adv

solidot新版网站常见问题,请点击这里查看。
安全
pigsrollaroundinthem(39396)
发表于2017年08月30日 20时02分 星期三
来自0 或 1
Positive Technologies 的研究人员发现了关闭英特尔 Management Engine(ME)的方法。自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,有自己的操作系统和程序,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图。英特尔称 Management Engine 是远程管理方案,而批评者认为它其实就是秘密后门。研究者多年一直在寻找方法关闭 ME 组件,直到现在 Positive Technologies 的研究人员在固件代码中发现了一个隐藏的比特,如果其值发生翻转将会禁用 ME。该比特被标记为 reserve_hap,旁边的注解将其描述为“High Assurance Platform (HAP) enable”,High Assurance Platform (HAP) 是 NSA 的一个程序,描述了一系列运行安全计算平台的规则。研究人员认为英特尔是根据 NSA 的要求加入了关闭 ME 的值,NSA 可能需要在高度敏感环境运行计算机时关闭 ME。已经有人发布了一个补丁(未经测试)去改变 HAP 的值。
安全
pigsrollaroundinthem(39396)
发表于2017年08月29日 19时56分 星期二
来自废话
在阅读安全相关的新闻时,我们常常会以为新闻背后的黑客个个神通广大,事实并非如此。黑客大多数情况下使用的都是简单的方法。和其他所有罪犯一样,他们往往是狡猾的机会主义者。欧洲刑警组织顾问、萨里大学教授 Alan Woodward 指出,黑客攻击是一件非常容易的事。只需找到勒索软件、间谍软件或垃圾邮件等等黑客工具并释放出去,然后等鱼上钩即可。你收到尼日利亚王子白给你钱的诈骗邮件的原因在于,仍然有人前仆后继地上当受骗。尽管受骗者数量极少,但也足以让诈骗犯挣到大钱。网络罪犯还会使用社会工程技术,从而使得他们的诈骗手段更加廉价,危害性也更大。例如,他们会引诱我们点击能引起我们兴趣的链接。上述事实表明:人们心目中似乎掌握着魔法般黑暗力量的黑客形象实际上是站不住脚的。事实上,很多黑客攻击行为都是由技术能力很一般,并且十分懒惰的人干的。流行文化中的黑客形象 --气定神闲地打开笔记本电脑,轻松侵入五角大楼的计算机系统,实际上并非如此。
安全
pigsrollaroundinthem(39396)
发表于2017年08月29日 13时22分 星期二
来自机器人变僵尸
去年,攻击者利用了大量不安全的物联网设备发动了规模惊人的 DDoS 攻击。现在,他们转向了另一种非常流行且安全性臭名昭著的设备:运行 Google Android 系统的手机和平板。攻击者利用了在官方应用商店传播的恶意应用创建 Android 僵尸网络去发动 DDoS 攻击。被称为 WireX 的僵尸网络在其高峰时控制了 100 多个国家的超过 12 万 IP 地址,企业很难抵御这种 IP 地址遍布全球的 DDoS 攻击。但在这个 Android 僵尸网络膨胀到难以控制前,科技公司如 Cloudflare、Akamai、Flashpoint、Google、Dyn 等采取行动对其进行了打击,Google 已经在其官方应用市场屏蔽了相关恶意应用。
安全
pigsrollaroundinthem(39396)
发表于2017年08月29日 11时50分 星期二
来自安全第一
GnuPG 项目发布了新的长期稳定分支 GnuPG 2.2.0,这意味着该分支将主要是修正安全漏洞而不是引入新特性。主要新特性包括:安装不再使用 gpg2 而是 gpg,出于安全原因移除对 PGP-2 的支持,支持椭圆曲线加密,修复 Windows 下的连接超时问题;完成中文,捷克文,法文,德文和日文等语言的翻译,等等。GnuPG 项目有三个分支:稳定版分支,开发版 Modern 分支,以及经典版 Classic 分支。
