adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
pigsrollaroundinthem(39396)
发表于2017年10月02日 16时52分 星期一
来自普通用户不需去
彭博社援引知情人士的消息报道,Google 计划升级它的账号二步认证工具以抵御出于政治动机的网络攻击。新的服务被称为 Advanced Protection Program,预计将在本月推出,将使用 USB 安全密钥来保护账号和阻止第三方应用访问数据。Google 将向企业执行官、政客和其他想要加强安全的人销售这款产品。Google 早在 2014 年就发布了使用 USB 安全密钥加强二步认证的软件。新的服务除继续需要物理的 USB 密钥外还将加入第二个物理密钥来加强保护。新的服务还将屏蔽所有第三方应用访问用户的电子邮件或储存在 Google Drive 中的文件。
安全
pigsrollaroundinthem(39396)
发表于2017年09月28日 21时05分 星期四
来自现在是 EDGE 的时代
最新版的 IE 被发现存在一个 bug 会泄漏用户在地址栏输入的信息。该 bug 允许任何用户当前访问的网站浏览到用户在地址栏输入的信息,它潜在可能会暴露用户不想让网站看到的敏感信息。该 bug 是安全研究人员 Manuel Caballero 发现的,他已经发布了一个 POC 演示在 IE 上利用这个 bug。
安全
pigsrollaroundinthem(39396)
发表于2017年09月27日 13时09分 星期三
来自实名制
去年曝光的一个高危内核漏洞正被中国的网络罪犯利用。被命名为 DirtyCow 的漏洞被认为是内核至今曝出的最严重提权漏洞,影响所有 Android 版本,它非常容易被利用,可被用于 Root 任何 Android 设备。趋势科技的安全研究人员报告了第一种利用该漏洞的恶意程序家族 ZNIU。ZNIU 应用通过第三方应用市场传播,藏身于色情应用和游戏应用中,一旦安装,它会联络 CC 服务器,同时使用 DirtyCow 漏洞获取 root 权限和植入后门。由于 DirtyCow 漏洞只能工作在 ARM/X86 64 位架构设备上,ZNIU 会使用 KingoRoot 和 Iovyroot 去 root 32 位设备。之后 ZNIU 会订阅中国移动运营商的增值服务,从屏幕截图上看受害者可能主要是中国电信的用户。研究人员发现 ZNIU 的漏洞利用管理服务器和域名都位于中国,他们建议用户不要从不信任的应用市场下载应用。
安全
pigsrollaroundinthem(39396)
发表于2017年09月27日 12时13分 星期三
来自习惯就好
Google 自 2015 年起开始大力推广它的 AMP(Accelerated Mobile Pages),提供一种方式为智能手机用户优化网站内容访问。AMP 是网站的一个简化版本,Google 会在搜索结果中预加载这个简化版,如果用户点击包含 AMP 网页的结果可以即时显示。然而问题是在移动设备上用户只会看到 Google 的域名而看不到源域名,这种显示方式就为钓鱼攻击留下可供利用的空间,毕竟用户显然对 Google 非常信任。与俄罗斯政府有关联的黑客组织 Fancy Bear(aka APT28)就被发现利用这个漏洞尝试发动钓鱼攻击,窃取 Gmail 用户的密码。这一 bug 早在 2016 年 11 月就被报告给了 Google,但该 bug 报告于 2017 年 2 月关闭,9 月 13 日锁定。
安全
pigsrollaroundinthem(39396)
发表于2017年09月26日 13时21分 星期二
来自调整活动时间
安全公司 Avast 旗下的免费软件 CCleaner 最近被攻击者植入了后门,227 万 PC 下载了包含后门的恶意版本,其中至少 40 台隶属于知名科技公司的 PC 被植入了后续恶意代码。Avast 官方博客称,这是一次 APT 攻击,攻击针对的是特定的高科技和电信公司。虽然 CCleaner 是一款消费者级产品,但攻击的意图不是消费者及其数据,而是那些能访问特定公司企业网络的 CCleaner 用户。攻击分两个阶段,第一阶段是利用后门版 CCleaner 感染用户,然后利用收集到的感染信息选择性的发动第二阶段攻击。Avast 称,攻击者使用的 CC 服务器在曝光前发生了崩溃事故,原因是硬盘空间不足,因此 CC 服务器只保留了 3.5 天的数据库。但在崩溃前攻击者在另一台服务器上备份了数据库。在托管商和执法机关的帮助下,他们分析了崩溃后的数据库和备份数据库(有 40 小时的数据丢失),发现与 CC 服务器的总连接数是 5,686,677,唯一 MAC 地址数是 1,646,536,有 40 台 PC 遭到了第二阶段的攻击。这些 PC 分别属于台湾中华电信(13 台)、日本电气(10)、韩国三星(5)、台湾华硕(2)、日本富士通(2)、日本索尼(2)、美国的 Dvrdns、英国的 O2、德国的 Gauselmann、新加坡电信、英特尔和 VMware。从 227 万中选择 40 台入侵,这显然是一次针对性的攻击。Avast 称,多个线索显示攻击源头来自中国,但攻击者的活跃时间并非是 UTC + 8,目前还无法确认攻击者身份。
