adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
pigsrollaroundinthem(39396)
发表于2017年09月07日 16时52分 星期四
来自不能信任
佛罗里达州立大学和百度 X 实验室的研究人员报告了针对 Android TrustZone 的降级攻击(PDF),攻击者可以用存在已知漏洞的版本去替换现有的版本。TrustZone 是 AMR 芯片的一个安全区域,运行着自己的操作系统 TrustZone OS,其工作独立于主系统 Android OS。Android TrustZone 缺乏回滚保护之类的机制,因此能被攻击者回滚到存在安全漏洞的旧版本。研究人员在三星 Galaxy S7、华为 Mate 9、Google Nexus 5 和 Google Nexus 6 上测试了他们的攻击,用存在漏洞 CVE-2015-6639 的旧版 Widevine trustle 替换了最新版本,该漏洞给予攻击者 TrustZone OS 的 root 权限,间接的控制整个操作系统。研究人员称,他们已经向手机制造商报告了漏洞,而厂商们则在最新更新中整合了补丁。
安全
pigsrollaroundinthem(39396)
发表于2017年09月06日 17时26分 星期三
来自开源漏洞
Apache Struts 的一个高危漏洞允许攻击者很容易控制受影响的服务器,从未威胁到企业敏感数据。Apache 已经在周二释出了补丁修复了漏洞,问题在于受影响的企业是否能及时打上补丁了。该漏洞编号为 CVE-2017-9805,如果服务器运行了使用 Apache Struts 构建的 REST 插件,那么漏洞将允许攻击者远程执行代码。2008 年之后发布的所有 Apache Struts 版本都受到影响。安全研究员 Man Yue Mo 称,Struts 被许多公开访问的 Web 应用使用,如航空公司的订票系统和网上银行,而利用该漏洞攻击者只需要一个浏览器就行了。
安全
pigsrollaroundinthem(39396)
发表于2017年09月05日 16时32分 星期二
来自不用智能手机
主要移动芯片供应商的 Android 引导程序组件发现漏洞,可能会在引导次序中打破信任链,为攻击打开大门。加州圣芭芭拉的计算机科学家开发了专门测试和分析引导程序的工具 BootStomp(PDF),他们选择了高通、NVIDIA、联发科和华为海思的五款产品进行测试,发现了 7 个安全漏洞,其中 6 个是新的还有一个在 2014 年就曝光过。对于 6 个新漏洞,供应商已经确认了其中 5 个。研究人员称,一些漏洞允许执行任意代码或执行永久性的拒绝服务攻击,其中 2 个漏洞能被有 root 权限的攻击者利用。
安全
pigsrollaroundinthem(39396)
发表于2017年09月01日 16时17分 星期五
来自金额太大容易曝光
加拿大一所大学成为支付骗局的最新受害者。此前 Facebook 和 Google 在支付骗局中被骗走了 1 亿美元。骗子向加拿大 MacEwan 大学的雇员发送邮件,说服对方改变一家供应商的付款信息,将原本转给供应商的 1180 万加元转给了骗子。大多数款项被跟踪到了加拿大和香港的银行账户,大学正与加拿大、伦敦和香港当局合作调查此案。MacEwan 大学称它的计算机系统没有遭到入侵,没有个人信息失窃,骗子只是利用了传统的社会工程技术。其中一半左右的款项已经被警方扣押,其余款项正在追回之中。
安全
pigsrollaroundinthem(39396)
发表于2017年08月30日 20时02分 星期三
来自0 或 1