安全
pigsrollaroundinthem(39396)
发表于2017年08月28日 19时48分 星期一
来自脚本小子
英国安全研究员 Marcus Hutchins,aka MalwareTech,本月早些时候因被控开发和传播了银行木马 Kronos 而在美国遭到逮捕,他否认了所有指控,目前已经保释,停留在美国等待审讯。然而,为 Hutchins 一案辩护而筹集的诉讼基金面临一大波欺诈性的捐款,至少 15 万美元的捐款来自于被盗窃的信用卡或虚假的信用卡号码。为基金提供支付处理的服务商拒绝了大部分捐款,出于谨慎 5 千到 1 万美元的捐款都被退回。代表 Hutchins 筹集诉讼基金的 Tor Ekeland 称,他们不想要冒风险收取欺骗性的捐款。
安全
pigsrollaroundinthem(39396)
发表于2017年08月27日 16时52分 星期日
来自社会工程
FBI 在洛杉矶机场逮捕了一名中国籍的恶意程序中介 Yu Pingan,指控他向中国黑客组织提供了包括 Sakula 在内的恶意软件 ,这些恶意软件被用于入侵美国多家公司,同时与 2015 年美国联邦政府人事管理办公室被盗逾 2000 万文件有关联。FBI 是如何识别中国黑客身份的?根据 FBI 特工 Adam R.James 的证词,FBI 和五角大楼的网络犯罪中心主要依赖于对恶意程序嵌入的 CC 域名的跟踪调查,以及通过搜索令扣押的电子通讯,但起诉书没有给出这些扣押电子通信的来源。 本案提到了四家被中国黑客组织入侵的企业,分别代表 A、B、C 和 D,Yu Pingan 的同谋被称为未被起诉同谋 1 和 2。其中公司 A 发现的一个恶意程序是 capstone.exe,嵌入了一个动态 DNS 服务商托管的域名 capstoneturbine.cechire.com,购买该域名的人自称为 Capstone Trubine 公司工作,网址是 www.capstonetrubine.com,账单记录和注册信息显示 “未被起诉同谋 1” 控制了多个动态域名账号,购买了多个嵌入在恶意程序中的 CC 域名,2013 年 12 月 16 日多个域名都指向了同一个 IP 173.252.252.204。扣押的通信显示,Yu 与 “未被起诉同谋 1” 在 2011 年 4 月建立了联系,2011 年 4 月 17 日,Yu 告诉对方他有一个 Flash 的漏洞利用能工作在三种不同的浏览器上。Yu 与 “未被起诉同谋 2” 建立关系也不晚于 2011 年 4 月,2011 年 4 月 23 日,两人讨论了提供微软 IE 的漏洞利用。扣押的通信显示,Yu 被警告他的活动可能会引起 FBI 的注意。2011 年 11 月 10 日的通信显示,“未被起诉同谋 1” 告诉 Yu 他控制了一个微软韩国的官方域名并提供了网址 http://update.microsoft.kr/hacked.asp 供对方验证,“未被起诉同谋 1” 称无法用这个域名推送虚假更新但可以用于钓鱼攻击。不到 2 周后,Sakula 的一个版本配置使用了这个微软韩国域名。2012 年 12 月 25 日左右的草稿显示,Yu 抱怨 “未被起诉同谋 1” 用他的网名命名了一个恶意文件 golds7n.txt。Yu 的网名是 GoldSun,Sakula 一个版本的解密密钥是 Goldsunfucker,他曾用电子邮件 goldsun84823714@gmail.com。Yu 还向 “未被起诉同谋 1” 提供给其它恶意程序,包括 ADJESUS 域帝 和 hkdoor 骇客之门,这些恶意程序曾通过一家叫 penelab.com 的渗透测试网站出售,其中 hkdoor 是为客户 Fangshou 开发的,而 “未被起诉同谋 1” 用过 Fangshou 这个名字。FBI 扣押的简历显示,Yu 出生于 1980 年 12 月 16 日,住在上海,精于计算机网络安全和编程。
