西班牙国家警察总局
警方在公告中指出,“根据马德里第39号调查法院发布的两项命令,警方在马德里和圣奥古斯丁德瓜达利克斯展开协同行动,对两所房屋和一家公司进行了搜查,发现了大量与案件相关的计算机和通信设备。”
图:西班牙警察从没收的设备中收集证据。
攻击引发严重核安全风险
西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆,支撑着全国约五分之一的电力需求。
辐射警报网络系统的作用是:检测辐射水平的异常上升并发出警报,以帮助政府当局采取保护措施、检测问题并施以补救。
辐射警报网络系统共在西班牙全国各特定位置部署有800个伽马辐射传感器,每个传感器都通过电话线路接入紧急情况总部总部的控制中心。
此次网络攻击导致其中300个传感器无法将计数传输回控制中心,使得西班牙面临严重风险,无法立即对辐射激增事件做出响应。
警方并未在公告中提供进一步细节,因此尚不清楚嫌疑人发动攻击的具体原因。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