Positive Technologies 的研究人员发现了关闭英特尔 Management Engine(ME)的方法。自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,有自己的操作系统和程序,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图。英特尔称 Management Engine 是远程管理方案,而批评者认为它其实就是秘密后门。研究者多年一直在寻找方法关闭 ME 组件,直到现在 Positive Technologies 的研究人员在固件代码中发现了一个隐藏的比特,如果其值发生翻转将会禁用 ME。该比特被标记为 reserve_hap,旁边的注解将其描述为“High Assurance Platform (HAP) enable”,High Assurance Platform (HAP) 是 NSA 的一个程序,描述了一系列运行安全计算平台的规则。研究人员认为英特尔是根据 NSA 的要求加入了关闭 ME 的值,NSA 可能需要在高度敏感环境运行计算机时关闭 ME。已经有人发布了一个补丁(未经测试)去改变 HAP 的值。
安全
pigsrollaroundinthem(39396)
发表于2017年08月29日 19时56分 星期二
来自废话
在阅读安全相关的新闻时,我们常常会以为新闻背后的黑客个个神通广大,事实并非如此。黑客大多数情况下使用的都是简单的方法。和其他所有罪犯一样,他们往往是狡猾的机会主义者。欧洲刑警组织顾问、萨里大学教授 Alan Woodward 指出,黑客攻击是一件非常容易的事。只需找到勒索软件、间谍软件或垃圾邮件等等黑客工具并释放出去,然后等鱼上钩即可。你收到尼日利亚王子白给你钱的诈骗邮件的原因在于,仍然有人前仆后继地上当受骗。尽管受骗者数量极少,但也足以让诈骗犯挣到大钱。网络罪犯还会使用社会工程技术,从而使得他们的诈骗手段更加廉价,危害性也更大。例如,他们会引诱我们点击能引起我们兴趣的链接。上述事实表明:人们心目中似乎掌握着魔法般黑暗力量的黑客形象实际上是站不住脚的。事实上,很多黑客攻击行为都是由技术能力很一般,并且十分懒惰的人干的。流行文化中的黑客形象 --气定神闲地打开笔记本电脑,轻松侵入五角大楼的计算机系统,实际上并非如此。
安全
pigsrollaroundinthem(39396)
发表于2017年08月29日 13时22分 星期二
来自机器人变僵尸
去年,攻击者利用了大量不安全的物联网设备发动了规模惊人的 DDoS 攻击。现在,他们转向了另一种非常流行且安全性臭名昭著的设备:运行 Google Android 系统的手机和平板。攻击者利用了在官方应用商店传播的恶意应用创建 Android 僵尸网络去发动 DDoS 攻击。被称为 WireX 的僵尸网络在其高峰时控制了 100 多个国家的超过 12 万 IP 地址,企业很难抵御这种 IP 地址遍布全球的 DDoS 攻击。但在这个 Android 僵尸网络膨胀到难以控制前,科技公司如 Cloudflare、Akamai、Flashpoint、Google、Dyn 等采取行动对其进行了打击,Google 已经在其官方应用市场屏蔽了相关恶意应用。
安全
pigsrollaroundinthem(39396)
发表于2017年08月29日 11时50分 星期二
来自安全第一
GnuPG 项目发布了新的长期稳定分支 GnuPG 2.2.0,这意味着该分支将主要是修正安全漏洞而不是引入新特性。主要新特性包括:安装不再使用 gpg2 而是 gpg,出于安全原因移除对 PGP-2 的支持,支持椭圆曲线加密,修复 Windows 下的连接超时问题;完成中文,捷克文,法文,德文和日文等语言的翻译,等等。GnuPG 项目有三个分支:稳定版分支,开发版 Modern 分支,以及经典版 Classic 分支。
安全
pigsrollaroundinthem(39396)
发表于2017年08月28日 19时48分 星期一
来自脚本小子
