文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
ken:feigaobox@gmail.com
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
Solidot 公告
投 票
热门评论
- 吓得华为开源镜像站都不同步了,笑死我了 (1 points, 一般) by cutpigsrollaroundint 在 2019年05月25日19时30分 星期六 评论到 华为高管呼吁不要在数字世界建立柏林墙
- 没有说明白为什么要填补高铁和航空运输之间的速度空白 (1 points, 一般) by solidot1528092189 在 2019年05月25日18时50分 星期六 评论到 中国时速 600 公里高速磁浮试验样车下线
- 我们牺牲了个人家庭, 谁是我们? (1 points, 一般) by solidot1558750161 在 2019年05月25日10时10分 星期六 评论到 互联网正在发生分裂
- 按出产地的不同果皮、菜渣菜梗里其实也有稀土元素吧 (1 points, 一般) by solidot1558702863 在 2019年05月24日21时03分 星期五 评论到 稀土可能成为贸易战的关键筹码
- 中国愚昧愚蠢的,把原料输送给别人,污染留给人民。 (1 points, 一般) by solidot1528183898 在 2019年05月24日16时39分 星期五 评论到 稀土可能成为贸易战的关键筹码
- 名言 (1 points, 一般) by 陈少举 在 2019年05月24日15时42分 星期五 评论到 华为高管呼吁不要在数字世界建立柏林墙
- 有中国电信在我们都不怕5G (1 points, 一般) by solidot1544068314 在 2019年05月24日15时34分 星期五 评论到 互联网正在发生分裂
- 话反着说也行 (1 points, 一般) by solidot1544068314 在 2019年05月24日15时32分 星期五 评论到 华为高管呼吁不要在数字世界建立柏林墙
- 不只太阳一个参考物,还有磁极方向和地球曲率的配合计算。 (1 points, 一般) by solidot1528092189 在 2019年05月23日19时37分 星期四 评论到 学生设计 GPS 的开源替代 Aweigh
- 有错的是战争本身。 (1 points, 一般) by arr021 在 2019年05月23日12时09分 星期四 评论到 《权力的游戏》大结局在中国停播
致长期以来一直关注solidot的海内外朋友,请点击这里查看。
wifelovers.com、asiansex4u.com、bbwsex4u.com、indiansex4u.com、nudeafrica.com、nudelatins.com、nudemen.com 和 wifeposter.com 等八个成人网站的用户私密信息泄露,这些网站允许用户上传配偶的私密照片,至于配偶是否同意就不得而知了。泄露的信息包括了 IP 地址、简单加密的用户密码、120 万电子邮件地址。这些私人电邮地址很容易通过搜索指向用户在其他大型网站如亚马逊和 Instagram 上的账号。Have I Been Pwned 创始人 Troy Hunt 认为这次信息泄露可能会影响到用户的真实生活。泄露的密码使用的加密非常简单,意味着明文密码很容易破解出来,如果用户在其它网站上重复使用密码,那么他们最好赶快修改密码。
MPlayer 和 VLC 等流行播放器使用的一个媒体串流库 LIVE555 曝出了远程代码执行的高危漏洞。LIVE555 支持 RTP/RTCP、RTSP 或 SIP 协议,能处理 MPEG、H.265、H.264、H.263 +、VP8、DV、JPEG、MPEG、AAC、AMR、AC-3 和 Vorbis 等各式的视频和音频,漏洞存在于它的 HTTP 包解析功能中。LIVE555 作者称,该漏洞只影响库的 RTSP 服务器端实现,不影响 RTSP 客户端实现。新版 LIVE555 已经释出修复了漏洞。
