adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
安全
pigsrollaroundinthem(39396)
发表于2017年11月20日 17时11分 星期一
来自360 的投资
奇虎 360 旗下的 CA StartCom 宣布将于 2017 年底停止签发证书,2020 年结束业务。主流浏览器都已经停止信任奇虎旗下的两个 CA 沃通和 StartCom。StartCom 在声明中表示无法恢复对其证书失去的信任,它称一年前主要浏览器开发商决定不信任 StartCom,移除 StartCom 的 Root CA,虽然过去一年它努力尝试恢复信任,但没有指示显示浏览器开发商会再信任 StartCom CA,它决定从 2018 年开始停止签发新证书,对现有证书提供两年服务,到 2020 年所有证书将会吊销。
安全
pigsrollaroundinthem(39396)
发表于2017年11月19日 17时35分 星期日
来自不要依赖
今天的软件项目通常有大量的依赖库,而上游库的漏洞将会影响到下游软件。现在最大的开源软件开发平台 GitHub 宣布了安全警告服务,将搜索依赖寻找已知漏洞然后通过开发者,以便帮助开发者尽可能快的打上补丁修复漏洞。GitHub 将会识别所有使用受影响依赖的公开项目,使用私有库的项目则需要选择加入才能使用安全警告服务。
安全
pigsrollaroundinthem(39396)
发表于2017年11月17日 12时08分 星期五
来自4个9 记住了
IBM 、Global Cyber AlliancePacket Clearing House 合作推出了免费的 Quad9 公共 DNS 服务(9.9.9.9),它将会屏蔽与僵尸网络、钓鱼攻击和其它恶意主机相关联的域名。Quad9 的工作与其它免费的公共 DNS 相似,但不会返回已识别为恶意的域名解析。测试显示,Quad9 相比 Google 的 公共 DNS 服务 8.8.8.8,其响应延迟时间更长,但 Quad9 项目成员表示通过缓存和增加节点将有助于减少延迟。GCA 的 Phil Rettinger 称,Quad9 注重隐私保护,不会记录发出请求的地址,只保存地理位置数据,目的是为了跟踪特定恶意域名相关的请求。
安全
pigsrollaroundinthem(39396)
发表于2017年11月16日 21时15分 星期四
来自Office 的忠实盗版用户
《华尔街日报》上月报道称俄罗斯政府黑客利用卡巴斯基从 NSA 合同工的家用计算机上窃取了美国情报机构的机密文件。这一事件导致美国国土安全部下令政府机构卸载卡巴斯基软件。今天,卡巴斯基官网公布了详细的调查报告为自己辩护,承认获得了 NSA 机密文件,但否认对泄密知情。最新的报告扩展了上个月的报告,增加了更多细节。卡巴斯基称事件发生在 2014 年 9 月 11 日,NSA 总部所在地马里兰州巴尔的摩的一个 IP 地址报告了与 NSA 黑客团队 Equation Group 相关的恶意程序,恶意程序样本被上传到卡巴斯基服务器供研究人员进行进一步分析。分析发现 7zip 压缩文件包含了属于 Equation Group 的恶意程序和源代码。分析人员将此事直接报告给 CEO,CEO 下令销毁了所有存档。随后该 IP 相关的计算机被发现在 2014 年 10 月 4 日当地时间 23:38 感染了恶意程序,原因是计算机安装了一个盗版的 MS Office 2013 程序,安装镜像“Office-2013-PPVL-x64-en-US-Oct2013.iso”包含了恶意程序。为了安装和运行盗版 Office,用户关闭了卡巴斯基,但卡巴斯基在随后的运行中探测到了恶意程序。
安全
pigsrollaroundinthem(39396)
发表于2017年11月15日 11时50分 星期三
来自360 占领中国
路透社华尔街日报报道,大约六分之一的美国政府机构发现其电脑上安装了卡巴斯。 美国国土安全部负责网络安全和通信的官员表示,美国政府 102 个机构和部门中除了六个以外,其余均向国土安全部发送了卸载卡巴斯基产品的报告。六个未发送报告的部门规模太小,无法自行评估,正与国土安全部就此合作。96 个响应部门中,15% 的部门在其系统内发现了卡巴斯基的产品。联邦机构卸载卡巴斯基软件的最后期限是 12 月 12 日。美国情报机构认为卡巴斯基帮助俄罗斯政府监视美国机密文件,而卡巴斯基则对此坚决予以否认。
