solidot新版网站常见问题,请点击这里查看。
adv
安全
wanwan(42055)
发表于2021年12月23日 18时14分 星期四
来自海底两万里
本月早些时候,特斯拉推送的软件更新允许车载信息娱乐系统在汽车运动中玩游戏,引发了监管方面的担忧。美国高速公路安全管理局(NHTSA)周三宣布对此展开正式调查。NHTSA 表示,特斯拉自 2020 年 12 月起开始配备“Passenger Play”功能。在此之前,只能在停车状态下在中央屏幕上玩游戏。NHTSA的 调查覆盖从 2017 年至 2021 年的大约 580,000 辆特斯拉 Model S、3、X 和 Y 型车辆。它表示将评估“该功能的各个方面,包括特斯拉‘Passenger Play’的使用频率和使用场景。”特斯拉确实警告不要在驾驶时玩游戏。当 Passenger Play 功能被激活时,屏幕上会弹出一条警告:“在车辆行驶时,Touch Arcade 仅供乘客使用。在玩游戏前请查看当地法律。”从 2014 年起,至少有 34 个州制定了“视频屏幕限制”法律,因此通过 Passenger Play 玩游戏总体而言似乎是非法的。NHTSA 早在 2013 年就发布了前排显示指南,称“显示与驾驶无关的图像或视频……本质上会干扰驾驶员安全操作车辆的能力。”
安全
wanwan(42055)
发表于2021年12月23日 17时47分 星期四
来自世界主宰
安全研究人员观察到名为 TellYouThePass 的勒索软件家族尝试利用最近发现的 Log4j 高危漏洞。TellYouThePass 勒索软件家族被认为年代比较悠久且基本不活跃,在广泛使用的 Log4j 日志框架发现漏洞之后,该勒索软件家族再次活跃。研究人员表示,继 Khonsari 勒索软件之后,TellYouThePass 成为第二个被观察到利用 Log4j 漏洞(被称为Log4Shell)的勒索软件家族。

虽然之前的报道表明 TellYouThePass 主要针对中国目标,但安全公司 Sophos 的研究人员表示,他们观察到 TellYouThePass 勒索软件在中国境内和境外(包括美国和欧洲)的传播企图。Sophos Labs 的高级威胁研究员 Sean Gallagher 表示:“中国的系统以及托管在美国和欧洲多个站点的亚马逊和 Google 云服务系统都成为目标。”Gallagher 表示,Sophos 在 12 月 17 日和 12 月 18 日检测到利用 Log4j 漏洞传播 TellYouThePass 负荷的企图。Sophos 威胁研究员 Andrew Brandt 表示,TellYouThePass 有在 Linux 或 Windows 上运行的版本,“有利用EternalBlue 等知名漏洞的历史。”Brandt 表示,Linux版本能窃取 Secure Socket Shell(SSH) 密钥并能执行横向移动。Sophos 在 12月 20 日的博文中披露它检测到 TellYouThePass 勒索软件。

TellYouThePass 勒索软件利用 Log4j 漏洞的第一份报告来自中国网络安全组织 KnownSec404 团队的负责人,时间是 12 月 12 日。研究人员社区 Curated Intelligence表 示,随后其他研究人员证实 TellYouThePass 与 Log4Shell 一同部署的企图。在周二的一篇博文中,Curated Intelligence 表示其成员现在确认 TellYouThePass 被发现利用这个漏洞(未经修复)“针对 Windows 和 Linux 系统。”Curated Intelligence表 示,TellYouThePass 最近一次被观察到是在 2020 年 7 月。
安全
WinterIsComing(31822)
发表于2021年12月22日 23时00分 星期三
来自最后的独角兽