黑客在至少三年时间里利用一个流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服务器。这个插件是 jQuery File Upload,其作者为德国开发者 Sebastian Tschan aka Blueimp,它是 GitHub 平台上仅次于 jQuery 框架本身第二受欢迎的 jQuery 项目,被整合到数以百计的项目中。Akama 的安全研究员 Larry Cashdollar 今年早些时候在插件处理文件上传的源代码里发现了漏洞,该漏洞允许攻击者向服务器上传恶意文件,如后门和 Web shells。Cashdollar 称这个漏洞已被广泛利用,至少从 2016 年就开始了。开发者已经释出了 9.22.1 修复了漏洞。Blueimp 解释了这个漏洞存在的原因:Apache v.2.3.9 的默认设置是不读取 .htaccess 文件,而他犯下的错误在于依赖于 .htaccess 去执行安全控制。他测试的 Apache 服务器启用了 .htaccess,所以他从来没有去检查服务器的默认设置,而 Apache 服务器从 v.2.3.9 起默认不启用 .htaccess。
美国互联网安全中心与国土安全部网络安全和通信办公室对多个高危 PHP 漏洞发出警告,漏洞允许攻击者执行任意代码,即使漏洞没有成功利用,攻击者也能诱导拒绝访问让服务器无法工作。PHP Group 已经释出了 PHP 7.1.23 和 7.2.11 修复了漏洞,这两个版本之前的所有版本都受到漏洞影响。与此同时,62% 的网站仍然运行 PHP 5,而到 12 月 31 日这个版本将终止支持,如果 PHP 网站不及时更新到支持版本,那么它们将再也得不到安全更新。
随着越来越多的网站普及 HTTPS,明文的服务器名称指示(Server Name Indication,SNI)成为新的隐私漏洞。通过明文 SNI,ISP 或任何网络中间人将会知道你访问了哪个网站,最近一部分网站的屏蔽方法就升级到 SNI 检测。加密 SNI(ESNI)将会堵上这个漏洞。Mozilla 现在宣布它的最新版 Firefox Nightly 加入了对加密 SNI 的支持,在该功能启用之后浏览器访问任何支持加密 SNI 网站将不会泄漏域名。目前只有云服务商 Cloudflare 支持加密 SNI,也就是只有访问托管在 Cloudflare 的网站该功能才会起作用。Mozilla 希望未来会有更多服务商支持 ESNI。
Slack 是西方非常受欢迎的企业通信服务,拥有超过 300 万付费用户,但相比其它流行的消息应用,它缺乏端对端加密功能。根据一名前雇员和公司首席信息官的说法,不支持端对端加密是因为老板不想要。这名前雇员称,付费客户想要的企业密钥管理而不是端对端加密,这意味着作为一个机构客户能控制密钥。首席信息官 Geoff Belkna 通过 Twitter 称,端对端加密不是付费客户需要的功能。相比企业用户,免费用户到更想要端对端加密。而付费客户比免费用户有更高的优先级。
Linux Journal 介绍了支持端对端加密的安全邮件服务 Tutanota。Tutanota 的联合创始人称,他们在七年前 Snowden 还没有曝光 NSA 机密前就开始构建加密的电邮服务,Tutanota 的加密过程是在用户设备上本地进行,完全自动化。今天端对端加密正逐渐成为主流,通过 Tutanota 发送的邮件 58% 已经启用了端对端加密。F-Droid 是一个开源 Android 应用商店,要在 F-Droid 平台发布 Tutanota 需要移除 Google 的 FCM 通知推送服务。Tutanota 是第一个登陆 F-Droid 的安全电邮服务。
