adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
安全
pigsrollaroundinthem(39396)
发表于2017年09月27日 12时13分 星期三
来自习惯就好
Google 自 2015 年起开始大力推广它的 AMP(Accelerated Mobile Pages),提供一种方式为智能手机用户优化网站内容访问。AMP 是网站的一个简化版本,Google 会在搜索结果中预加载这个简化版,如果用户点击包含 AMP 网页的结果可以即时显示。然而问题是在移动设备上用户只会看到 Google 的域名而看不到源域名,这种显示方式就为钓鱼攻击留下可供利用的空间,毕竟用户显然对 Google 非常信任。与俄罗斯政府有关联的黑客组织 Fancy Bear(aka APT28)就被发现利用这个漏洞尝试发动钓鱼攻击,窃取 Gmail 用户的密码。这一 bug 早在 2016 年 11 月就被报告给了 Google,但该 bug 报告于 2017 年 2 月关闭,9 月 13 日锁定。
安全
pigsrollaroundinthem(39396)
发表于2017年09月26日 13时21分 星期二
来自调整活动时间
安全公司 Avast 旗下的免费软件 CCleaner 最近被攻击者植入了后门,227 万 PC 下载了包含后门的恶意版本,其中至少 40 台隶属于知名科技公司的 PC 被植入了后续恶意代码。Avast 官方博客称,这是一次 APT 攻击,攻击针对的是特定的高科技和电信公司。虽然 CCleaner 是一款消费者级产品,但攻击的意图不是消费者及其数据,而是那些能访问特定公司企业网络的 CCleaner 用户。攻击分两个阶段,第一阶段是利用后门版 CCleaner 感染用户,然后利用收集到的感染信息选择性的发动第二阶段攻击。Avast 称,攻击者使用的 CC 服务器在曝光前发生了崩溃事故,原因是硬盘空间不足,因此 CC 服务器只保留了 3.5 天的数据库。但在崩溃前攻击者在另一台服务器上备份了数据库。在托管商和执法机关的帮助下,他们分析了崩溃后的数据库和备份数据库(有 40 小时的数据丢失),发现与 CC 服务器的总连接数是 5,686,677,唯一 MAC 地址数是 1,646,536,有 40 台 PC 遭到了第二阶段的攻击。这些 PC 分别属于台湾中华电信(13 台)、日本电气(10)、韩国三星(5)、台湾华硕(2)、日本富士通(2)、日本索尼(2)、美国的 Dvrdns、英国的 O2、德国的 Gauselmann、新加坡电信、英特尔和 VMware。从 227 万中选择 40 台入侵,这显然是一次针对性的攻击。Avast 称,多个线索显示攻击源头来自中国,但攻击者的活跃时间并非是 UTC + 8,目前还无法确认攻击者身份。
安全
pigsrollaroundinthem(39396)
发表于2017年09月25日 13时26分 星期一
来自不信任区
研究人员演示了利用电源管理入侵 ARM TrustZone,把 TrustZone 变得不那么能受到信任。今天的大多数 CPU 都支持动态电压频率调整,根据 CPU 是空闲或忙碌来动态的调整 CPU 的电压和频率。研究人员发现,他们可以通过调大调小一个线程的电压来翻转另一个线程的比特。当第二个线程正被 TrustZone 密钥的时候翻转比特,研究人员就获得了权限。他们将这种新型硬件故障攻击称为 CLKSCREW 攻击,称它是硬件 bug,而不是软件 bug,很难简单的修复,存在于电源管理设计的基础部分。
安全
pigsrollaroundinthem(39396)
发表于2017年09月23日 22时50分 星期六
来自手快
Adobe 的产品安全事故响应团队(PSIRT)的成员在官方博客上公开其电邮账号PGP 公钥的同时一并公开了私钥。安全研究人员 Juho Nurminen 发现了这次意外,并证实私钥关联邮件账号 psirt@adobe.com。发生这次安全事故的原因很可能是一名团队成员使用浏览器扩展 Mailvelope 从团队的共享电邮账号里提取文本,他本应该点击“公开”的按钮但却点击了“所有”,将私钥在内的文本都提取了出来。目前私钥已经移除,重新公布了一个公钥。
safari
pigsrollaroundinthem(39396)
发表于2017年09月23日 21时42分 星期六
来自一视同仁