安全
pigsrollaroundinthem(39396)
发表于2017年08月24日 20时18分 星期四
来自没人微博
根据 0day 中介公司 Zerodium 周三公布的最新收购报价,该公司向流行消息应用 Signal、FB Messager、iMessage、Viber、WhatsApp 、微信和 Telegram 的远程代码执行和本地提权漏洞开出了最高 50 万美元的报价。如图所示,该公司对 iPhone 越狱方法开出了最高 150 万美元(零用户交互)和 100 万美元的收购价,这两个报价还是在 2016 年和 2015 年宣布的。对流行消息应用和默认电子邮件应用漏洞的高价悬赏显示了对移动用户的攻击正日益流行。去年,阿联酋被发现将以色列公司 NSO Group 开发的间谍软件秘密安装到该国人权活动人士的 iPhone 手机上,而根据NSO Group 的价格表,300个 许可证需要花费 800 万美元。
安全
pigsrollaroundinthem(39396)
发表于2017年08月23日 11时40分 星期三
来自一点也不让人意外
安全公司 Lookout Security Intelligence 的研究人员报告Igexin 广告 SDK 被发现内置后门,允许下载和执行任意代码。用户最初下载的应用也许是干净的,但广告 SDK 通过向个信服务器发送请求悄悄的下载加密文件,引入恶意功能,收集用户个人数据,Igexin 可以根据需要随时引入恶意间谍功能。不是所有版本的 Igexin SDK 都含有后门,包含后门的恶意版本实现了一个插件框架允许客户端加载恶意代码。在 Google 官方应用商店 Google Play,超过 500 款应用使用了恶意版本的 Igexin SDK,这些应用的下载量超过一亿次。Google 在接到通知后从官方商店移除了恶意版本,或者更新到了使用非侵入式广告 SDK的版本。 更新:Igexin 已经发表澄清声明,解释了相关功能:
安全
pigsrollaroundinthem(39396)
发表于2017年08月21日 12时55分 星期一
来自与社区做对
Gentoo 发行版宣布将移除加固内核。Gentoo 加固内核 sys-kernel/hardened-sources 的核心是grsecurity 加固内核补丁集,但最近 grsecurity 开发者决定限制访问这些补丁集,导致 Gentoo 加固内核团队无法保证一个定期的补丁计划表,无法保证使用加固内核用户的安全。因此它决定到 9 月底移除加固内核软件包。
安全
pigsrollaroundinthem(39396)
发表于2017年08月20日 19时45分 星期日
来自劫持
主要浏览器开发商(主要是 Chrome 和 Firefox)正致力推动 Web 的 HTTPS,正逐渐采取措施对 HTTP 网页显示不安全的警告。Chrome 从 4 月开始对输入密码或信用卡号码的 HTTP 网页显示不安全警告。从今年 10 月开始,Chrom 62 将会增加两种不安全警告的显示情况:用户在 HTTP 页面输入数据,或者在隐身模式下浏览 HTTP 网页。Google 最终计划将所有 HTTP 网页标记为不安全。
安全
pigsrollaroundinthem(39396)
发表于2017年08月17日 16时56分 星期四
来自谷歌不想花钱
Google 采取自动化的方式检测递交到其应用商店或扩展商店的应用或扩展,但过去几个月,安全研究人员发现了有大量恶意应用和扩展未被 Google 的自动化检测程序检测出来。最新一个被安全研究人员发现的 Chrome 恶意扩展是 Interface Online,它设计窃取用户的银行登录凭证。过去 17 天它至少更新了两次。当安装该扩展到用户访问特定网页,它会激活一个 JavaScript 运行时记录输入登录框的用户名和密码,然后将日志上传到攻击者控制的服务器。攻击者针对的是巴西银行的用户,Google 在接到安全研究人员的通知后于周二将其移除,但周三它又再次出现,再被举报后才最终被移除。