HardenedLinux 写道 "近日,美国开源安全厂商Open Source Security Inc.公布了PaX/Grsecurity最新的基于GCC编译器插件Respectre,目前Respectre主要是针对Spectre v1漏洞的防御,当前的版本能覆盖大部分Spectre v1的场景,支持ARMv7, AArch64, PPC64, x86以及x86_64多个硬件架构,由于支持大于等于GCC v4.5的几乎所有版本,所以并不会影响生产环境中运行的GNU/Linux发行版现有的部署,Respectre作为编译器插件可以灵活的处理各种场景包括防护Linux内核以外的代码,其Linux内核运行时性能损耗大致在0.3%,未来会持续改进静态分析模块适配更多的Spectre场景。"
美味☆砂糖 写道 "上一篇文章介绍了中国利用微型芯片渗透亚马逊和苹果的技术可行性,但技术可行不代表事实如此。最大的疑点是,如果中国想要通过对 BMC 动手脚的方式攻击目标系统,为什么不直接将 SPI 闪存替换为含有后门的版本呢?一个可能是解释是为了躲过超微的固件更新,但如果想要使用信号耦合器来介入 BMC 芯片和 SPI 闪存之间的通信,该芯片必须包含足够的数据来修改 BMC 固件,进而修改宿主系统并形成一个可利用的后门,这样的芯片要做成如彭博社所描述的那样「只有铅笔尖的大小」可能会有点困难。此外,亚马逊和苹果这样体量的公司应当具有一定规模的数据中心监控系统,而攻击行为所产生的可疑流量和系统修改很难逃过这类系统的检测。
彭博社在发布报道的同时刊登了亚马逊、苹果和超微三家公司以及中国政府的否认声明。跟某些中国电商公司不同,美国上市企业在否认声明上一般会采取更圆滑的态度,这类声明经过了律师的层层审计,以确保日后不会成为投资者诉讼的依据。这种「否认声明」一般可以分为两类:否认一些微小的细节而对大的事实避而不谈,或者使用情绪化且模糊的语言达成看似否认实际上什么都没说的效果。例如在亚马逊的否认声明里,他声称「彭博社报道中的不实之处实在太多,难以估量」,但没有列举究竟有哪些不实之词。亚马逊称「为了淘汰超微设备而将其售予中国合作伙伴」的动议是「荒唐」的,但这跟亚马逊实际的动作无关。亚马逊称「AWS 并没有在收购 Elemental 时知晓供应链被入侵、恶意芯片被植入或者硬件被变更」,为什么要加上「在收购 Elemental 时」这句话限定时间点?此外,该句的主体是 AWS 部门而不是亚马逊,更别提在彭博社的报道中,发现硬件被恶意更改的是一家第三方审计公司。难怪有媒体批判亚马逊的「否认声明」无助于打消市场的怀疑情绪。
相比之下,苹果的否认声明要详细、强烈得多。苹果声称其「从未在服务器上发现过恶意芯片、“硬件操纵”或有意植入的漏洞。苹果也从未与FBI或其他机构对此类事件进行过接触。我们不知道FBI的任何调查,也没有与我们的执法部门进行联系。」这段话无论如何解读,都是对彭博社报道的强烈否认,没有一丝一毫模糊的空间,一旦彭博社的报道被证实,苹果很难逃脱「误导投资者」的指控。此外,无论亚马逊还是苹果都没有在声明中使用「我们不对国家安全或者执法单位事宜进行讨论」这一惯常的默认事实的语句。至于事件的主角,超微公司的否认声明则显得无关紧要。超微公司称并未被任何政府机构告知过该类调查——没有人这样说过。而鉴于超微公司在这件事中的关联,以及该类调查的惯常手法,这应该是真的。
根据报道,彭博社的调查始于 2015 年下半年军方举办的一场关于网络安全的非正式闭门会议,会议邀请了科技行业的主要管理层和投资者,举办地点位于 McLean,靠近 CIA 总部。彭博社报道的核心内容,即美国情报机构对中国使用恶意芯片渗透美国企业所进行的调查,很可能最早就是在这场会议上透露给彭博社记者的。在随后彭博社进行的调查中,他们找到了十四名线人(我们知道其中有两名亚马逊员工、三名苹果员工、六名情报官员以及其他六名关联人士)试图从各个方面证实并补充这次调查。基于彭博社的新闻操守,我们可以相信这十四名线人的身份真实性,但没有一人实际参与调查或者决策,他们所能获得的信息可靠性存疑。同时,事件的起源,即那次闭门会议是在时任总统奥巴马和中国签订网络安全协议后不久召开,而信息安全威胁的缓和以及随之导致的相关情报机构的预算消减会不会使得相关人员有动机去误导彭博社的记者?