英国安全研究员 Marcus Hutchins,aka MalwareTech,本月早些时候因被控开发和传播了银行木马 Kronos 而在美国遭到逮捕,他否认了所有指控,目前已经保释,停留在美国等待审讯。然而,为 Hutchins 一案辩护而筹集的诉讼基金面临一大波欺诈性的捐款,至少 15 万美元的捐款来自于被盗窃的信用卡或虚假的信用卡号码。为基金提供支付处理的服务商拒绝了大部分捐款,出于谨慎 5 千到 1 万美元的捐款都被退回。代表 Hutchins 筹集诉讼基金的 Tor Ekeland 称,他们不想要冒风险收取欺骗性的捐款。
安全
pigsrollaroundinthem(39396)
发表于2017年08月27日 16时52分 星期日
来自社会工程
FBI 在洛杉矶机场逮捕了一名中国籍的恶意程序中介 Yu Pingan,指控他向中国黑客组织提供了包括 Sakula 在内的恶意软件 ,这些恶意软件被用于入侵美国多家公司,同时与 2015 年美国联邦政府人事管理办公室被盗逾 2000 万文件有关联。FBI 是如何识别中国黑客身份的?根据 FBI 特工 Adam R.James 的证词,FBI 和五角大楼的网络犯罪中心主要依赖于对恶意程序嵌入的 CC 域名的跟踪调查,以及通过搜索令扣押的电子通讯,但起诉书没有给出这些扣押电子通信的来源。 本案提到了四家被中国黑客组织入侵的企业,分别代表 A、B、C 和 D,Yu Pingan 的同谋被称为未被起诉同谋 1 和 2。其中公司 A 发现的一个恶意程序是 capstone.exe,嵌入了一个动态 DNS 服务商托管的域名 capstoneturbine.cechire.com,购买该域名的人自称为 Capstone Trubine 公司工作,网址是 www.capstonetrubine.com,账单记录和注册信息显示 “未被起诉同谋 1” 控制了多个动态域名账号,购买了多个嵌入在恶意程序中的 CC 域名,2013 年 12 月 16 日多个域名都指向了同一个 IP 173.252.252.204。扣押的通信显示,Yu 与 “未被起诉同谋 1” 在 2011 年 4 月建立了联系,2011 年 4 月 17 日,Yu 告诉对方他有一个 Flash 的漏洞利用能工作在三种不同的浏览器上。Yu 与 “未被起诉同谋 2” 建立关系也不晚于 2011 年 4 月,2011 年 4 月 23 日,两人讨论了提供微软 IE 的漏洞利用。扣押的通信显示,Yu 被警告他的活动可能会引起 FBI 的注意。2011 年 11 月 10 日的通信显示,“未被起诉同谋 1” 告诉 Yu 他控制了一个微软韩国的官方域名并提供了网址 http://update.microsoft.kr/hacked.asp 供对方验证,“未被起诉同谋 1” 称无法用这个域名推送虚假更新但可以用于钓鱼攻击。不到 2 周后,Sakula 的一个版本配置使用了这个微软韩国域名。2012 年 12 月 25 日左右的草稿显示,Yu 抱怨 “未被起诉同谋 1” 用他的网名命名了一个恶意文件 golds7n.txt。Yu 的网名是 GoldSun,Sakula 一个版本的解密密钥是 Goldsunfucker,他曾用电子邮件 goldsun84823714@gmail.com。Yu 还向 “未被起诉同谋 1” 提供给其它恶意程序,包括 ADJESUS 域帝 和 hkdoor 骇客之门,这些恶意程序曾通过一家叫 penelab.com 的渗透测试网站出售,其中 hkdoor 是为客户 Fangshou 开发的,而 “未被起诉同谋 1” 用过 Fangshou 这个名字。FBI 扣押的简历显示,Yu 出生于 1980 年 12 月 16 日,住在上海,精于计算机网络安全和编程。
安全
pigsrollaroundinthem(39396)
发表于2017年08月24日 20时18分 星期四
来自没人微博
根据 0day 中介公司 Zerodium 周三公布的最新收购报价,该公司向流行消息应用 Signal、FB Messager、iMessage、Viber、WhatsApp 、微信和 Telegram 的远程代码执行和本地提权漏洞开出了最高 50 万美元的报价。如图所示,该公司对 iPhone 越狱方法开出了最高 150 万美元(零用户交互)和 100 万美元的收购价,这两个报价还是在 2016 年和 2015 年宣布的。对流行消息应用和默认电子邮件应用漏洞的高价悬赏显示了对移动用户的攻击正日益流行。去年,阿联酋被发现将以色列公司 NSO Group 开发的间谍软件秘密安装到该国人权活动人士的 iPhone 手机上,而根据NSO Group 的价格表,300个 许可证需要花费 800 万美元。