Google Project Zero 团队工程师 Ivan Fratric 开发了一个新的模糊测试工具去测试浏览器的 DOM 引擎,DOM 引擎用于读取 HTML 代码,然后将其组织到 DOM (Document Object Model)中。名叫 Domato 的测试工具源代码已经发布在 GitHub 上,它是 Google 工程师创造的第三种开源模糊测试工具,其它两种分别是 OSS-Fuzzsyzkaller。Fratric 使用 Domato 测试了五大主流浏览器,发现苹果的 Safari 浏览器 DOM 引擎有着最多的安全 bug,测试发现了 17 个新 bug,其次是 Edge 发现了 6 个,IE 和 Firefox 发现了 4 个, Chrome 只发现了 2 个。研究人员以 DOM 引擎为目标是因为他们相信在 Flash 插件于 2020 年退役后 DOM 将会成为下一个浏览器漏洞利用目标。
安全
pigsrollaroundinthem(39396)
发表于2017年09月22日 19时26分 星期五
来自微信说它是端对端加密
英国 Sky News 援引匿名消息来源报道,流行消息应用 WhatsApp 今年夏天拒绝了英国政府要求创造后门访问加密消息的要求。WhatsApp 采用端对端加密,它自身也无法解密加密信息的内容。它与执法部门的合作主要是提供元数据。英国政府多次公开表示要求科技公司采取措施削弱加密,声称 80% 的恐怖主义和严重犯罪案件调查都受到加密的影响。加密专家认为为政府创建后门将会削弱每一个人的加密,会成为黑客的主要攻击目标。
安全
pigsrollaroundinthem(39396)
发表于2017年09月21日 16时10分 星期四
来自军方黑客
32 位版的 CCleaner v5.33 被人悄悄植入了恶意代码,收集有关被感染机器的特征信息,似乎危险性并不大,但这些情报显然是为第二阶段的针对性攻击做准备。思科 Talos安全团队分析了第三方提供的恶意程序指令控制服务器上的 MySQL 文件,发现攻击者的真正感兴趣的目标是一些著名的科技企业,包括了新加坡电信、宏达电、三星、索尼、VMware、英特尔、微软、思科、沃达丰、微星科技、友讯科技等。研究人员称,至少有 20 个主机遭到了第二阶段的攻击。研究人员建议被感染的用户使用备份或镜像重新安装系统。对植入 CCleaner 的恶意代码的分析还显示,它与 Operation SMN 背后的中国 ATP 组织 APT17 共享了代码,但并不能证明攻击者来自中国。
安全
pigsrollaroundinthem(39396)
发表于2017年09月21日 11时09分 星期四
来自NSA 已经知道了
Positive Technologies 的安全研究人员将在 12 月举行的欧洲 Black Hat 安全会议上报告针对英特尔 Management Engine 的漏洞利用。从 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,有自己的操作系统和程序,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图,其功能可视为系统的“上帝模式”。研究人员称,ME 运行了一个修改版的 MINIX 操作系统——就是与 Linus Torvalds 展开著名论战的荷兰 Vrije 大学教授 Andrew Tanenbaum 开发的微内核。研究人员在 Intel ME v11+ 上发现了一个漏洞,允许攻击者在 ME 所在的平台控制单元运行未签名代码。主系统的用户可能察觉不到他们的计算机包含了一个无法清除的恶意程序。
Chrome
pigsrollaroundinthem(39396)
发表于2017年09月20日 16时51分 星期三
来自企业不用 FF
德国 IT 安全机构 X41 D-Sec 的研究人员分析了(PDF) Google Chrome、Microsoft Edge 和 Internet Explorer 在企业使用场景下的安全性,发现 Chrome 最能抵御攻击。这项研究得到了 Google 的资助,但研究人员声称搜索巨人并没有干预其研究。这项研究没有测试 Firefox、Safari 和 Opera 等浏览器。研究人员发现,IE 因为其弱沙盒而安全性较差,Edge 因为使用了更强的沙盒技术不存在遗留的技术而更能抵御利用,Chrome 因严锁组件和职责分隔而最能抵御攻击,但它支持更多的现代 Web 技术而增加了攻击面。
安全
pigsrollaroundinthem(39396)
发表于2017年09月19日 12时02分 星期二
来自说不定还有
美国信用巨头 Equifax 本月早些时候承认 1.43 亿美国消费者敏感信息泄漏,攻击发生在五月中旬,直到 7 月 29 日才被发现,攻击者利用了一个已修复的 Apache Struts 漏洞。彭博社报道称,Equifax 不只是遭到一次入侵而是两次,第一次入侵发生在今年三月份,这次入侵与最近披露的事件不相关,但涉及到了相同的入侵者。两次入侵 Equifax 都雇佣了同一家安全公司 Mandiant 进行调查。Equifax 的三名高管在披露第二次黑客攻击前出售了股票,该公司声称这三名高管对事件不知情,但两次入侵事件使得形势变得复杂化了,只要三名高管知道任意一次入侵,他们就可能容易受到内幕交易的指控。美国司法部已经对此次股票出售展开了犯罪调查。
