adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
WinterIsComing(31822)
发表于2020年05月25日 15时57分 星期一
来自
Chromium 项目报告,它七成的严重安全 bug 属于内存安全问题,因此它的下一个项目将是在源头阻止此类 bug。对 2015 年之后发现的 912 个高危级安全 bug 的分析发现,七成为内存不安全问题,如 C/C++ 指针错误,其中一半是使用后释放 bug。这些 bug 遍及整个代码库,非安全性的 bug 很大一部分其根源也是内存安全问题。Chromium 项目称它的沙盒机制在设计时就考虑了此类 Bug 的存在,但现在沙盒和网站隔离机制已经达到其能力的极限。他们现在考虑的一个方案是使用现有的更安全的语言如 Rust 和 Swift 等。
安全
WinterIsComing(31822)
发表于2020年05月22日 23时41分 星期五
来自
上个月安全公司 QuoIntelligence 报告,中国黑客组织 Winnti (aka APT41、BARIUM、Blackfly)尝试入侵《仙境传说》开发商韩国重力社的内部网络。Winnti 被认为是恶意版 CCleaner 的幕后攻击者。安全公司 ESET 本周四披露了 Winnti 对网游公司发动攻击的更多细节。安全研究人员称,Winnti 攻击了韩国和台湾的多个热门网游开发商,在其中一个案例中,攻击者入侵了受害者的构建系统,发动了供应链攻击,将游戏可执行文件变成了木马。在另一个案例中,攻击者入侵了游戏服务器,操纵游戏内虚拟货币以获得经济利益。在 2018 年的一次攻击中, Winnti 窃取了 Nfinity Games 的软件证书,该证书直到 ESET 警告其滥用之后才被撤销。
安全
WinterIsComing(31822)
发表于2020年05月22日 22时35分 星期五
来自
德国和法国的研究人员在预印本网站 arXiv 上发表论文(PDF),分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类:其一是在软件产品中植入恶意代码去感染终端用户,此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击,攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新,这次攻击造成了数十亿美元的损失,是已知最具破坏性的网络攻击之一。另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户,它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行,此类的攻击日益常见。研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包,他们发现 56% 的软件包在安装时触发恶意行为,41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。
安全
WinterIsComing(31822)
发表于2020年05月22日 17时46分 星期五
来自
DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制,它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。DNS 解析程序不能向“名字”发送域名查询,因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址,之后才能继续查询域名。NXNSAttack 就是基于这一原理,攻击者发送的委托包含了假的权威服务器名字,指向受害者的 DNS 服务器,迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次,对受害者服务器发动了拒绝服务攻击。众多 DNS 软件都受到影响,其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文
安全
WinterIsComing(31822)
发表于2020年05月21日 15时46分 星期四
来自