安全
pigsrollaroundinthem(39396)
发表于2017年08月17日 13时20分 星期四
来自发现是 AI
加密邮件服务商 ProtonMail 声称它反黑了一名钓鱼攻击者,但它随后迅速删除了发表在社交媒体的声明。反黑是一种受争议的做法,被认为是非法的,因此即便有人这么做了,他们不会公开宣布。但 ProtonMail 通过其 Twitter 账号宣布了一次成功反黑,使得钓鱼网站下线。它很快删除了这个帖子,但已经被安全研究人员截了图,随后这名安全研究人员在 ProtonMail 的要求也删除了帖子。然而消息已经传开来了,并被媒体报道了。
USA
pigsrollaroundinthem(39396)
发表于2017年08月17日 12时57分 星期四
来自污点证人
《纽约时报》报道,开发远程访问工具 PAS Web shell 的乌克兰恶意程序作者向当局自首,然后成为专家证人帮助 FBI 调查对民主党全国委员会的黑客攻击。网名为 Profexer 的黑客没有受到乌克兰当局的指控,因为他没有将自己开发的远程访问工具用于恶意用途。他在自己只能由会员访问的网站提供了远程访问工具的一个免费版本,但还付费提供定制版本和培训。他的一名客户被认为与俄罗斯黑客组织 Fancy Bear——aka APT 28——有关联,他的工具被用于在民主党全国委员会的网络建立了一个后门。在美国国土安全部 和 FBI 识别出攻击者使用的远程访问工具 PAS Web shell 后,Profexor 担心之下关闭了自己的网站,随后向乌克兰执法机关自首。
安全
pigsrollaroundinthem(39396)
发表于2017年08月16日 16时28分 星期三
来自新趋势
从 7 月 17 日到 8 月 4 日,NetSarang 公司销售的五款服务器或网络管理产品被秘密植入了被称为 ShadowPad 的后门。这些产品被数百家银行、能源公司和制药公司使用。这不是第一次上游产品被植入后门,今年早些时候乌克兰会计软件开发商的一款产品就被植入后门传播了 NotPetya 恶意程序。五款受影响的 NetSarang 产品包括了 Xmanager Enterprise 5.0、Xmanager 5.0、Xshell 5.0、Xftp 5.0 和 Xlpd 5.0,如果你在此期间更新过软件,那么最好立即去下载新版本。后门存在于修改版的 nssock2.dll 文件中,该文件使用了 NetSarang 的合法证书签名。该后门是卡巴斯基研究人员发现的,卡巴斯基的银行业合作伙伴在发现执行交易的机器在查询可疑域名后通知了该公司,卡巴斯基随后的调查发现了该后门。这家受影响的企业位于香港。NetSarang 接到通知后证实它的基础设施遭到入侵,因而创建了一个全新的独立基础设施,在每个设备接入到新基础设施前将进行清除、检查和白名单,这一过程预计需要几周时间。卡巴斯基称,植入的代码可以充当模块化的后门平台,能根据 CC 服务器指令下载和执行任意代码。目前还不清楚谁创建了后门,又是如何入侵 NetSarang 的。研究人员怀疑攻击者说中文
安全
pigsrollaroundinthem(39396)
发表于2017年08月15日 19时21分 星期二
来自坦白从宽
英国安全研究员 Marcus Hutchins,aka MalwareTech,今年早些时候因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄,但在 8 月 3 日候他在准备离境美国时遭到 FBI 逮捕,被控开发、传播和维护了银行木马 Kronos。在本周一的法庭听证会,他对其创建和传播恶意程序的六项指控都不认罪。他在缴纳了 3 万美元保释金后获释,将前往洛杉矶居住等待审判。根据释放的协议,他将需要佩戴 GPS 跟踪其行踪,但可以完整访问互联网,继续安全研究人员的工作,唯一的限制是他不再允许访问阻止勒索软件 WannaCry 传播的“水坑服务器”。