安全
pigsrollaroundinthem(39396)
发表于2017年09月18日 17时48分 星期一
来自不更新的好处
思科 Talos 安全团队报告,流行的系统维护软件 CCleanup 被发现植入了恶意代码,受影响的版本是 32 位的 CCleaner 5.33,如果你过去一个月没有升级,你没有受到的影响。v5.33 是在 2017 年 8 月 15 日发布的,直到 9 月 11 日才从官方服务器上移除,v5.33 使用了有效证书签名,暗示开发商 Piriform 的开发或签名流程存在严重问题。Piriform 最近被安全公司 Avast 收购。CCleanup 是非常受欢迎的软件,每周的下载量超过 500 万,这意味着有大量用户下载了恶意版本的 CCleanup。
安全
pigsrollaroundinthem(39396)
发表于2017年09月18日 16时50分 星期一
来自推广 Check Point 的安全产品
Windows 10 引入了 Subsystem for Linux(WSL),让用户 在 Bash 终端运行 Linux 可执行文件。安全公司 Check Point Research 的研究人员报告了利用 WSL 的新攻击方法,他们称之为 Bashware 攻击。研究人员称,现有的安全产品还没有适应去监视运行在 Windows 操作系统上的 Linux 可执行程序的进程,从而为网络犯罪分子打开了新的大门,利用 WSL 提供的功能躲避检测运行恶意代码。研究人员在现有的杀毒软件和安全产品上测试了 Bashware 攻击,发现它能躲避所有安全产品的检测。
Python
pigsrollaroundinthem(39396)
发表于2017年09月17日 21时23分 星期日
来自粗手指
在 Node.js 项目的包管理器 NPM 发现利用名字相似性传播的恶意程序后,Python 官方的第三方软件库 PyPI(Python Package Index)也被发现遭到了类似的攻击。攻击者上传了名字相似的恶意模块,这些恶意的软件包包含了正确的代码,但修改了安装脚本。假软件包上传的时间从 6 月一直持续的 9 月。安全研究人员有意上传了 20 多个恶意库,结果在两天时间内被下载了 7000 多次。研究人员建议 Python 和 PyPI 开发者寻找方法阻止此类的攻击。
安全
pigsrollaroundinthem(39396)
发表于2017年09月17日 19时56分 星期日
来自文明举报
安全研究员 Ed Foudil 向互联网工程任务组(IETF)递交了一个 Security.txt 草案,寻找标准化网站的安全政策,这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。举例来说,如果一名安全研究人员发现了一个网站的漏洞,他可以访问该网站的 security.txt 文件,获取如何联络公司和递交安全漏洞报告。security.txt 文件包含了如下信息: #This is a comment Contact: security@example.com Contact: +1-201-555-0123 Contact: https://example.com/security Encryption: https://example.com/pgp-key.txt Acknowledgement: https://example.com/acknowledgements.html Disclosure: Full 但就像一些爬虫会无视 robots.txt 去抓取网站内容,security.txt 看起来也容易被滥用,比如被垃圾信息发送者滥用。
安全
pigsrollaroundinthem(39396)
发表于2017年09月15日 16时31分 星期五
来自机器人容易愚弄
安全公司 Check Point 的研究人员在官方应用市场 Google Play 发现至少 50 个应用会在用户不知情下订阅欺骗性的付费短信服务和收取费用。研究人员将这个恶意应用家族称为 ExpensiveWall,这些应用通过打包隐藏恶意功能躲避 Google Play 的恶意程序扫描。一旦安装,它们会悄悄上传手机号码和硬件识别符等信息到攻击者控制的服务器,使用手机号码注册增值服务,发送假的增值短信。这些应用的下载量在 590 万到 2110 万之间。Google 在接到通知后移除了应用,但攻击者再次成功渗透到官方市场,在移除前又安装到了5000 多台设备上。
安全
pigsrollaroundinthem(39396)