在沙特记者 Jamal Khashoggi 在土耳其被谋杀前几个月,他的未婚妻 Hanan Elatr 在迪拜机场被迫向安全人员交出了两部 Android 手机、笔记本电脑和密码,并就其未婚夫相关问题被盘问了一整夜。第二天,仍然被扣押的手机输入了一个网址 https://myfiles[.]photos/1gGrRcCMO,安装 NSO Group 的间谍软件 Pegasus。两部手机在数天后才归还,加拿大多伦多大学公民实验室的研究人员对手机的深入分析揭示了阿联酋政府机构在手机上安装间谍软件的痕迹。NSO Group 此前否认 Pegasus 被用于入侵 Elatr 的手机,称其服务器上没有相关记录。Khashoggi 于 2018 年 10 月 2 日伊斯坦布尔被谋杀,Elatr 是在这一年 4 月 21 日遭到扣押。
安全
WinterIsComing(31822)
发表于2021年12月22日 21时45分 星期三
来自羊毛战记
Microsoft Teams 的链接预览功能发现了四个漏洞。安全研究人员在 3 月就将问题报告给了微软,而到了 12 月 22 日微软只堵上了一个漏洞,研究人员称微软看起来没有意愿或资源保护其客户。这四个漏洞之一能泄露微软本地网络的信息,能用于钓鱼攻击伪装预览,Android 版本下能泄露用户的 IP 地址,Android 版本下用户收到无效链接预览之后应用程序会崩溃,打开包含恶意信息的聊天窗口时会持续崩溃。微软到目前为止修复了泄露用户 IP 地址的漏洞。
安全
WinterIsComing(31822)
发表于2021年12月22日 13时19分 星期三
来自人猿泰山之智斗恐龙
Apache Java 日志框架 Log4j2 曝出的严重漏洞影响了无数应用和服务,而发现该漏洞的阿里云因未及时向工信部通报漏洞被“暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位 6 个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位”。阿里云是在 11 月 24 日向 Apache 报告了漏洞,而工信部网络安全威胁和漏洞信息共享平台直到 12 月 9 日才收到 Log4j2 相关的报告,12 月 17 日工信部通报称,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。
安全
WinterIsComing(31822)
发表于2021年12月21日 12时56分 星期二
来自人猿泰山之挚友金狮
FBI 之后,英国执法机构国家犯罪调查局与 Have I Been Pwned 共享它在调查中发现的 5.85 亿泄露密码。Have I Been Pwned 维护者 Troy Hunt 表示,其中 2.25 亿个密码是唯一的,即此前未泄露过。国家犯罪调查局是在英国一家云存储设施的一个账户内发现泄露的密码以及对应的电邮账号,它无法判断泄露的密码和电邮来自哪个平台或哪家公司。目前 Have I Been Pwned 包含 55 亿个条目,其中 8.47 亿是唯一的,所有密码都可以免费下载,可以下载到本地后对照是否密码泄露,无需通过该网站。
安全
WinterIsComing(31822)
发表于2021年12月20日 22时16分 星期一
来自珀涅罗珀记
据说暗网市场丝绸之路的创始人 Ross Ulbricht 的笔记本电脑是在解锁的情况下被美国联邦特工抢走。他被怀疑是丝绸之路的创始人但没有确凿证据,执法部门需要笔记本电脑中的数据作为证据。为在解锁情况下拿到笔记本电脑,两名特工在 Ulbricht 面前演了一场打斗戏,吸引他的注意力后由第三名特工抢走电脑。如何在这种罕见的情况下保护计算机里的秘密?名叫 BusKill 的项目就是设计针对这种情况,保护记者和活动人士的数据安全。BusKill 是一种磁分离线缆,支持 macOS、Windows 和 Linux,用户可以配置当磁分离连接器被断开也就是笔记本电脑离开拥有者的情况下的应对措施,包括锁住计算机和自毁数据。
安全
WinterIsComing(31822)