安全
pigsrollaroundinthem(39396)
发表于2017年11月14日 21时06分 星期二
来自这叫特性
一加的 OnePlus 3、3T 和 5 等多种型号的手机安装了一个叫 EngineerMode 的系统应用,这个应用不是一加而是高通开发的,但由一加定制。该应用被用于诊断手机是否工作正常,如诊断 GPS 和 Root 状态,执行一系列自动测试。一名叫 Elliot Alderson 的开发者在调查和逆向工程后发现该应用有一个密码可用于 root 设备,获取系统的 root 访问权限。由于该应用来自高通,因此其它使用高通芯片的手机可能也会存在类似问题。Elliot Alderson 计划发布一个应用 root 一加手机。
安全
pigsrollaroundinthem(39396)
发表于2017年11月10日 11时43分 星期五
来自俄罗斯黑客窃取
在公开了 CIA 的机密文件之后, WikiLeaks 开始释出 CIA 间谍软件项目 Hive 的源代码和开发日志。WikiLeaks 过去几年披露的信息多针对美国,而很少针对其它国家如俄罗斯,它因此经常被指责是俄罗斯的代理人。Hive 用于控制安装在不同设备上的恶意程序,恶意程序在安装之后需要联络指令控制服务器,CIA 被发现主要是租赁商业 VPS 服务商的服务器作为指令控制服务器,它注册的域名包括了“perfectly-boring-looking-domain.com”。这些域名甚至能展示看起来无辜的内容,但通过 HTTPS 服务器选项 Optional Client Authentication,被植入的恶意程序能与隐藏的 CIA 服务器 Blot 通信。
安全
pigsrollaroundinthem(39396)
发表于2017年11月09日 12时57分 星期四
来自钱来得快
入侵网站植入挖矿脚本利用浏览者的 CPU 挖掘数字货币的做法正越来越流行。安全研究人员报告,有 2,496 家运行过时软件含有已知漏洞的网站被攻击者入侵,植入了脚本利用访问者的 CPU 挖掘门罗币。研究人员还发现,其中 80% 的网站还被植入了其它恶意程序能窃取访问者的银行卡信息。这些网站植入的都是 Coinhive.com 提供的脚本,85% 被入侵网站植入的脚本属于两个 Coinhive 账号。其余 15% 则属于其他 Coinhive 账号。研究人员称,有证据显示那些账号被一个人或一个组织控制。用户可以使用广告屏蔽工具或专门扩展来阻止挖矿脚本的运行。
安全
pigsrollaroundinthem(39396)
发表于2017年11月09日 12时00分 星期四
来自无能
得州枪手 Devin Kelley 上周日在教堂杀死了 26 人,之后自杀。联邦调查局(FBI)称它还没能破解枪手所用手机的加密。FBI 特工 Christopher Combs 在新闻发布会上说,他们没能进入到手机。他拒绝披露枪手使用了什么手机。《华盛顿邮报》随后报道称,枪手的手机是 iPhone。在 FBI 称它未能破解手机之后,苹果联络了 FBI 询问是否是 iPhone 以及该机构是否需要帮助。FBI 承认手机是 iPhone 但目前并不寻求苹果的帮助,它的专家正在尝试判断是否能通过其它方法访问手机数据。苹果曾在去年拒绝帮助 FBI 解密手机,但原因并非它不愿意合作,而是 FBI 想要它开发一个后门固件。
安全
pigsrollaroundinthem(39396)
发表于2017年11月06日 18时50分 星期一
来自与时俱进
设计破坏伊朗核计划的 Stuxnet 蠕虫的一大突破是利用了合法证书签名。在 Stuxnet 曝光之后,安全研究人员发现,越来越多的恶意程序开始使用合法证书签名,先是国家支持的黑客,然后是逐利的网络犯罪组织。研究人员报告他们发现了 189 个使用合法有效证书签名的恶意程序样本,其中 109 个使用的证书仍然有效。使用有效证书能绕过用户账号控制和其它防止恶意程序安装的 Windows 机制。
安全
pigsrollaroundinthem(39396)
发表于2017年11月06日 15时42分 星期一
来自为了国家安全