然而彭博是一家拥有悠久声望的财经新闻社,其内部以对错误的零容忍政策闻名,她有 2000 人的记者团队,多层编辑审核,其内部的法律审查绝不会比这几家科技公司更为松懈。作为一家能够左右金融市场的新闻机构,她对这篇文章进行了长达两年的调查和撰稿,很难相信会去发布一篇有明显纰漏的报道。另一方面,亚马逊和苹果公司一反常态进行了坚决否认,彻底断送了事件被证实后逃避投资者诉讼的可能性。无论哪方偏离了事实,所产生的后果都会是十分巨大的。"
美味☆砂糖 写道 "彭博商业周刊报道了中国对硬件供应链的攻击,直接导致亚马逊、苹果和超微三家公司的股票大幅震荡,其中超微公司(NASDAQ: SMCI)在粉单市场的报价最低时只有 8.50 美元,重挫 60%(目前报价 12.60 美元)。如果中国实施了此类攻击,她是如何做到的?彭博社的报道中并未提及太多技术细节,但有一句话揭露了该攻击的实现方式:恶意芯片被植入了基板管理控制器(Baseboard Management Controller, BMC)。BMC 是服务器主板上的一块关键部件,也是智能平台管理接口(Intelligent Platform Management Interface, IPMI)的基础。BMC 自带一套完整的网络栈,有自己的 KVM、串行控制台和电源管理,相当于「机器内的另一台机器」。有了 BMC,即便服务器因为系统损坏而无法访问,管理员无需亲自到机房也能通过网络远程连接服务器的 IPMI 界面来监控硬件信息和软件状态、变更配置文件、重启设备甚至重新安装操作系统,以近似物理连接的方式操作服务器。安全研究人员认为,恶意芯片被植入在 BMC 芯片和关联的 SPI 缓存或 EEPROM 中间,这样当 BMC 试图从存储空间读取固件代码并执行的时候,恶意芯片便可拦截信号、修改比特流植入恶意代码以允许外部攻击者控制 BMC。拿下 BMC 后,攻击者便可修改宿主机的操作系统、加载含有恶意代码的额外存储空间、连接键盘和终端、操作主内存并注入代码、修改 CPU 指令等等。当 BMC 被攻破,整台机器都处在攻击者的掌控之下。通过攻击域外管理系统以夺取系统控制权的概念并不新鲜,类似的漏洞不止一次被揭露,而硬件厂商向来不关注这类系统的安全性,但通过直接修改硬件进行攻击的手法却是头一遭。安全研究人员讨论了该硬件攻击的几种具体实现方法。"
彭博商业周刊在报道了硬件供应链攻击之后,又报道了软件方面的供应链攻击。报道援引知情人士的消息称,超微公司(Supermicro)提供关键固件更新的在线入口 2015 年被来自中国的攻击者入侵,攻击者修改了服务器主板网卡的固件,允许其能悄悄控制服务器的通信。有至少两家客户下载了修改过的固件,其中一家是 Facebook。Facebook 证实有此事,但表示它只购买了少量超微硬件用于实验室的测试,没有用于产品。苹果否认它遭遇了服务器恶意芯片攻击,但承认遭遇过软件供应链攻击,事故发生在 2016 年,只影响实验室里的一台 Windows 服务器。苹果称这是它与超微终止合作的原因,否认恶意芯片是它与超微切断合作的原因。
彭博商业周刊报道了硬件供应链攻击,中国组装的主板被发现植入了微型芯片,黑客借此渗透进入了美国政府和大型企业的数据中心,受影响的企业包括了亚马逊和苹果,但两家公司都发表声明予以否认。报道称,亚马逊在 2015 年准备收购视频压缩技术公司 Elemental Technologies,这家公司曾为 CIA 的无人机视频传输提供了视频压缩技术,在评估阶段亚马逊雇佣了第三方公司检查其安全,在发现了一些令人不安的安全问题之后,Elemental 将其处理视频压缩的服务器打包送到第三方安全公司去详细检查。安全测试人员在主板上发现了原始设计所没有的米粒大小的芯片。