adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
WinterIsComing(31822)
发表于2020年03月11日 17时13分 星期三
来自
研究人员披露了名叫 Load Value Injection(LVI) 的英特尔处理器新漏洞,能窃取英特尔 SGX(代表 Software Guard eXtensions)中储存的秘密信息。LVI 与 Meltdown 和 Spectre 等类似,都属于瞬态执行利用,源自于 CPU 的一项优化技术“预测执行”。与其它瞬态执行漏洞类似,LVI 只能缓解无法修复。SGX 能在内存中创建一个隔离的环境,使用强加密和硬件层的隔离确保数据和代码的安全,防止被纂改。研究人员演示了他们可以利用 LVI 漏洞窃取 SGX 保护的密钥。受影响的处理器包括了 Sandy Bridge 家族、Ivy Bridge 家族和 Haswell 家族等等,Ice Lake 不受影响。芯片巨人声称 LVI 在现实中很难利用。
安全
WinterIsComing(31822)
发表于2020年03月09日 23时23分 星期一
来自
安全公司火绒报告,2345 旗下“多特下载站”的下载器(高速下载)正在实施传播木马程序的恶意行为。用户下载运行该下载器后,会立即被静默植入一款名为“commander”的木马程序,该木马程序会在后台运行,并根据云控配置推送弹窗广告和流氓软件。即使用户关闭下载器,“commander”仍然会一直驻留用户系统。同时,该下载器还会释放病毒劫持用户浏览器首页,用以推广广告程序。截至目前,被“commander”木马程序静默推广的软件共有9款,包括趣压、拷贝兔、小白看图等,且这些被静默安装的软件与“commander”木马程序系同源流氓软件。它的一个模块被发现还检测当前 IP 所在城市,被检测的城市包括:北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥。
安全
WinterIsComing(31822)
发表于2020年03月09日 15时32分 星期一
来自
比利时鲁汶大学和英国伯明翰大学的研究人员在汽车防盗控制器使用的加密系统中发现了漏洞。确切的说,研究人员是在丰田、现代和起亚实现的德州仪器加密系统 DST80 中发现了漏洞。黑客利用廉价的 Proxmark RFID 发射机在使用 DST80 的遥控钥匙附近可以收集到足够的信息去推断其密值,克隆遥控钥匙,关闭防盗系统启动汽车引擎。受影响的汽车型号包括丰田凯美瑞、花冠和 RAV4;起亚远舰、秀尔和锐欧;以及现代 I10、I20 和 I40。特斯拉 Tesla S 汽车也受到影响,研究人员在报告之后特斯拉已经释出了固件更新修复了漏洞。
安全
WinterIsComing(31822)
发表于2020年03月06日 22时27分 星期五
来自
美国正在起诉被指泄露 CIA 黑客工具集 Vault 7 和 Vault 8 的前雇员 Joshua A. Schulte。审讯透露的信息显示,CIA 内部的信息安全措施称不上有多严密,储存机密黑客工具的虚拟机密码是 123ABCdef,DevLAN 服务器的 root 登陆密码是 mysweetsummer,而这些密码在内部是共享的,发布在局域网内。聊天记录显示,每个人对这些薄弱的信息安全实践都心知肚明,并对此开玩笑。
安全
WinterIsComing(31822)
发表于2020年03月06日 20时28分 星期五
来自
一家美国大型国防承包商在 1 月中旬遭勒索软件攻击,至今未完全恢复。位于加州的 Communications & Power Industries (CPI)为雷达、导弹导引头和电子战技术提供配件,其客户包括了美国国防部及其研发机构 DARPA。事故发生在一月中旬,一位具有域管理权限的用户点击了恶意链接,触发了勒索软件对文件进行加密,数千台计算机都在同一域内,勒索软件快速扩散到每一个 CPI 办公室,包括现场备份(on-site backups)。该公司之后向攻击者支付了约 50 万美元赎金。部分包含敏感军事数据的计算机用解密密钥恢复数据,其中之一包含了与洛克希德马丁公司神盾系统相关的文件。到二月底只有四分之一的计算机恢复运行。许多计算机都重新安装了操作系统。CPI 发言人证实遭到了攻击,但拒绝提供更多信息,因此目前不清楚它感染了什么勒索软件。
安全
WinterIsComing(31822)
发表于2020年03月06日 11时57分 星期五
来自