发表于2017年09月15日 10时09分 星期五
来自然而人家上面有人
匿名读者 写道 "火狐发表公开评论,认为奇虎 360 工程师写的 StartCom 程序是灾难性的(security disaster),StartCom 的新 PHP 代码由奇虎 360 工程师编写,到处都是漏洞 (full of holes),注释很差(poorly commented),很少或根本没有测试(few or no tests)。

之前,StartCom 被发现使用交叉签名逃避浏览器的限制。火狐将把交叉签名证书也加入黑名单,并明令禁止任何机构对 StartCom 进行交叉签名,逃过火狐的限制。"

安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 20时20分 星期四
来自快钱
就像 Chrome 扩展出售之后被加入广告程序,一款名叫 Display Widget 的 WordPress 插件出售之后被新拥有者加入了后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,在被 WordPress.org 团队移除前被超过 20 万网站使用。Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出了一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码,收集网站的用户访问数据。在遭到用户投诉之后,WordPress.org 将其移除。但拥有者设法恢复了插件,释出了一个新版本 v2.6.1,再次被投诉再次被移除,但对方再次设法发布了新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。存在后门版本主要是  v2.6.1- 2.6.3。
安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 15时40分 星期四
来自快倒闭
Equifax 上周曝出 1.43 亿美国用户的敏感信息泄露,当时它声称黑客利用了一个 Web 应用的漏洞,但并没有披露细节。本周,Equifax 发布了更新,证实黑客利用的是开源项目 Apache Struts 的漏洞 CVE-2017-5638。Apache Struts 是在今年 3 月 6 日释出了补丁修复了该漏洞,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵其系统。
安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 11时42分 星期四
来自不给权限不运行
软件巨人透露将允许用户对应用在设备上能做什么有更多的控制。在访问潜在敏感的硬件和软件功能前,Windows 10 Fall Creators Update 将询问用户给予应用访问权限。举例来说,你的视频记录应用会要求访问摄像头和麦克风的权限。在 Fall Creators Update 之后,安装新应用时会有权限提示,已安装应用的访问权限可以通过隐私设置查看。Windows 桌面电脑将和手机一样,拥有细粒度的权限控制。
安全
pigsrollaroundinthem(39396)
发表于2017年09月13日 20时09分 星期三
来自新希望
Edward Snowden 接受德国明镜的采访,讨论了广泛的话题,包括他的泄密、民主党全国委员会的黑客攻击,重回美国等。Snowden 认为大规模监视违反了法律,如果情报机构能局限在真正的威胁上那么他们能做出有利于社会的事。他指出,情报机构至今没有提供证据证明他们的大规模监视确实阻止了一些恐怖袭击。他承认自己的泄密并没有给政府带来多大的改变,但从某种程度上推动了通信加密。在 2013 年之前,大多数新闻网站都不知道加密是什么,而今天端对端加密已经成为默认,年轻一代也比上一代人更关心隐私。对于今天社交网络开始与政府合作打击恐怖主义和仇恨言论,Snowden 认为企业不应该干政府的工作,如果企业跨过了这条线将会以难以预见的代价造成难以预料的后果。他认为这是非常危险的:Google 成为互联网上的警长,决定法律是什么。Snowden 谈到自己曾处理过中国黑客入侵案例,他说中国黑客一般不会很好隐藏痕迹,他们打破窗,拿走一切能拿走的东西,笑着离开。但即便如此,他们也不会直接发动攻击,而是借助于世界各地的跳板,但你仍然能根据痕迹跟踪下去。Snowden 称他现在是俄罗斯的合法永久居民,这相当于绿卡,可以无限期续期。但他不确定俄罗斯未来是否会允许他继续留在该国,因为他常常在社交媒体上公开批评俄罗斯。Snowden 称他的女友仍然和他在一起,父母也经常来看望他,他希望有一天能回到美国。