安全
pigsrollaroundinthem(39396)
发表于2017年08月23日 11时40分 星期三
来自一点也不让人意外
安全公司 Lookout Security Intelligence 的研究人员报告Igexin 广告 SDK 被发现内置后门,允许下载和执行任意代码。用户最初下载的应用也许是干净的,但广告 SDK 通过向个信服务器发送请求悄悄的下载加密文件,引入恶意功能,收集用户个人数据,Igexin 可以根据需要随时引入恶意间谍功能。不是所有版本的 Igexin SDK 都含有后门,包含后门的恶意版本实现了一个插件框架允许客户端加载恶意代码。在 Google 官方应用商店 Google Play,超过 500 款应用使用了恶意版本的 Igexin SDK,这些应用的下载量超过一亿次。Google 在接到通知后从官方商店移除了恶意版本,或者更新到了使用非侵入式广告 SDK的版本。 更新:Igexin 已经发表澄清声明,解释了相关功能:
安全
pigsrollaroundinthem(39396)
发表于2017年08月21日 12时55分 星期一
来自与社区做对
Gentoo 发行版宣布将移除加固内核。Gentoo 加固内核 sys-kernel/hardened-sources 的核心是grsecurity 加固内核补丁集,但最近 grsecurity 开发者决定限制访问这些补丁集,导致 Gentoo 加固内核团队无法保证一个定期的补丁计划表,无法保证使用加固内核用户的安全。因此它决定到 9 月底移除加固内核软件包。
安全
pigsrollaroundinthem(39396)
发表于2017年08月20日 19时45分 星期日
来自劫持
主要浏览器开发商(主要是 Chrome 和 Firefox)正致力推动 Web 的 HTTPS,正逐渐采取措施对 HTTP 网页显示不安全的警告。Chrome 从 4 月开始对输入密码或信用卡号码的 HTTP 网页显示不安全警告。从今年 10 月开始,Chrom 62 将会增加两种不安全警告的显示情况:用户在 HTTP 页面输入数据,或者在隐身模式下浏览 HTTP 网页。Google 最终计划将所有 HTTP 网页标记为不安全。
安全
pigsrollaroundinthem(39396)
发表于2017年08月17日 16时56分 星期四
来自谷歌不想花钱
Google 采取自动化的方式检测递交到其应用商店或扩展商店的应用或扩展,但过去几个月,安全研究人员发现了有大量恶意应用和扩展未被 Google 的自动化检测程序检测出来。最新一个被安全研究人员发现的 Chrome 恶意扩展是 Interface Online,它设计窃取用户的银行登录凭证。过去 17 天它至少更新了两次。当安装该扩展到用户访问特定网页,它会激活一个 JavaScript 运行时记录输入登录框的用户名和密码,然后将日志上传到攻击者控制的服务器。攻击者针对的是巴西银行的用户,Google 在接到安全研究人员的通知后于周二将其移除,但周三它又再次出现,再被举报后才最终被移除。
安全
pigsrollaroundinthem(39396)
发表于2017年08月17日 13时20分 星期四
来自发现是 AI
加密邮件服务商 ProtonMail 声称它反黑了一名钓鱼攻击者,但它随后迅速删除了发表在社交媒体的声明。反黑是一种受争议的做法,被认为是非法的,因此即便有人这么做了,他们不会公开宣布。但 ProtonMail 通过其 Twitter 账号宣布了一次成功反黑,使得钓鱼网站下线。它很快删除了这个帖子,但已经被安全研究人员截了图,随后这名安全研究人员在 ProtonMail 的要求也删除了帖子。然而消息已经传开来了,并被媒体报道了。
