adv

adv
致长期以来一直关注solidot的海内外朋友,请点击这里查看。
Chrome
pigsrollaroundinthem(39396)
发表于2017年07月31日 13时27分 星期一
来自新趋势
Chrome 和Firefox 扩展 Copyfish 的开发者发出安全警告,他们遭到了针对性的钓鱼攻击,团队成员不小心在钓鱼页面输入了密码,攻击者随后劫持了 Copyfish for Chrome 的账号,将 Copyfish 转移到他们控制的账号,并释出了恶意更新,在用户浏览的页面插入广告。Copyfish for Firefox 扩展没有受到影响。开发者尝试联系了 Google,但至今没有接触到任何能提供帮助的活人。攻击者被认为来自俄罗斯圣彼得堡。
安全
pigsrollaroundinthem(39396)
发表于2017年07月30日 22时28分 星期日
来自十八大道
在拉斯维加斯举行的 Black Hat 安全会议上,阿里巴巴安全部门的研究人员演示了用声音和超声攻击依赖于来自陀螺仪、加速度计等微机电系统传感器输入信号的智能设备。这种声音武器在理论上可以让无人机坠落、让机器人发生故障,让虚拟现实和增强现实软件失去方向感,让用户从平衡板上摔倒下来,它潜在的还可用于攻击自主驾驶汽车或干扰汽车的安全气囊传感器。大多数商用陀螺仪都是音叉式陀螺仪,如果外源振动与陀螺仪的共振频率相匹配,会导致传感器向设备发送错误的数据。通过将声音信号调谐到微机电系统的共振频率,研究人员演示他们能让传感器失效或发送致命数据,导致依赖传感器的设备和软件发生故障。阿里巴巴的研究人员演示了对 iPhone 7、三星 Galaxy S7、深圳大疆无人机、虚拟现实显示器、小米电动平衡板等设备的攻击。
安全
pigsrollaroundinthem(39396)
发表于2017年07月29日 23时47分 星期六
来自抢银行用机器人
本周在拉斯维加斯举行的 Def Con 安全会议上, SparkFun Electronics 的黑客利用廉价的机器人在半小时左右时间里破解了 SentrySafe 的保险箱。机器人能将保险箱的密码可能组合数从 1 百万减少到 一千,然后自动快速尝试直至破解。利用 3D 打印组件,200 美元的机器人可以匹配大多数品牌的保险箱。黑客利用了保险箱数字表盘的凹槽大小和设计允许的误差范围来大幅降低密码的可能组合数。
安全
pigsrollaroundinthem(39396)
发表于2017年07月28日 16时19分 星期五
来自借鉴
开源自由软件 IDS/IPS/NSM(入侵检测/防御系统/网络安全监视) 项目 Suricata 释出了 4.0 版。主要新特性包括:加入和改进了检测 HTTP、SSH 等协议的规则关键字,支持 STARTTLS,解密 TLS 证书序列号、使用 Rust 语言重新实现了部分功能,对 Rust 的支持仍然处于实验阶段,更新 TCP 流引擎,等等。
安全
pigsrollaroundinthem(39396)
发表于2017年07月27日 16时00分 星期四
来自研究导弹要钱
韩国金融研究机构 Korea Financial Security Institute 发表报告称,朝鲜的网络军队已分化成多个组织,正在进行有协调的网络攻击,且越来越多的攻击旨在将被盗窃的资金转移至朝鲜。上述情况标志着朝鲜军方网络攻击模式的一个重大转变,此前其发动的攻击主要使为了获取军事信息、破坏网络稳定或进行恐吓。这也体现出在当前受制于金融制裁措施的情况下,朝鲜发展迅速但成本高昂的核导弹项目的资金需求正在加速上升。
微软
pigsrollaroundinthem(39396)
发表于2017年07月27日 11时40分 星期四
来自黑市更贵
微软宣布了 Windows bug 悬赏计划,奖金金额最低 500 美元,最高 25 万美元。自 2012 年以来,微软推出了多个针对不同 Windows 特性的 bug 悬赏计划,最新的活动针对的是 Windows 10 及其内部预览版,以及 Hyper-V、Mitigation bypass、Windows Defender Application Guard 和 Microsoft Edge,其中 Hyper-V 的赏金最高。微软称,如果安全研究人员报告了一个已被微软内部发现的漏洞,那么奖金将是可能获取到的最高奖金的十分之一。