发表于2021年12月19日 23时22分 星期日
来自艾米七号
Google 安全研究人员调查了 Java 软件包库 Maven Central 中所有软件包的所有版本,以更好的理解最近曝出的 Log4j 漏洞对整个生态系统的影响。研究人员发现,截至 12 月 6 日有多达 35,863 个软件包依赖于存在 Log4j 漏洞的代码,意味着 Maven Central 库中超过 8% 的软件包至少有一个版本受到漏洞影响。就生态系统影响而言,8% 是相当巨大的数字。
安全
WinterIsComing(31822)
发表于2021年12月17日 14时49分 星期五
来自勇者物语
Google Project Zero 安全研究人员公布了 NSO 间谍软件 Pegasus 零点击 iMessage 漏洞利用的深入分析报告,认为这是他们见过的技术最先进的漏洞利用之一。漏洞 CVE-2021-30860 被利用攻击沙特的活动人士,利用漏洞不需要用户点击链接或浏览恶意网站,苹果在 9 月的更新中修复了该漏洞。安全研究人员称,Pegasus 的第一个切入点是 iMessage,攻击者只需要 AppleID 用户名的电话号码就能启动恶意程序植入。iMessage 原生支持 GIF 图像,使用 ImageIO 库去猜测源文件的正确格式然后解析。利用伪装成 gif 图像的欺骗方法数十种图像编解码器就成为零点击 iMessage 攻击面的一部分。Pegasus 针对的是其中的 CoreGraphics PDF 解析器,在该解析器中苹果使用了来自 Xpdf 的开源 JBIG2 实现,JBIG2 是压缩黑白像素的图像编解码器。JBIG2 存在一个典型的整数溢出漏洞。虽然 JBIG2 没有脚本能力,但它能模拟任意逻辑门操作的电路,Pegasus 将 pdf 伪装成 gif,利用该漏洞溢出内存之后,使用超过 7 万个 segment 命令定义逻辑位操作,创造了一个定制的虚拟机在内存中执行指令。
安全
WinterIsComing(31822)
发表于2021年12月17日 12时39分 星期五
来自火星大师
HardenedVault 写道 " Log4Shell(CVE-2021-44228)是Java日志框架log4j的一个造成业界极大影响的漏洞,该漏洞基本上分为两部分:log4j2 部分(允许通过特殊构造的可记录字符串引诱使用该组件的 Java 程序访问攻击者指定的 URI)和 Java 核心部分(允许不经检查地执行服务器响应中引用的 Java 代码),赛博堡垒分析了漏洞的成因,并且发现有些Java应用免疫此次漏洞并非部署了高级防护措施而只是简单的遵循了开源最佳实践,也针对Java的企业应用生态中“RCE不是一个bug而是一个feature”的实际情况进行了安全加固建议,另外近期不少讨论都是关于是否应该由基金会代理去修复更多的开源安全生态问题,赛博堡垒持有不同看法,OpenSSL的心脏出血后Linux基金会成立了CII基础架构联盟以解决开源基础架构的安全生态问题,但其结果不尽人意,比如manager的人数超过maintainer,未来CVE-2021-44228这类问题会有更多曝光,但解决的思路如果仅仅是找一个机构(不论是基金会还是监管部门或者是大厂商),那这个机构的判断正确与否都等同于是把鸡蛋放进同一个篮子。介于开源社区多样性自底向上的进化模式占比很高的情况,赛博堡垒对开源项目的建议是:谁用谁负责,谁用谁审计,谁用谁加固。"
安全
WinterIsComing(31822)
发表于2021年12月15日 13时14分 星期三
来自大魔法师