调查人员发现芯片是在中国子承包商组装时植入进去的。这些主板都属于美国超微公司(Supermicro),超微是世界最大的服务器主板供应商之一,该公司的客户包括了银行、美国政府承包商、亚马逊苹果等大型企业。苹果在 2015 年原计划为其数据中心从超微订购超过 3 万台服务器,但在主板上发现恶意芯片之后苹果与超微终止了合作。亚马逊 AWS 此前在中国建立了数据中心,大量使用了超微的主板,在发现恶意芯片之后 AWS 安全团队对中国数据中心的主板进行了检查,发现了更多设计巧妙的恶意芯片,AWS 最终将整个中国数据中心都出售给了中国公司。报道称,这些芯片是中国军方设计的,部分芯片的外形类似信号调节耦合器,集成了内存、网络功能和发动一次攻击所需的足够处理能力。当植入的芯片激活后,它会修改操作系统内核,使其能接受修改。芯片还会尝试联系攻击者控制的服务器接收更多指令。美国政府官员称,中国的目标是获取高价值的企业机密和渗透进入敏感的政府网络,目前已知没有消费者数据被盗。
HardenedLinux 写道 "美国安全厂商PreOS Security在2018年感谢系统管理员日为系统管理员们献上了一份大礼:以创作共享许可证发布的电子书《Platform Firmware Security Defense for Enterprise System Administrators and Blue Teams》,本书全面的介绍了平台固件安全的现状,平台固件已经深入到了计算机的方方面面,包括传统的BIOS/UEFI,电源管理ACPI,基于TPM的传统可信根方案,GPU,NIC网卡,硬盘,以及带外管理系统BMC和Intel ME等,众多的固件实现暴露了极大的攻击平面,本书也介绍了关于平台固件防御的一些方案。企业用户在平台固件生态中扮演着很重要的角色,他们作为OEM厂商的客户提出对于安全性和开放可审计性的需求,随着NIST SP 800-193的定稿,更多的厂商加入到了开放安全硬件的生态中,越来越多的企业用户开始把固件加入硬件生命周期管理。经过了Ring -2的威胁以及Ring -3的暗影恶魔多年的"洗礼",HardenedLinux除了在技术方案的进化外也希望能够让更多的个人用户以及企业用户重视固件安全,HardenedLinux社区的翻译项目维护者已经把这本书翻译成了中文版供更多读者参考。"
HardenedLinux 写道 "俄罗斯厂商Positive Technologies的安全研究人员公开了借助Intel ME的制造模式(俄文版本)实现INTEL-SA-00086的漏洞利用,INTEL-SA-00086是Positive Technologies的安全研究人员于2017年12月公开的一组针对Intel ME各种实现的漏洞,版本跨度很大,影响到了数十年前的Core系列到较新的Apollo Lake,而且这个漏洞即使在开启NSA的隐藏开关HAP的情况下也可以被成功利用,Intel ME的制造模式是工厂在制造过程中用于配置和测试用的,通常应该在出厂前关闭,但Intel并没有在任何公开的文档中谈到制造模式的安全风险问题。研究人员发现一些苹果笔记本电脑(CVE-2018-4251)并没有关闭ME制造模式,攻击者可以使用HECI指令HMRFPO实现INTEL-SA-00086所需要的篡改操作。用户可以使用mmdetect工具来检测自己的机器是否存在这个漏洞。这种攻击范式在HardenedLinux的威胁模型中,即使2017版的Hardening the COREs也能免疫。"
Facebook 举行新闻发布会(发布会文字记录,PDF 格式),宣布遭到网络攻击,可能有多达五千万用户信息泄露,它已经根据欧洲数据保护法规 GDPR 要求通知了爱尔兰数据保护委员会。漏洞是三个 bug 组合的结果:第一个 bug 与 View As