安全
pigsrollaroundinthem(39396)
发表于2017年09月25日 13时26分 星期一
来自不信任区
研究人员演示了利用电源管理入侵 ARM TrustZone,把 TrustZone 变得不那么能受到信任。今天的大多数 CPU 都支持动态电压频率调整,根据 CPU 是空闲或忙碌来动态的调整 CPU 的电压和频率。研究人员发现,他们可以通过调大调小一个线程的电压来翻转另一个线程的比特。当第二个线程正被 TrustZone 密钥的时候翻转比特,研究人员就获得了权限。他们将这种新型硬件故障攻击称为 CLKSCREW 攻击,称它是硬件 bug,而不是软件 bug,很难简单的修复,存在于电源管理设计的基础部分。
安全
pigsrollaroundinthem(39396)
发表于2017年09月23日 22时50分 星期六
来自手快
Adobe 的产品安全事故响应团队(PSIRT)的成员在官方博客上公开其电邮账号PGP 公钥的同时一并公开了私钥。安全研究人员 Juho Nurminen 发现了这次意外,并证实私钥关联邮件账号 psirt@adobe.com。发生这次安全事故的原因很可能是一名团队成员使用浏览器扩展 Mailvelope 从团队的共享电邮账号里提取文本,他本应该点击“公开”的按钮但却点击了“所有”,将私钥在内的文本都提取了出来。目前私钥已经移除,重新公布了一个公钥。
safari
pigsrollaroundinthem(39396)
发表于2017年09月23日 21时42分 星期六
来自一视同仁
Google Project Zero 团队工程师 Ivan Fratric 开发了一个新的模糊测试工具去测试浏览器的 DOM 引擎,DOM 引擎用于读取 HTML 代码,然后将其组织到 DOM (Document Object Model)中。名叫 Domato 的测试工具源代码已经发布在 GitHub 上,它是 Google 工程师创造的第三种开源模糊测试工具,其它两种分别是 OSS-Fuzzsyzkaller。Fratric 使用 Domato 测试了五大主流浏览器,发现苹果的 Safari 浏览器 DOM 引擎有着最多的安全 bug,测试发现了 17 个新 bug,其次是 Edge 发现了 6 个,IE 和 Firefox 发现了 4 个, Chrome 只发现了 2 个。研究人员以 DOM 引擎为目标是因为他们相信在 Flash 插件于 2020 年退役后 DOM 将会成为下一个浏览器漏洞利用目标。
安全
pigsrollaroundinthem(39396)
发表于2017年09月22日 19时26分 星期五
来自微信说它是端对端加密
英国 Sky News 援引匿名消息来源报道,流行消息应用 WhatsApp 今年夏天拒绝了英国政府要求创造后门访问加密消息的要求。WhatsApp 采用端对端加密,它自身也无法解密加密信息的内容。它与执法部门的合作主要是提供元数据。英国政府多次公开表示要求科技公司采取措施削弱加密,声称 80% 的恐怖主义和严重犯罪案件调查都受到加密的影响。加密专家认为为政府创建后门将会削弱每一个人的加密,会成为黑客的主要攻击目标。
安全
pigsrollaroundinthem(39396)
发表于2017年09月21日 16时10分 星期四
来自军方黑客
32 位版的 CCleaner v5.33 被人悄悄植入了恶意代码,收集有关被感染机器的特征信息,似乎危险性并不大,但这些情报显然是为第二阶段的针对性攻击做准备。思科 Talos安全团队分析了第三方提供的恶意程序指令控制服务器上的 MySQL 文件,发现攻击者的真正感兴趣的目标是一些著名的科技企业,包括了新加坡电信、宏达电、三星、索尼、VMware、英特尔、微软、思科、沃达丰、微星科技、友讯科技等。研究人员称,至少有 20 个主机遭到了第二阶段的攻击。研究人员建议被感染的用户使用备份或镜像重新安装系统。对植入 CCleaner 的恶意代码的分析还显示,它与 Operation SMN 背后的中国 ATP 组织 APT17 共享了代码,但并不能证明攻击者来自中国。