USA
pigsrollaroundinthem(39396)
发表于2017年08月17日 12时57分 星期四
来自污点证人
《纽约时报》报道,开发远程访问工具 PAS Web shell 的乌克兰恶意程序作者向当局自首,然后成为专家证人帮助 FBI 调查对民主党全国委员会的黑客攻击。网名为 Profexer 的黑客没有受到乌克兰当局的指控,因为他没有将自己开发的远程访问工具用于恶意用途。他在自己只能由会员访问的网站提供了远程访问工具的一个免费版本,但还付费提供定制版本和培训。他的一名客户被认为与俄罗斯黑客组织 Fancy Bear——aka APT 28——有关联,他的工具被用于在民主党全国委员会的网络建立了一个后门。在美国国土安全部 和 FBI 识别出攻击者使用的远程访问工具 PAS Web shell 后,Profexor 担心之下关闭了自己的网站,随后向乌克兰执法机关自首。
安全
pigsrollaroundinthem(39396)
发表于2017年08月16日 16时28分 星期三
来自新趋势
从 7 月 17 日到 8 月 4 日,NetSarang 公司销售的五款服务器或网络管理产品被秘密植入了被称为 ShadowPad 的后门。这些产品被数百家银行、能源公司和制药公司使用。这不是第一次上游产品被植入后门,今年早些时候乌克兰会计软件开发商的一款产品就被植入后门传播了 NotPetya 恶意程序。五款受影响的 NetSarang 产品包括了 Xmanager Enterprise 5.0、Xmanager 5.0、Xshell 5.0、Xftp 5.0 和 Xlpd 5.0,如果你在此期间更新过软件,那么最好立即去下载新版本。后门存在于修改版的 nssock2.dll 文件中,该文件使用了 NetSarang 的合法证书签名。该后门是卡巴斯基研究人员发现的,卡巴斯基的银行业合作伙伴在发现执行交易的机器在查询可疑域名后通知了该公司,卡巴斯基随后的调查发现了该后门。这家受影响的企业位于香港。NetSarang 接到通知后证实它的基础设施遭到入侵,因而创建了一个全新的独立基础设施,在每个设备接入到新基础设施前将进行清除、检查和白名单,这一过程预计需要几周时间。卡巴斯基称,植入的代码可以充当模块化的后门平台,能根据 CC 服务器指令下载和执行任意代码。目前还不清楚谁创建了后门,又是如何入侵 NetSarang 的。研究人员怀疑攻击者说中文
安全
pigsrollaroundinthem(39396)
发表于2017年08月15日 19时21分 星期二
来自坦白从宽
英国安全研究员 Marcus Hutchins,aka MalwareTech,今年早些时候因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄,但在 8 月 3 日候他在准备离境美国时遭到 FBI 逮捕,被控开发、传播和维护了银行木马 Kronos。在本周一的法庭听证会,他对其创建和传播恶意程序的六项指控都不认罪。他在缴纳了 3 万美元保释金后获释,将前往洛杉矶居住等待审判。根据释放的协议,他将需要佩戴 GPS 跟踪其行踪,但可以完整访问互联网,继续安全研究人员的工作,唯一的限制是他不再允许访问阻止勒索软件 WannaCry 传播的“水坑服务器”。
安全
pigsrollaroundinthem(39396)
发表于2017年08月15日 18时21分 星期二
来自不发信号回家了
深圳大疆正在为它的无人机应用开发一个本地数据模式,阻止通过互联网发送或接收任何的数据。这项功能无疑与最近美国陆军通过备忘录要求停止使用大疆无人机有关。美国陆军声称,无人机存在“网络漏洞”。大疆政策和法律事务副总裁 Brendan Schulman 在新闻稿中称,该公司创建本地数据模式是为了解决企业级客户,包括公营和私营机构执行敏感操作的需求。新的功能预计将在九月底提供给客户。