功能有关,View As 允许用户以他人的角度查看自己个人主页,在特殊情况下 View As 会展示视频上传功能(比如鼓励用户发生日快乐祝贺);第二个 bug 存在视频上传功能中,它不正确的使用了单点登录功能,会产生访问令牌,访问令牌可以让浏览器记住用户的登录状态;第三个 bug 是 View As 显示的视频上传功能不是为你而是为你查看的特定用户产生访问令牌。存在漏洞的 View As 工具是在 2017 年 7 月加入到系统中的,9 月 16 日 Facebook 监视到了异常活动,9 月 25 日它发现了攻击以及攻击使用的漏洞。它迅速修复了漏洞并通知了执法部门,重置了受影响的五千万用户的访问令牌,并出于谨慎考虑重置另外四千万过去一年使用该功能的用户的访问令牌。大约有九千万用户需要重新登录。Facebook 还临时关闭了 View As 功能。
HardenedLinux 写道 "ESET团队近日曝光了一个有规模利用的UEFI恶意固件样本LoJax,此恶意固件应该是由Sednit(又名APT28)组织打造用于配合恶意软件持久化控制受害者计算机,整个恶意植入的流程大概如下:检查固件安全设置是否正确,如果未正确设置(比如没有写保护)就直接写入恶意模块到SPI flash中,如果正确设置的情况下则使用CVE-2014-8273漏洞利用进而完成恶意模块植入。基于UEFI的rootkit成为了Sednit恶意软件体系重要的组成部分,关于其他部分的描述可以参考ESET给出的信息。此次曝光的攻击是针对Windows的机型,但由于其固件的特性可以很轻松的移植到其他平台,HardenedLinux社区的建议是常规的固件安全审计,以及基于包括自由固件在内的定制方案( hardenedboot),更多的方面可以参考NIST SP 800-193合规指南的建议。"
俄罗斯政府黑客 APT 28 (aka Fancy Bear)利用恶意程序 VPNFilter 在全世界感染了 50 万路由器,被感染的路由器品牌包括 Linksys、MikroTik、Netgear、TP-Link、华硕、华为、中兴和 D-Link 等。思科研究人员此前从 VPNFilter 中发现了一个中间人攻击模块 ssler,攻击者能利用该模块向通过被感染路由器的流量注入恶意负荷,它甚至能悄悄修改网站发送的内容。现在,思科 Talos 团队的研究人员又从 VPNFilter 中发现了 7 个不同的网络漏洞利用模块,这一发现显示 VPNFilter 是作为一个长期使用的网络漏洞利用和攻击平台开发的。新发现的攻击模块包括:重定向和检查未加密内容的 htpx;远程访问设备的 SSH 工具 ndbr;用于侦察的网络映射模块 nm;能用于屏蔽地址的防火墙管理工具 netfilter;流量转发 portforwarding;将入侵设备变成 SOCKS5 VPN 代理服务器的模块 socks5proxy;在入侵设备创建 Reverse-TCP VPN 的模块 tcpvpn。
当警察在你的手机上强行安装应用,你怎么做才能最小化影响?毫无疑问,卸载并不会完全解决这个问题,因为警察随时可能抽查你的手机然后再次安装间谍软件,所以理想化的情况是让间谍软件能正常工作但不会真正监视到你。在编程问答社区 Stackexchange,用户们热烈讨论在这一条件下如何保护个人信息的安全。一些人的建议是手机上安装两个 ROM,类似 PC 的双启动,外出时使用安装了间谍软件的干净 ROM,在家时使用另外一个 ROM,但要时刻记住手机使用了哪个 ROM 未必轻松。而纂改间谍软件可能会给你带来更多麻烦。