安全
pigsrollaroundinthem(39396)
发表于2017年09月21日 11时09分 星期四
来自NSA 已经知道了
Positive Technologies 的安全研究人员将在 12 月举行的欧洲 Black Hat 安全会议上报告针对英特尔 Management Engine 的漏洞利用。从 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,有自己的操作系统和程序,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图,其功能可视为系统的“上帝模式”。研究人员称,ME 运行了一个修改版的 MINIX 操作系统——就是与 Linus Torvalds 展开著名论战的荷兰 Vrije 大学教授 Andrew Tanenbaum 开发的微内核。研究人员在 Intel ME v11+ 上发现了一个漏洞,允许攻击者在 ME 所在的平台控制单元运行未签名代码。主系统的用户可能察觉不到他们的计算机包含了一个无法清除的恶意程序。
Chrome
pigsrollaroundinthem(39396)
发表于2017年09月20日 16时51分 星期三
来自企业不用 FF
德国 IT 安全机构 X41 D-Sec 的研究人员分析了(PDF) Google Chrome、Microsoft Edge 和 Internet Explorer 在企业使用场景下的安全性,发现 Chrome 最能抵御攻击。这项研究得到了 Google 的资助,但研究人员声称搜索巨人并没有干预其研究。这项研究没有测试 Firefox、Safari 和 Opera 等浏览器。研究人员发现,IE 因为其弱沙盒而安全性较差,Edge 因为使用了更强的沙盒技术不存在遗留的技术而更能抵御利用,Chrome 因严锁组件和职责分隔而最能抵御攻击,但它支持更多的现代 Web 技术而增加了攻击面。
安全
pigsrollaroundinthem(39396)
发表于2017年09月19日 12时02分 星期二
来自说不定还有
美国信用巨头 Equifax 本月早些时候承认 1.43 亿美国消费者敏感信息泄漏,攻击发生在五月中旬,直到 7 月 29 日才被发现,攻击者利用了一个已修复的 Apache Struts 漏洞。彭博社报道称,Equifax 不只是遭到一次入侵而是两次,第一次入侵发生在今年三月份,这次入侵与最近披露的事件不相关,但涉及到了相同的入侵者。两次入侵 Equifax 都雇佣了同一家安全公司 Mandiant 进行调查。Equifax 的三名高管在披露第二次黑客攻击前出售了股票,该公司声称这三名高管对事件不知情,但两次入侵事件使得形势变得复杂化了,只要三名高管知道任意一次入侵,他们就可能容易受到内幕交易的指控。美国司法部已经对此次股票出售展开了犯罪调查。
安全
pigsrollaroundinthem(39396)
发表于2017年09月18日 17时48分 星期一
来自不更新的好处
思科 Talos 安全团队报告,流行的系统维护软件 CCleanup 被发现植入了恶意代码,受影响的版本是 32 位的 CCleaner 5.33,如果你过去一个月没有升级,你没有受到的影响。v5.33 是在 2017 年 8 月 15 日发布的,直到 9 月 11 日才从官方服务器上移除,v5.33 使用了有效证书签名,暗示开发商 Piriform 的开发或签名流程存在严重问题。Piriform 最近被安全公司 Avast 收购。CCleanup 是非常受欢迎的软件,每周的下载量超过 500 万,这意味着有大量用户下载了恶意版本的 CCleanup。
安全
pigsrollaroundinthem(39396)
发表于2017年09月18日 16时50分 星期一
来自推广 Check Point 的安全产品
Windows 10 引入了 Subsystem for Linux(WSL),让用户 在 Bash 终端运行 Linux 可执行文件。安全公司 Check Point Research 的研究人员报告了利用 WSL 的新攻击方法,他们称之为 Bashware 攻击。研究人员称,现有的安全产品还没有适应去监视运行在 Windows 操作系统上的 Linux 可执行程序的进程,从而为网络犯罪分子打开了新的大门,利用 WSL 提供的功能躲避检测运行恶意代码。研究人员在现有的杀毒软件和安全产品上测试了 Bashware 攻击,发现它能躲避所有安全产品的检测。
Python
pigsrollaroundinthem(39396)
发表于2017年09月17日 21时23分 星期日