安全
pigsrollaroundinthem(39396)
发表于2017年07月25日 17时28分 星期二
来自输出
上个月,安全公司 Check Point 研究人员报告,总部位于北京海淀的中国数字营销公司卿烨科技的广告程序感染了全世界 2.5 亿台计算机,而这个广告程序可以很容易转变成恶意程序下载器。恶意的广告程序叫 Fireball,能在受害者的计算机上执行任意代码,下载任意文件或恶意程序,能劫持和操纵 Web 流量产生广告收入。微软后来发表声明称这个数字有点夸张了。现在官方媒体报道,北京海淀警方控制了 11 名涉案人员,其中 9 人涉嫌破坏计算机系统罪被批捕。官媒称,这起案件最初是一名网民在看到相关报道后举报的。报道称:“‘目前被批捕的 9 人是公司的骨干人员,都很年轻,有过几年的 IT 行业的从业经验,也有一定的反侦查意识’,办案民警介绍,该网络公司位于北京市海淀区,成立于 2015 年底,对外名义上是网络科技公司,由马某任公司总裁,鲍某和莫某任公司技术总监和运营总监。公司的规模在 100 多人左右,分别负责开发正常软件、开发恶意代码,专门测试恶意代码和正常代码捆绑后的效果等。’...在开发出 Fireball 恶意软件之后,考虑到国内网络安全监管严厉,为了躲避国内监管,就在国外开通账户,然后将该恶意软件捆绑正常的软件投放在国外软件市场进行传播...该公司国外的账户,仅在去年就非法获利近 8000 万人民币。”
安全
pigsrollaroundinthem(39396)
发表于2017年07月25日 16时26分 星期二
来自间谍软件
安全研究人员发现了一种神秘的 Mac 恶意程序,它能截屏、记录按键,访问摄像头和获取其它敏感信息。在披露之后,苹果已经释出更新自动检测出恶意程序。被称为 Fruitfly 的恶意程序的活跃时间至少五年,甚至可能长达十年。安全研究员设法破解出恶意程序硬编码的备用域名,发现这些域名仍然可注册,在注册了其中一个域名两天之后,有近 400 台机器连接了服务器。大部分被感染的机器位于美国境内。恶意程序的真正目的并不清楚,研究人员称,没有证据显示恶意程序能被用于安装勒索软件或收集银行凭证。Fruitfly 使用的方法被认为很容易检测出,但不知是什么原因,在很长时间内它却处于雷达之外,直到最近才被发现。
比特币
pigsrollaroundinthem(39396)
发表于2017年07月25日 11时31分 星期二
来自
Veritaseum 证实一名黑客从该公司的首次代币发行中窃取了 840 万美元。它是一个月内第四家被黑的以太坊平台和第二家遭到黑客攻击的首次代币发行。首次代币发行类似首次公开发行股票,但买家购买到的不是股票而是令牌,买家可以保留令牌直至公司赎回,或者也可以将令牌卖给其他用户换取以太坊。Veritaseum 上周日的首次代币发行发售了它的 VERI 令牌,黑客入侵了它的系统,窃取了 VERI 令牌并迅速将其挂到市场上销售,从中获得了 840 万美元。
安全
pigsrollaroundinthem(39396)
发表于2017年07月24日 20时20分 星期一
来自fork
一家创业公司被发现悄悄接手了多个流行开源项目,然后在代码中插入广告和间谍软件。这家创业公司叫 Kite,由 Adam Smith 创办,它雇佣了流行 Atom 编辑器扩展 Minimap 的作者 @abe33,其真名叫 Cédric Néhémie。Minimap 的下载量超过 350 万,在被 Kite 雇佣后,@abe33 更新了程序,加入了新的功能,通过观察用户代码然后插入 Kite 的网页链接,Kite 声称这是一项有用的功能,但程序员们认为这是不相关服务的广告。Minimap 的情况并非唯一。Kite 还被发现接管并更新了另一个下载量接近一百万的开源项目 autocomplete-python,社区开发者仔细检查了新版 autocomplete-python 的源代码,发现它默认启用了 Kite 的引擎,Kite 的引擎要求代码使用 Kite 的云服务处理,这意味着需要将数据发送给 Kite。
安全