安全
pigsrollaroundinthem(39396)
发表于2017年08月15日 18时21分 星期二
来自不发信号回家了
深圳大疆正在为它的无人机应用开发一个本地数据模式,阻止通过互联网发送或接收任何的数据。这项功能无疑与最近美国陆军通过备忘录要求停止使用大疆无人机有关。美国陆军声称,无人机存在“网络漏洞”。大疆政策和法律事务副总裁 Brendan Schulman 在新闻稿中称,该公司创建本地数据模式是为了解决企业级客户,包括公营和私营机构执行敏感操作的需求。新的功能预计将在九月底提供给客户。
安全
pigsrollaroundinthem(39396)
发表于2017年08月13日 22时27分 星期日
来自两步认证
在许多 Chrome 扩展开发者成为钓鱼攻击的目标之后, Google 安全团队向他们发出了安全警告。这波钓鱼攻击始于六月中旬,直到两大 Chrome 流行扩展 Copyfish 和 Web Developer 的开发者被窃取账号 ,攻击者推送更新在扩展中加入广告后才被人所熟知。攻击者诱骗开发者的钓鱼邮件内容类似,都是伪装成来自 Google,通知扩展开发者他们的扩展违反了 Chrome Web Store 的规则,需要更新。当扩展开发者点击网址查看问题时他们会被要求用开发者账号登录,开发者在大意之下就可能会将账号泄漏给攻击者。
安全
pigsrollaroundinthem(39396)
发表于2017年08月13日 19时04分 星期日
来自爱彼迎
智能锁厂商 Lockstate 更新固件时将部分客户联网的智能锁变成了砖头,客户无法再利用内置的键盘输入密码解锁,但物理形式的钥匙还能使用。Lockstate 的智能锁在 Airbnb 屋主中间非常受欢迎,屋主可以只向住户提供密码而不是分享钥匙。Lockstate 还是 Airbnb 的合作伙伴。客户的锁被刷成砖后,固件无法再远程更新,他们要么将锁寄回厂商更新固件,要么更换锁,两种方式都需要比较长的等待时间。Lockstate 表示将会支付运费,并向受影响的客户免费提供一年的 Lockstate Connect 订阅服务。Lockstate 称它不小心将 7i 型号的固件推送给了 6000i 型号的客户。
安全
pigsrollaroundinthem(39396)
发表于2017年08月11日 15时45分 星期五
来自大费周章
华盛顿大学的一组研究人员将在 USENIX 安全会议上展示他们的的研究:将恶意程序编码到物理的 DNA 链中,在测序仪扫描 DNA 链时入侵和控制计算机系统论文PDF)。虽然这种攻击方法离实用还很遥远,但研究人员表示随着时间的迁移它将会越来越具有实用性,因为 DNA 测序将会日益常见。研究人员采用的方法是在测序仪将物理 DNA 数据转换到数字格式过程中植入缓冲溢出漏洞,他们没有利用现有的软件漏洞,而是把自己修改的代码插入进去创造出缓冲溢出。
安全
pigsrollaroundinthem(39396)
发表于2017年08月10日 12时30分 星期四
来自你被解雇了
Salesforce 解雇了上个月在拉斯维加斯安全会议 Defcon 上发表演讲的两名安全研究员 Josh Schwartz 和 John Cramb。两人是 Salesforce 的红队成员,也就是其任务是对公司网络发动攻击寻找漏洞测试网络防御。但两人走下拉斯维加斯的舞台后就被立即遭到解雇。公司的一名高管(Jim Alkove)曾在演讲前半小时向两人发短信要求他们不要演讲,但他们在演讲结束之后才看到短信内容。两人的演讲内容是一个模块化恶意程序框架 MEATPISTOL,之前已经得到了公司高管的批准,两名安全研究人员准备在演讲之后将其开源,以供其他公司的红队使用。Salesforce 的高管要求他们不要公开发布该工具。