VPN 是重要的安全隐私工具,它本质上是加密两个或多个设备之间的连接,通过安全隧道路由流量。VPN 连接的安全性与软件息息相关,如果软件不安全,那么连接也不可能有多安全。然而由于现有的 VPN 软件的复杂性,安全审计的工作相当困难。这是为什么 WireGuard 进入内核主线的消息如此备受瞩目。相比其它 VPN 软件动辄数万行代码,WireGuard 首个版本的代码不到 4000 行,代码少不意味着它安全,但意味着问题更容易发现和修复。WireGuard 由安全研究员 Jason A. Donenfeld 创造,他从事渗透测试工作,WireGuard 的前身是一个数据渗漏工具。他在 2012 年移居到法国,想通过一个安全的方式连接美国家中的计算机,他不信任现有的 VPN 软件,意识到可以使用自己开发的数据渗漏工具通过父母家中的计算机安全路由流量。用于网络进攻的工具也能用于网络防御。为了降低复杂度,WireGuard 提前为用户设定了部分选项,IPsec 和 OpenVPN 功能更丰富但也过于复杂,简单的 WireGuard 则能减少犯错的几率。对这一观点,OpenVPN 的作者 James Yonan 有异议,认为 VPN 软件复杂性的恐惧被夸大了,他强调在 OpenVPN 诞生的近二十年里没发现任何严重的漏洞。
安全
WinterIsComing(31822)
发表于2020年03月04日 20时56分 星期三
来自
Let's Encrypt 宣布在 CAA(Certification Authority Authorization)代码中发现 bug,它将从美国东部时间 3 月 4 日下午 3 点开始撤销受到影响的客户证书。Let's Encrypt 使用的 CA 软件叫 Boulder。一台有多个独立域名的服务器可以通过 Let's Encrypt 签发的一个证书去覆盖所有域名,而不是每个域名一个证书。但 CAA 中的 bug 导致 Boulder 没有检查每一个域名的有效性而是同一个域名检查 N 次。Let's Encrypt 可能对 CAA 记录中不有效的域名签发了证书,它决定撤销没有正确检查 CAA 记录的所有证书。在 Let's Encrypt 签发的 1.16 亿活跃证书中有 3,048,289 个证书受到影响需要替换。Let's Encrypt 客户如果使用 Certbot 可以输入命令 certbot renew --force-renewal 去更换证书。你也可用访问这个网址 https://unboundtest.com/caaproblem.html 检查自己使用的证书是否受到影响。
安全
WinterIsComing(31822)
发表于2020年03月03日 22时47分 星期二
来自
奇虎 360 安全博客发表英文文章称,过去 11 年 CIA 黑客入侵了中国的公司和政府机构。CIA 的黑客行动发生在 2008 年 9 月到 2019 年 6 月之间,主要目标位于北京、广东和浙江。奇虎称,它是根据黑客使用的恶意程序 Fluxwire 和 Grasshopper 将黑客行动与 CIA 关联起来。这些恶意程序随 Vault 7 工具集而曝光。奇虎称,Fluxwire 的编译时间与美国的时区一致。它表示这一行动的代号为 APT-C-39。
安全
WinterIsComing(31822)
发表于2020年03月03日 20时56分 星期二
来自
John Strand 以破坏为生,作为渗透测试员,他被机构聘用去破坏它们的防御系统,在真正的坏人前面发现漏洞。Strand 通常亲自或其 Black Hills 的同事去执行渗透任务。但在 2014 年 7 月,他在执行南达科他州监狱渗透测试时派他母亲去了。这其实是他母亲 Rita Strand 的想法。她在餐饮服务业工作三十年后开始担任 Black Hills 的财务官。她对自己的专业很有信心,可以扮作卫生检查员去监狱检查卫生。John Strand 在 RSA 安全会议上讲述了其母亲渗透监狱的经历,他说,“那是我妈,我能怎么说?”他们准备了假的徽章和名片,以及一个有恶意程序的 U 盘,Rita 的主要任务就是在监狱联网计算机上插入 U 盘。她在监狱里没有遭遇任何非难。在进行所谓的卫生检查时候狱方甚至允许她保留手机,她检查冰箱冰柜,寻找过期食物并拍照。她还要求检查网络中心,服务器机房,甚至自由在监狱里行走。在结束之际,监狱长请她过去询问如何改善饮食的建议,她递过了一个 U 盘,让监狱长查看里面的文件。当狱长点击文件,他无意中让 Black Hills 的黑客访问了他的计算机。Rita 在 2016 年因癌症去世,她没有机会再参与渗透测试。
安全