pigsrollaroundinthem(39396)
发表于2017年07月24日 20时02分 星期一
来自红军蓝军
对黑客攻击、信息泄露和网络战争来说,2017 年已是具有标志性意义的一年。网络世界对真实世界构成的威胁前所未有的严重,且局面还在恶化。如今,网络攻击对企业和个人所造成的直接影响是第一次冷战期间的核战争威胁所无法企及的。在那个时代,虽然核毁灭的威胁笼罩着所有人,但大国的隐秘行动与企业的日常运作相隔甚远。今天,企业已经被深深地卷入网络旋涡而无法脱身,而恐怖分子、网络罪犯和有国家背景的黑客的行动目标又往往飘忽不定,让局面雪上加霜的是,战争的结果是企业也被殃及池鱼,即使他们甚至都不是冲突中的任何一方。通过 Stuxnet 蠕虫,美国以相当明显的方式促成了这一局面。
安全
pigsrollaroundinthem(39396)
发表于2017年07月24日 13时20分 星期一
来自乌云上的乌云
中国的漏洞报告网站乌云已经关闭(aka 升级)了一整年,网站高管至今下落不明。在乌云关闭前,曾发生了一起引发广泛关注的事件:一位白帽子黑客向乌云报告了世纪佳缘的漏洞,但随后他因为世纪佳缘的举报而遭到警方的逮捕。同样的事情也在国外发生了:匈牙利逮捕了一名 18 的少年黑客。他发现了公交管理局 Budapesti Közlekedési Közpon 在线售票系统的漏洞,该漏洞允许任何人打开浏览器的开发者工具,然后修改源代码,改变定价。他将漏洞报告给了 BKK,BKK 选择了报警和指控他黑了他们的系统。在逮捕黑客的新闻发布会,该机构还宣称他们的系统是安全的。结果更多的漏洞开始曝光,该机构还被发现每年在 IT 系统的维护上支付 100 万美元。在该机构的 Facebook 页面,4.5 万用户留下了 1 星的评价。
比特币
pigsrollaroundinthem(39396)
发表于2017年07月21日 20时07分 星期五
来自数字宝库
7 月 19 日,未知黑客利用漏洞从多签名钱包窃取了超过 15.3 万以太坊,价格超过三千万美元。在攻击发生之后,名为 The White Hat Group 的组织发现没有办法阻止攻击,因此利用相同的漏洞赶快提取出未被黑客盗出的以太坊。如果不及时提取,攻击者有可能获取到超过 1 亿美元的以太坊。这一切究竟是怎么发生的?以太坊的交易依赖于名为智能合约的程序,攻击者利用的漏洞不存在于 以太坊或钱包客户端 Parity 中,而是存在于默认的智能合约代码中。漏洞十分简单,智能合约中的一个 bug 允许攻击者初始化钱包,相当于恢复到出厂设置,然后就可以自由的将钱包中的以太坊转移给新主人。
Chrome
pigsrollaroundinthem(39396)
发表于2017年07月21日 12时32分 星期五
来自封杀 Chrome
去年,中国 CA WoSign 被发现有严重问题,其中最严重的是故意倒填证书日期绕过浏览器对 SHA-1 证书的限制。主要浏览器开发商要求所有 CA 在 2016 年 1 月 1 日之后停止签发 SHA-1 证书,然而沃通 CA 在 2016 年 1 月 1 日之后仍然签发了 SHA-1 证书,通过故意倒填日期,将这些证书伪装成是在 2016 年前签发的。Mozilla 和 Google 先后宣布将停止对 WoSign 及其收购的 StartCom 新证书的信任。Google 是从 Chrome 56 开始停止信任 WoSign 和 StartCom 签发的新证书,但仍然信任 2016 年 10 月 21 日前签发的证书。现在 Google 安全博客宣布从 Chrome 61 开始完全取消对 WoSign 和 StartCom 证书的信任。Chrome 61 预计将在 9 月中旬发布稳定版。
安全
pigsrollaroundinthem(39396)
发表于2017年07月18日 15时47分 星期二
来自笑倒