Mozilla 工程师正在讨论停止信任荷兰政府运营的 Staat der Nederlanden CA,原因是荷兰最近通过了法律授予政府权力使用“伪造密钥”拦截互联网通信。其他政府也通过了类似的法律,但荷兰政府的法律引人注目在于它除了授权政府拦截和分析互联网流量外,还明确表示可以使用秘密的技术手段如“伪造密钥”来访问加密流量。该法律引发了大规模监视和中间人攻击的担忧。
安全
pigsrollaroundinthem(39396)
发表于2017年11月03日 16时40分 星期五
来自UI 开发者负责
美国海军今年发生了多起军舰与商船相撞的事故,造成多名水兵死亡。美国海军刚刚公布了导弹驱逐舰 Fitzgerald 号和麦凯恩号(John S. McCain)相撞事故的调查报告(PDF),称两次事故都是可以避免的。其中发生在 8 月 21 日的麦凯恩号相撞事件(第四起)被认为是 UI 混乱导致的。报告称,当地时间 5:19am,麦凯恩号指挥官 Alfredo J. Sanchez 注意到操舵的值班人员难以在调整速度控制杆的同时维持维持航向,下令重分配掌舵和速度控制的责任,将速度控制转交给另一名值班人员。但这名舵手不小心将所有控制都转交给另一名值班。发生这种情况后,船舵自动移动到默认的中线位置。为维持航线,舵手选择右转,但这一调整意味着船开始偏离航线。此时舰桥上的每一个人都以为失控。混乱之中,Sanchez 下令引擎减速,但在切换控制过程中屏幕上的减速控制并没有联动,导致军舰继续不受控的驶入港口,与商船 Alnic MC 相撞。
安全
pigsrollaroundinthem(39396)
发表于2017年11月01日 11时30分 星期三
来自Electron 应用
端对端加密通讯应用 Signal 发布了独立的桌面版本,弃用了旧的 Chrome App,Firefox 或 Safari 用户不再需要安装 Chrome 就能使用桌面版 Signal。桌面版支持 Windows 7 以上版本,MacOS 10.9 +,Linux 发行版如 Ubuntu 和 Debian。使用桌面版本需要与手机配对,使用 Signal Desktop Chrome App 的用户可以输出数据,导入到独立桌面版中。
黑莓
pigsrollaroundinthem(39396)
发表于2017年10月31日 21时09分 星期二
来自不保证成功
科技公司是否在破解加密通信上帮助政府目前是一个受争议的话题,执法部门对科技公司在其产品中使用的强加密表达了强烈不满,政府高官甚至以“负责任的加密”的名义建议科技公司使用弱加密。黑莓的通信也使用加密保护。公司 CEO 程守宗在伦敦举行的黑莓安全峰会上表示,如果政府有合法的法庭命令,黑莓会尝试破解它使用的加密。程守宗说,今天的加密已经到达这样一个程度,即使他们自己去破解自己的加密也非常困难。破解加密并非易事,因此黑莓只会在法庭命令下尝试去破解。
安全
pigsrollaroundinthem(39396)
发表于2017年10月30日 15时41分 星期一
来自用 Rust
"注意 SQL 注入",“监视跨站脚本”,“当心被劫持的会话凭证”,Web 开发者和测试者经常听到此类的警告,但为什么他们一次又一次犯同样的错误?Open Web Application Security Project 每年都会公布十大 Web 开发安全问题,而这些问题 2013 年到 2017 年基本没有多少变化。新的工具,更好的测试工具,新开发模式都没有改变这一状况。一些人猜测,犯同样错误的开发者并不是同一群开发者,或者是 Web 开发本来就是 IT 行业软件开发中最低端,从业者普遍缺乏能力和知识,而安全是他们最后考虑的问题。
安全
pigsrollaroundinthem(39396)
发表于2017年10月30日 13时27分 星期一
来自背锅
英国国务大臣华莱士(Ben Wallace)表示,该国“相当肯定”朝鲜是 WannaCry 勒索软件攻击背后的元凶,那次攻击严重破坏了英国国民健康服务系统的计算机系统,并扩散到了 150 多个国家,包括中国的大学、德国的铁路系统,以及俄罗斯内政部。华莱士拒绝详细说明这个结论的证据是什么。他表示:“我显然不能谈论情报细节,但是在这个社区和不少国家中,人们普遍认为是朝鲜扮演了这个角色。”“朝鲜与其他一些意图筹集外币的攻击之间可能也存在联系,”他说,他明确提到去年朝鲜黑客试图从纽约的美联储窃取 10 亿美元,如果不是出了一个拼写错误,那次攻击差点就成功了。英国和美国的专家说,朝鲜有 6000 名黑客,他们开展有效网络攻击的能力已经获得了提升。