WinterIsComing(31822)
发表于2020年03月03日 11时03分 星期二
来自
去年六月,Have I Been Pwned?(HIBP)维护者 Troy Hunt 宣布他正在积极寻找买家。HIBP 是知名的数据泄露通知网站,储存了各个网站和服务已知的泄露数据。Hunt 称至今 HIBP 的每一行代码、每一个配置和数据泄露记录都是他一个人做的,不存在 HIBP 团队之说,他一个人做了所有的事情。现在是时候壮大 HIBP,从一个个人维护的服务转变到由一个资源和资金更充足的机构维护的服务。在将近一年之后,在与上百意向购买者协商之后,Troy Hunt 宣布 HIBP 将会继续独立运营。他发表了长篇博文解释了自己决定,称买家商业模式带来的意料之外的变化令交易变得不可行。
安全
WinterIsComing(31822)
发表于2020年03月02日 12时49分 星期一
来自
Ghostcat 漏洞影响过去 13 年发布的所有 Apache Tomcat 版本,该漏洞允许攻击者控制系统。Ghostcat 是中国安全公司长亭科技发现的,存在于 Tomcat AJP 协议中,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
安全
WinterIsComing(31822)
发表于2020年03月01日 09时49分 星期日
来自
研究人员披露了一个影响数亿设备的 Wi-Fi 芯片漏洞,大部分设备已经打上了补丁。漏洞存在于 Cypress Semiconductor 和 Broadcom 制造的 Wi-Fi 芯片中,影响的设备包括了 iPhone、 iPad、Mac、Amazon Echo 和 Kindle、Android 设备、Raspberry Pi 3,以及华硕华为制造的 Wi-Fi 路由器。发现漏洞的安全公司 Eset 将其命名为 Kr00k,厂商已经为大部分受影响设备提供了补丁,但不清楚有多少设备安装了补丁。漏洞发生在设备与无线访问点解离过程中,附近的攻击者可以发送解离封包触发漏洞。苹果表示去年 10 月它就释出了补丁。
安全
WinterIsComing(31822)
发表于2020年02月19日 22时18分 星期三
来自
美国国土安全部网络安全和基础设施安全署的公告显示,有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施,攻击始于钓鱼邮件内的恶意链接,攻击者从其 IT 网络渗透到作业 OT 网络,其 IT 和 OT 网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器,因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天,但由于管道传输的依赖性,它的关闭连带影响到了其它地方的压缩设施。
安全
WinterIsComing(31822)
发表于2020年02月19日 20时45分 星期三
来自
安全公司 Talent-JumpTrend Micro 报告,从去年夏天起,一群中国专业黑客入侵了东南亚的赌博公司,目的是窃取公司数据库和源代码而不是钱。发动攻击的黑客组织被称为 DRBControl,其行动可能与中国政府没什么联系。FireEye 去年称部分中国黑客组织在空闲时间会出于自己的兴趣和利益展开攻击行动。 DRBControl 首先对目标发动钓鱼攻击,当目标打开嵌入恶意程序的文件之后安装后门,然后下载各种工具展开行动。
安全
WinterIsComing(31822)
发表于2020年02月19日 14时43分 星期三
来自
上个月,加密专家和程序员 Moxie Marlinspike 刚在飞机上就座,他的领座、一名 60 多岁的中西部男子请他帮忙把 Android 手机切换到飞行模式。当 Marlinspike 看了下手机屏幕,他错愕了下,他发现手机上安装的一个应用是 Signal。Marlinspike 发布的 Signal 被广泛认为是最安全的端对端加密消息应用。Marlinspike 在接受采访时表示,他们构建 Signal 应用时就希望它能被不知道如何启用手机飞行模式的用户使用。今天,Signal 真的将安全消息服务带给了大众,而不只是隐私加密死忠和活动人士。Signal 的进化始于两年前,WhatsApp 联合创始人 Brian Acton 向 Signal 项目投资 5000 万美元,成立了 Signal 基金会并担任执行主席。Signal 项目从只有 3 名全职雇员到今天有 20 名雇员。
科技