数字货币平台 CoinDash 于 7 月 17 日开始名为 Token Sale 的代币众售活动,然而众售网站上列出的以太坊地址被人纂改了,官方的地址被替换为攻击者的“0x6a164122d5cf7c840D26e829b46dCc4ED6C0ae48”,不疑有诈的投资者与该地址进行了 2134 次交易,未知攻击者获取了价值达 832 万美元的以太坊。CoinDash 官网发表紧急声明,表示会对受害者负责,会按照原有兑换比例发放它的代币。它已经关闭了 Token Sale ,在关闭之后如果还有人向该地址发送以太坊,CoinDash 不会对此负责。有开发者在 Reddit 上声称在 CoinDash 的众售网站上发现了多个 bug 和许多错误, 然而 bug 报告遭到了官方的忽视。
安全
pigsrollaroundinthem(39396)
发表于2017年07月17日 16时24分 星期一
来自合同工
卡塔尔与中东领国之间的外交危机是由一篇于 5 月 24 日刊登在卡塔尔官方通讯社网站上的文章引发的。在称赞伊朗和以色列的文章发表之后,卡塔尔通讯社声称它的网站遭到了入侵,并立即删除了文章。尽管如此,沙特和阿联酋、埃及等国随后宣布与卡塔尔断交。现在,《华盛顿邮报》援引美国情报官员的消息报道,是阿联酋策划了这一切。美国情报机构近期分析的情报显示,在 5 月 23 日,阿联酋政府高级官员讨论了这项计划。但不清楚是阿联酋实施了入侵或者是招募黑客发动了攻击。阿联酋驻华盛顿大使发表声明,声称该报道是假新闻。
安全
pigsrollaroundinthem(39396)
发表于2017年07月17日 12时46分 星期一
来自软件巨人不会 QA 了
微软撤回了三个 Outlook 补丁: KB 4011042KB 3191849KB 3213654,这三个补丁是为了修复上个月释出的 Office 安全更新时引入的一系列新 bug,撤回补丁意味着新 bug 还没有任何修正。目前不清楚微软为什么撤回这些修复旧补丁的新补丁。如果用户启用了自动更新,这意味着补丁已经安装到了你的设备了,微软没有特别推荐卸载这些补丁。
安全
pigsrollaroundinthem(39396)
发表于2017年07月16日 16时18分 星期日
来自安全第一
Google 准备修改它的二步认证方案,用移动设备上的提示取代一次性的短信代码。原因是 SS7 协议攻击允许攻击者控制用户的手机号码获取一次性短信代码。新的功能预计将从下周开始测试,Google 将邀请用户使用,用户可以选择拒绝继续用旧的认证方案。使用这项功能需要有一部联网的智能手机,苹果用户的手机需要安装 Google 搜索应用。每次用户尝试登录时,手机将会弹出提示要求用户批准,用户只需要点击一个按钮批准即可。
安全
pigsrollaroundinthem(39396)
发表于2017年07月15日 19时44分 星期六
来自关闭自动更新
一个流行的 Chrome 扩展出售给了一家企业,这家企业随后释出更新将其变成了广告软件。该扩展名为 Particle (前称 YouTube+),允许用户改变 YouTube 部分标准功能的 UI 和行为。扩展作者 ParticleCore 在今年 5 月宣布将放弃该扩展,因为 YouTube 即将释出的新 UI 将会破坏 Particle 的功能,所以决定从头开发一个新的扩展叫 Iridium。在 5 月到 7 月 11 日之间的某个时间,一家企业接触了 ParticleCore 表示要收购 Particle,让  ParticleCore 自己开个价格。ParticleCore 开出了一个高价,而这家用户名叫 roberthawkinsg 的企业接受了。ParticleCore 称在决定出售前调查了对方,没有发现可疑信号。双方还签署了保密协议。7 月 11 日,新拥有者释出了更新,向 Google、Yahoo、Bing、Amazon、eBay 等流行网站注入广告。用户去 Particle 的 Github 页面投诉才知道该扩展已经换了拥有者。
安全
pigsrollaroundinthem(39396)
发表于2017年07月13日 10时13分 星期四
来自刚
匿名读者 写道 "之前沃通宣布其通过了 Cure 53 白盒子安全测试。但沃通只公布了报告的总结版。Google 在阅读报告的完整版之后认为 “根据完整版的安全测试报告,沃通新系统不符合 (BR non-compliance) 发放证书的基本要求。现有的系统并不能通过审计,沃通现有系统需要相当多的修改才能通过审计。” 欢迎大家在论坛上围观沃通王高华和 Google 的正面冲突。"