乌克兰安全部门宣布逮捕黑客 Sanix(a.k.a.“Sanixer“),称他们在其计算机上找到的记录显示他出售各种数据库,包括登陆凭证、电邮收件箱、银行卡的 PIN 码,数字货币钱包,PayPal 账号和漏洞信息。Sanix 因在去年一月出售容量超过 87GB 的数据库 Collection #1 为闻名,其中包含了 7.73 亿电子邮件地址和 2122 万个唯一密码。但该数据库并不是近期泄露的,而是几年前泄露用户账号信息整理而来。Sanix 在接受采访时承认了这一点,表示手中还有较新的泄露账号信息,总容量超过 4TB。Sanix 不是什么犯罪大师,他留下了很多线索可以跟踪到其真实身份。在被捕前,网上记录显示他在忙碌的兜售窃取的各种用户信息数据库。
安全
WinterIsComing(31822)
发表于2020年05月21日 13时44分 星期四
来自
在新冠疫情导致的混乱时期,网络罪犯和黑客对企业的攻击增多,与此同时,各企业还面临着另一个同样严重的安全威胁:它们自己的雇员。随着大量员工不用在他们老板的警惕目光下工作,而且解雇潮令一些员工心怀不满,企业越来越青睐于“老大哥”式的监控工具,以防止员工泄露或盗窃敏感数据。所谓的内部人员威胁包括员工无意间将隐私数据分享至工作网络之外,也包括故意盗窃数据,通常是为可能的金钱回报或对雇主的怨恨所驱动。较少见的情况(但这种情况正在增多)是知识产权盗窃和替外国政府刺探情报。虽然长期以来,雇主可以合法地监控电子邮件和网络行为,以检测外部网络安全威胁的迹象,但对于一些雇主而言,对员工运用此类工具所蕴含的隐私和信任问题会引起不适。
比特币
WinterIsComing(31822)
发表于2020年05月17日 21时33分 星期日
来自
英国、德国和瑞士的多台超级计算机感染了挖掘门罗币的挖矿程序,管理者关闭了这些超算对入侵事故展开调查。西班牙的一个高性能计算中心据报道也发生了类似的安全事故。爱丁堡大学最早在周一报告称,它的超算 ARCHER 登陆节点发生了安全事故,它关闭了系统展开了调查,并重置了 SSH 密码以防止再次被入侵。德国协调超算研究项目的组织 bwHPC 也在周一宣布它的五个高性能计算集群因类似的安全事故被关闭。莱布尼茨计算中心周四宣布切断它的一台超算的网络连接,德国尤里希研究中心称因为安全事故它不得不关闭三台超算 JURECA、JUDAC 和 JUWELS。瑞士科学计算中心关闭了超算对外访问。这些研究机构尚未公布入侵细节,但初步报告显示黑客利用了窃取到的 SSH 登陆凭证访问超算集群,利用已知漏洞提权获得 root 权限,然后安装挖矿程序挖掘门罗币。被窃取的登陆凭证属于加拿大、中国和波兰的大学。
安全
WinterIsComing(31822)
发表于2020年05月16日 22时39分 星期六
来自
去年 11 月 27 日,Upbit 交易所遭入侵,34.2 万以太坊被盗走。黑客之后在 12 月和 1 月通过多个数字货币交易所洗掉了超过 23.6 万以太坊。剩余的以太坊一直留在黑客的钱包里。跟踪数字货币交易的 Clain 报告,黑客最近开始尝试通过多个交易所洗掉剩余的以太坊。黑客利用了多个知名的交易所,其中包括币安(Binance)、火币和 OKex。对窃取 Upbit 以太坊交易的跟踪显示,币安是利用率最高的交易所。币安官方表示它已经阻止了黑客的交易,数据显示黑客使用的钱包地址活跃了很长时间,直到最近才被屏蔽。
犯罪
blackhat(19032)
发表于2020年05月16日 17时48分 星期六
来自
纽约律所 Grubman Shire Meiselas & Sacks (GSMS) 上周遭到了勒索软件 REvil (Sodinokibi) 的攻击,在加密计算机系统中的文件前勒索软件先窃取了其内部文件。窃取到的文件包含了律所客户的法律文书,它的客户中有名人和知名企业,如 Lady Gaga、Madonna、Mariah Carey、Nicki Minaj、Bruce Springsteen、Bette Midler、U2、Outkast、Jessica Simpson、Cam Newton 和 Facebook。攻击者 5 月 7 日在暗网发布信息,公布了一些窃取到的文件截图,给律所一周时间协商和支付赎金。14 日是截止日期,REvil 背后的运营者发布了第二则信息,称律所只愿意支付 36.5 万美元,而他们的要求是 2100万美元,因此现在他们把赎金增加了一倍至 4200 万美元。作为惩罚,REvil 黑客发布了 2.4 GB 大小的文档,其中包含了 Lady Gaga 的法律文书,大部分是演出合同。黑客还威胁释出对美国总统特朗普不利的文件。但有娱乐网站称特朗普从未成为 GSMS 的客户,因此这可能只是虚张声势。
安全
WinterIsComing(31822)
发表于2020年05月15日 16时55分 星期五
来自