WinterIsComing(31822)
发表于2020年02月19日 14时10分 星期三
来自
Google Project Zero 安全博客上周发表博文称,三星对 Android 内核的改动让手机不那么安全。安全研究员 Jann Honn 讨论了三星在 A50 手机上对 Android 内核进行的改动。三星改动了限制攻击者读取或修改用户数据的安全功能,这一改动不是增加了安全性而是引入了漏洞,可能增加了攻击者执行任意代码的能力。三星的保护机制没有提供有意义的保护,而只是屏蔽了没有为三星手机进行定制的 root 工具。Google 称它努力减少攻击者访问设备驱动和增加内核代码的能力,但三星的改动削弱了这些努力。安全研究人员认为,设备特定的内核改动要么递交到上游要么转移到用户空间,否则最好不要乱动。
安全
WinterIsComing(31822)
发表于2020年02月18日 15时14分 星期二
来自
使用 ThemeGrill 商业主题的 WordPress 网站站长需要尽快更新随主题一起安装的插件,以修复可能导致网站所有内容归零的严重 bug。bug 存在于 ThemeGrill Demo Importer 中,该插件用于导入演示内容到 ThemeGrill 主题内,它被安装在 20 多万个网站上。WordPress 安全公司 WebARX 报告,旧版本 ThemeGrill Demo Importer 允许远程攻击者发送特质负荷到存在漏洞的网站触发插件功能。该功能会将所有网站内容重置为零,事实上清空启用 ThemeGrill 主题的网站所有内容。
安全
WinterIsComing(31822)
发表于2020年02月17日 14时50分 星期一
来自
安全研究员在去年举行的 Black Hat 安全会议上披露 Fortinet 和 Pulse Secure VPN 产品的漏洞,随后有政府背景的黑客就迅速利用漏洞去攻击企业目标。以色列网络安全公司 ClearSky 报告,伊朗政府黑客也迅速行动起来,向 IT、电信、石油天然气、航空、政府和安全领域的目标发动攻击。伊朗黑客的技术通常被认为弱于俄罗斯、中国和朝鲜,但 ClearSky 推翻了这一观念,称伊朗的 APT 组织能在极短时间内利用 1 day 漏洞,他们观察到伊朗黑客在漏洞披露数小时内就开始利用漏洞。报告称,至少有三个伊朗黑客组织  APT33 (Elfin,Shamoon)、APT34 (Oilrig) 和 APT39 (Chafer) 对 VPN 服务展开了攻击,攻击的目标主要是执行侦察和植入后门进行监视。
比特币
WinterIsComing(31822)
发表于2020年02月17日 12时55分 星期一
来自
IOTA 不是基于区块链而是基于有向非循环图这一数学概念的加密货币,它诞生于比特币最为火热的 2017 年。上周,在得知黑客正利用官方钱包应用漏洞窃取用户资金之后,管理 IOTA 的基金会关闭了整个加密货币网络。攻击发生在 2 月 12 日,IOTA 基金会在收到报告 25 分钟内关闭了用于批准交易的最后一个节点 Coordinator,阻止黑客窃取用户资金,但事实上也关闭了整个网络。攻击者被认为针对了 10 个高价值的用户,利用官方钱包应用 Trinity 的漏洞窃取资金。据非官方消息称,有大约价值 160 万美元的 IOTA 币被窃取。IOTA 团队在周日发布了 1.4 版本,修复了被利用的漏洞。目前网络仍然下线,开发者正在敲定补救计划。
安全
WinterIsComing(31822)
发表于2020年02月14日 19时36分 星期五
来自
奇虎 360 的一位安全研究员披露了流行 SOCKS5 代理 Shadowsocks 的流密码重定向攻击漏洞。流密码是一种对称加密算法,加密和解密双方使用相同伪随机加密数据流作为密钥,明文数据每次与密钥数据流顺次对应加密,得到密文数据流。流行的流密码算法包括 ChaCha、RC4、A5/1、A5/2、Chameleon、FISH、Helix 等。研究人员发现 Shadowsocks 协议存在漏洞,会破坏流密码的保密性。利用重定向攻击被动攻击者可以轻松解密所有 Shadowsocks 的加密数据包。中间人攻击者还能实时修改流量,就好像加密根本不存在。受影响的版本包括 shadowsocks-py、shadowsocoks-go 和 shadowsocoks-nodejs,shadowsocks-libev 和 go-shadowsocks2 不受影响,研究人员还建议使用 AEAD 加密算法。漏洞是在 2018 年 12 月发现的,2019 年 3 月发布了概念验证攻击。