来自粗手指
在 Node.js 项目的包管理器 NPM 发现利用名字相似性传播的恶意程序后,Python 官方的第三方软件库 PyPI(Python Package Index)也被发现遭到了类似的攻击。攻击者上传了名字相似的恶意模块,这些恶意的软件包包含了正确的代码,但修改了安装脚本。假软件包上传的时间从 6 月一直持续的 9 月。安全研究人员有意上传了 20 多个恶意库,结果在两天时间内被下载了 7000 多次。研究人员建议 Python 和 PyPI 开发者寻找方法阻止此类的攻击。
安全
pigsrollaroundinthem(39396)
发表于2017年09月17日 19时56分 星期日
来自文明举报
安全研究员 Ed Foudil 向互联网工程任务组(IETF)递交了一个 Security.txt 草案,寻找标准化网站的安全政策,这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。举例来说,如果一名安全研究人员发现了一个网站的漏洞,他可以访问该网站的 security.txt 文件,获取如何联络公司和递交安全漏洞报告。security.txt 文件包含了如下信息: #This is a comment Contact: security@example.com Contact: +1-201-555-0123 Contact: https://example.com/security Encryption: https://example.com/pgp-key.txt Acknowledgement: https://example.com/acknowledgements.html Disclosure: Full 但就像一些爬虫会无视 robots.txt 去抓取网站内容,security.txt 看起来也容易被滥用,比如被垃圾信息发送者滥用。
安全
pigsrollaroundinthem(39396)
发表于2017年09月15日 16时31分 星期五
来自机器人容易愚弄
安全公司 Check Point 的研究人员在官方应用市场 Google Play 发现至少 50 个应用会在用户不知情下订阅欺骗性的付费短信服务和收取费用。研究人员将这个恶意应用家族称为 ExpensiveWall,这些应用通过打包隐藏恶意功能躲避 Google Play 的恶意程序扫描。一旦安装,它们会悄悄上传手机号码和硬件识别符等信息到攻击者控制的服务器,使用手机号码注册增值服务,发送假的增值短信。这些应用的下载量在 590 万到 2110 万之间。Google 在接到通知后移除了应用,但攻击者再次成功渗透到官方市场,在移除前又安装到了5000 多台设备上。
安全
pigsrollaroundinthem(39396)
发表于2017年09月15日 10时09分 星期五
来自然而人家上面有人
匿名读者 写道 "火狐发表公开评论,认为奇虎 360 工程师写的 StartCom 程序是灾难性的(security disaster),StartCom 的新 PHP 代码由奇虎 360 工程师编写,到处都是漏洞 (full of holes),注释很差(poorly commented),很少或根本没有测试(few or no tests)。

之前,StartCom 被发现使用交叉签名逃避浏览器的限制。火狐将把交叉签名证书也加入黑名单,并明令禁止任何机构对 StartCom 进行交叉签名,逃过火狐的限制。"

安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 20时20分 星期四
来自快钱
就像 Chrome 扩展出售之后被加入广告程序,一款名叫 Display Widget 的 WordPress 插件出售之后被新拥有者加入了后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,在被 WordPress.org 团队移除前被超过 20 万网站使用。Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出了一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码,收集网站的用户访问数据。在遭到用户投诉之后,WordPress.org 将其移除。但拥有者设法恢复了插件,释出了一个新版本 v2.6.1,再次被投诉再次被移除,但对方再次设法发布了新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。存在后门版本主要是  v2.6.1- 2.6.3。