微软本周二释出了例行安全更新,修复了多个漏洞,其中一个漏洞与打印机后台处理程序 Windows Print Spooler 相关,影响 Windows Server 2008、2012、2016 和 2019,以及 Windows 7、8.1 和 10。微软的安全公告似曾相识,称成功利用该漏洞的攻击者可以使用提升的系统权限执行任意代码。这个漏洞与十年前 Stuxnet 蠕虫利用的 Windows XP 漏洞十分相似。Stuxnet 蠕虫在 2010 年感染了伊朗的核设施,之后扩散到了世界其它地方。Stuxnet 至少利用了 4 个 0day 漏洞,其中之一就是打印机后台处理程序 Windows Print Spooler 漏洞 CVE-2010-2729,成功利用该漏洞的攻击者可以在 XP 系统上执行任意代码。最新的漏洞是 SafeBreach 的安全研究人员发现和报告给微软的,它除了与 Stuxnet 蠕虫相关外,最引人注目的一点是非常容易利用,一行 PowerShell 指令就能利用和安装一个持久性的后门。
安全
WinterIsComing(31822)
发表于2020年05月15日 14时59分 星期五
来自
macOS 版本的 Adobe Acrobat Reader 释出了补丁,修复了三个高危漏洞(CVE-2020-9615,CVE-2020-9614 和 CVE-2020-9613)。这些漏洞是腾讯安全玄武实验室的研究人员发现和报告的,漏洞允许普通用户从本地进行提权,在不被注意的情况下获得 root 权限。腾讯安全研究人员通过 GitHub 博客披露了漏洞细节。com.adobe.ARMDC.SMJobBlessHelper 是 Adobe Acrobat Reader 负责更新的一个组件,它运行在 root 权限下,没有应用沙盒,三个漏洞 Bad Checking,绕过临时文件夹 root 保护,竞争条件与之相关。
安全
WinterIsComing(31822)
发表于2020年05月14日 18时20分 星期四
来自
微软向测试者释出了 Windows 10 的最新版本,加入了对 DNS-over-HTTPS (DoH) 的初步支持。DoH 设计通过 HTTPS 加密向第三方或用户自己搭建的 DNS 服务器发出域名查询请求,这种方法被认为相对于明文连接 DNS 服务器更安全。如果在 Windows 10 中启用了 DoH,那么操作系统将会通过 DoH 而不是传统的 DNS 去解析域名。浏览器如 Firefox 和 Chrome 已经加入了对 DoH 的支持,但受到了部分工程师和系统管理员的批评,认为会给企业系统管理员带来麻烦,是将操作系统级的控制权占为己有。通过开发 DoH 客户端,微软恢复了在操作系统层次的控制。
安全
WinterIsComing(31822)
发表于2020年05月13日 14时59分 星期三
来自
美国最大 ATM 供应商 Diebold Nixdorf 遭勒索软件攻击。该公司表示黑客未能接触 ATM 或客户网络,只影响其企业网络。Diebold 有 3.5 万名员工,其 ATM 机器在全球的市场占有率估计为 35%,它还生产零售商使用的销售终端系统和软件。攻击发生在 4 月 25 日晚上,安全团队探测到企业网络的异常行为,它立即采取行动隔离网络中的系统,阻止恶意程序扩散。该公司表示勒索软件没有影响到它的客户网络。入侵 Diebold 企业网络的是被称为 ProLock 的勒索软件。Diebold 称它没有向攻击者支付赎金。安全专家表示这么做也许更好,因为当前版本的 ProLock 解密工具会损坏数据库之类的大型文件。
安全
WinterIsComing(31822)
发表于2020年05月12日 22时30分 星期二
来自
HardenedLinux 写道 "2020年5月10日,华为在内核加固邮件列表上公开了一个针对Linux内核防御的方案HKSP,但很快PaX/GRsecurity团队就找到了HKSP方案的一些漏洞并且在网站上公开,此事在一些社交网站都有讨论,HKSP作者在内核加固邮件列表中解释说这个并不是公司项目而是个人的开源项目(未经证实的信息显示作者是HKSP的长期开发者),5月11日,华为产品安全应急响应中心也发布公告指出经过调查HKSP并没有集成到任何的华为当前产品中,之后PaX/GRsecurity团队的创始人之一spender在指出HKSP的代码仓库有修改提交时间并且HN上关于HKSP是一位实习生开发的说法并不可信,据称HKSP作者是一位在华为工作的20级的高级安全雇员。2020年5月12日的晚些时候其作者已经把HKSP名称修改为AKSP。HardenedLinux社区今天跟spender进行了沟通,spender反复强调他在乎的是事实本身,如果你犯了错误应该及时承认并且快速修复,spender称他并不是针对华为,因为2019年他阅读了英国政府发布的华为代码分析报告后认为这份报告从技术层面看非常不专业还写了技术分析文章,spender也强调他欣赏包括华为在内的所有为自由开源社区贡献的个人和公司。"