安全
pigsrollaroundinthem(39396)
发表于2017年10月29日 21时26分 星期日
来自雇网管
今年上半年爆发的 NotPetya 恶意程序一度导致制药巨头默克停产 HPV 疫苗 Gardasil,迫使该公司借用美国疾病预防控制中心的库存以满足需求。这一消息是默克在其递交到美国证券交易委员会(SEC)的 8-k 季度公报中披露的。默克在文件中称,它因为 NotPetya 恶意程序感染而遭受严重经济损失,导致第三季度销售和收入减少了数亿美元。默克称网络攻击相关的市场销售损失约 1.35 亿美元,因为恶意程序导致的疫苗停产而导致第三季度销售额减少约 2.4 亿美元。
安全
pigsrollaroundinthem(39396)
发表于2017年10月28日 21时40分 星期六
来自
HardenedLinux 写道 " 近日在捷克布拉格举行的 Open Source Summit 上 Google 的工程师 Ron Minnich 谈到面对 Intel ME 和私有 UEFI 实现时 Google 感到很害怕,Google 目前和其他一些厂商以及自由软件社区合作开发基于自由固件 coreboot 一个叫 NERF 的项目,NERF 是一个基于 Linux 内核的变种作为 coreboot 的 payload 运行在固件启动阶段,借鉴了之前另外一个名为 HEADS 的 coreboot payload 实现,因此 NERF 在固件阶段可以非常灵活的定制各类操作。coreboot 是一个完全开放源代码的固件项目所以不存在不可审计的问题(闭源固件的二进制审计成本过高),另一方面,coreboot 相比私有 UEFI 大大降低了攻击平面。Intel ME 方面,虽然今天很多应用是运行于 ME 平台上,但其安全方面不仅存在漏洞的风险,更存在后门的风险,所以一般核运行核心业务的机器都会禁用,这也是为什么 NSA 在作为可信保障规划的 HAP 项目中也禁用了 Intel ME。HardenedLinux 社区的基础平台防御方案 Hardening the COREs 在最极端的场景下不仅开启 HAP bit(学习 NSA 的做法)禁用 Intel ME,同时也删除必要代码模块以外的所有模块包括 AMT 和 SGX,云计算场景中诱人的 feature 比如基础资产管理和 remote attestation 可以通过 OS 层面的实现和 meansuredboot+TPM 来实现,虚拟化层面则配合 PaX/Grsecurity 和定制 SMI 实现联动防御对抗逃逸和测信道,内核本身的加固可以参考 PaX/Grsecurity 的特性根据业务场景和威胁建模进行适配,只有当 RING 0 到 RING -3 的基础防御问题得到有效解决时我们才有精力真正意义上去 hacking RING -4 的世界,这次是真的应该给 Google 点个赞了;-)"
安全
pigsrollaroundinthem(39396)
发表于2017年10月27日 12时48分 星期五
来自黑产
赛门铁克之后,另一家美国安全公司迈克菲宣布不再允许外国政府检查其软件源代码。美国科技公司为了在俄罗斯和中国等国获得产品出售许可证而允许政府检查产品源代码。赛门铁克也曾是其中一员,允许相关政府检查其软件的源代码。但随着国家支持的黑客攻击活动的增加,允许外国政府检查源代码增加了安全风险。迈克菲发言人在一份声明中称,它是在今年 4 月脱离英特尔独立之后终止了源代码检查,但没有提供更精确的时间表。
安全
pigsrollaroundinthem(39396)
发表于2017年10月26日 15时49分 星期四
来自查水表
亚马逊宣布了智能门锁和监控探头系统 Amazon Key,让快递员能打开门进入室内放包裹。新系统的安全性引发了争议,让陌生人进家门对大多数人来说都是难以接受的。Amazon Key 由智能锁和安全摄像头 Cloud Cam 构成,售价 249 美元,目前只提供给 Prime 用户。当快递员到客户家门口送包裹时,他们并没有打开门锁的密码。他们首先需要验证记录请求开门,在记录确认无误后,Cloud Cam 开始录像,门自动打开,客户可以对此远程监控,甚至可以拒绝快递员。除了让快递员进门外,Amazon Key 也可以向客户或家人,清洁工等提供临时的进门许可。Amazon Key 将于 11 月 8 日在 美国 37 个城市发售。