安全
WinterIsComing(31822)
发表于2020年05月12日 10时16分 星期二
来自
匿名读者 写道 "安全专家 Björn Ruytenberg 日前在研究后发现,骇客只需利用一套被称作「Thunderspy」的技术,就可以轻松地在配有 Thunderbolt 连接口的 PC 或 Linux 电脑上窃取用户的加密数据。按照他的说法,在骇客能够亲手接触到设备的前提下,其实只需要螺丝刀、「简易的便携硬件」以及区区五分钟时间就能得手了。 目前市面上仍有大部分来自各品牌的旧款机种要面临受到这类攻击的风险,而且可能也是某些产品选择不配备 Thunderbolt 的原因(比如 Surface?)。而运行 macOS 的苹果电脑据 Ruytenberg 所说并不受影响,除非是使用 Boot Camp 的情况。Ruytenberg 之前分别在今年 2 月 10 日和 4 月 17 日将漏洞细节分享给了英特尔和苹果,如果你想知道自己的电脑是否有受到攻击的风险,可以去这个网站上确认一下。"
安全
WinterIsComing(31822)
发表于2020年05月09日 15时08分 星期六
来自
运营欧洲最大私人医院的德国 Fresenius 集团遭勒索软件攻击。Fresenius 称这起事故限制它的部分业务运作,但病人护理正常。Fresenius 总部位于德国,在一百多个国家雇佣了近 30 万人,在福布斯的 Forbes Global 2000 排行榜中排在第 258 位。本周二,有匿名工作人员披露 Fresenius 的计算机网络遭到了网络攻击,全球业务都受到影响。网络攻击的罪魁祸首是名叫 Snake 的勒索软件。Fresenius 发言人随后证实公司计算机感染了病毒,表示 IT 正在尽可能快的解决这个问题。和其它勒索软件类似,Snake 在加密计算机文件之后会要求限期支付比特币形式的赎金,否则会将公司内部文件发布到网上。
安全
WinterIsComing(31822)
发表于2020年05月08日 18时27分 星期五
来自
安全公司 Forcepoint 披露了一个存在了八年之久的僵尸网络,而这个僵尸网络的目的不是为了发动拒绝服务攻击或发送垃圾信息,而只是为了下载日本动漫,很可能是一位黑客的业余项目。被称为 Cereals 的僵尸网络利用了友讯科技的 NVR 和 NAS 设备固件 SMS 通知功能的一个漏洞,它最早出现 2012 年,2015 年设备数量最多有 1 万台,最近几年逐渐消失,原因包括存在漏洞的设备逐渐老化和淘汰,此外 2019 年出现的勒索软件 Cr1ptT0r 还会删除 Cereals。种种迹象显示,这个僵尸网络的作者可能是名叫 Stefan 的德国人——Stefan 是德国最常见的名字之一。
安全
WinterIsComing(31822)
发表于2020年05月08日 14时21分 星期五
来自
Check Point Software Technologies 报告中国黑客组织 Naikon 对包括西澳洲政府在内的亚太地区国家发动攻击。Naikon 的方法是先渗透进入一个政府机构,然后利用该机构的通讯录、文档和数据对其它政府目标发动针对性的钓鱼攻击,利用部门和政府之间的信任和外交关系去增加攻击的成功率。它使用名叫 Aria-body 的后门获得被感染计算机和网络的远程访问能力。Check Point 称,Naikon 主要针对不同政府的外交和科技部门,以及政府企业,它的动机被认为是收集地缘政治情报。
安全
WinterIsComing(31822)
发表于2020年05月07日 19时57分 星期四
来自
如果黑客能成功渗透进其定制的 Linux 操作系统 Azure Sphere OS,微软愿意向黑客提供最高 10 万美元的奖励。Azure Sphere OS 是为物联网平台开发的,设计运行在专门的芯片上。为了测试其安全性,软件巨人向入侵 Pluton 安全子系统或 Secure World 沙盒的黑客提供赏金。这一悬赏挑战项目从 6 月 1 日到 8 月 31 日,持续三个月。物理攻击不在范围之内,感兴趣的安全研究人员可以申请参与挑战。
安全
WinterIsComing(31822)
发表于2020年05月05日 21时11分 星期二
来自
人通常是数据安全的最薄弱环节。一名黑客再次证明了这一点。该名黑客贿赂了流行网络游戏 Roblox 的雇员,访问了游戏后端的客户支持面板,可以查询玩家的个人信息,获得游戏内的虚拟货币。Roblox 是一款在未成年人中间非常受欢迎的网络游戏,月活用户超过 1 亿。通过访问后端支持面板,黑客可以看到用户的电邮地址,可以修改密码,移除二步认证,封掉用户,等等。