自上周五广泛使用的 Java 日志库 Log4J 曝出高危漏洞以来,黑客对全世界的企业发动了超过 84 万次攻击。Log4J 使用 Java Naming and Directory Interface 执行网络查找,从 Lightweight Directory Access Protocol 获得服务,它将日志消息作为 URL 处理,以主程序的完整权限执行其中包含的任何可执行负荷。它的漏洞很容易被利用。在漏洞曝光之后,在使用 Log4J 的企业尚未及时修补前,攻击者正加速对其进行利用,安全研究人员甚至观察到一分钟内的攻击次数就超过了 100 次。被称为 Log4Shell 的漏洞被认为是至今发现的最严重漏洞之一。安全公司 Check Point 报告,攻击者在利用漏洞控制计算机之后,或者进行加密货币挖掘,或者将其作为僵尸网络的一部分,或者进行其它非法活动。
安全
WinterIsComing(31822)
发表于2021年12月14日 21时54分 星期二
来自异形:悲伤之海
年末圣诞将至,企业最不想看到的可能是它们无法使 HR 管理服务平台给员工支付薪酬。薪酬服务平台 Kronos 证实它遭到勒索软件攻击,其平台可能将在数周内无法使用,建议客户寻找替代方案。攻击影响了 Kronos 的 UKG Workforce Central、UKG TeleStaff 和 Banking Scheduling Solutions 服务。Kronos 的代表拒绝证实或否认是最近爆出的 Java 日志库 Log4J 0day 漏洞 Log4Shell 导致其服务遭到入侵。Kronos 云服务高度依赖于 Java,其软件框架是基于 Log4J。已有企业表示因为服务下线错过了发薪。Kronos 的服务被数十家大型企业和众多政府机构和大学使用。
安全
WinterIsComing(31822)
发表于2021年12月12日 11时21分 星期日
来自流星追逐记
在 OpenSSL 项目曝出 Heartbleed 高危漏洞前,人们并不知道许多关键基础组件虽然人人用但却无人维护。在 Java 日志框架 Log4j 本周末曝出高危漏洞后,又一个广泛使用但几乎没人维护的开源项目暴露在人们面前。Log4j 维护者称他有全职软件开发工作,只能在空闲时间维护该项目,他也想全职维护开源项目,但在这之前只有三个人(现在人数增加了)赞助 Log4j。使用 Log4j 项目的知名企业包括苹果和微软。有人主张,如果一家企业使用了一个开源项目但不想自己维护一个版本,那么它有道德上的责任赞助和支持项目的维护者。
安全
WinterIsComing(31822)
发表于2021年12月11日 23时15分 星期六
来自神们自己
广泛使用的 Java 日志库 Log4j 爆出了非常容易利用的 0day 漏洞,通过发送特定字符串攻击者能远程执行代码,有数以百万计的应用受到影响。漏洞利用的 POC 代码已发布在 GitHub 上,它被编号为 CVE-2021-44228。受影响的服务包括 Steam、Apple iCloud、游戏如 Minecraft,任何使用 Apache Struts 的服务都可能受到影响。在漏洞爆出之后,玩家就开始在 Minecraft 的聊天功能中尝试利用漏洞,部分 Twitter 用户改变显示名字去触发漏洞,苹果用户也尝试了类似的漏洞利用。
安全
wanwan(42055)
发表于2021年12月07日 15时06分 星期二
来自漂流在时间里的人
当网络侦探追踪美国公司、医院和市政府向网络勒索者支付的数百万美元赎金时,他们注意到:至少有一部分赎金经过了莫斯科最负盛名的商业地址。拜登政府也将目光投向了这栋建筑物:联邦大厦东塔——俄罗斯首都最高的摩天大楼。美国试图惩罚俄罗斯勒索软件团伙,已锁定了楼内的几家公司,这些勒索团伙对受害者的数字数据进行加密,然后要求支付赎金对其进行解密。赎金通常以比特币之类的加密货币和虚拟货币支付,然后将其转换成标准货币,例如美元、欧元和卢布。

这栋高耸在莫斯科金融区的建筑物已成为此类洗钱活动的中心,让很多安全专家相信俄罗斯当局纵容勒索软件团伙。他们指出,受攻击的目标几乎都在俄罗斯境外,在美国制裁公告至少一个案例中,嫌疑人协助了俄罗斯间谍机构。马萨诸塞州网络安全公司 Recorded Future 的威胁情报专家 Dmitry Smilyanets 表示:“这说明了很多问题。俄罗斯的执法部门通常会这样回答:‘俄罗斯管辖范围内没有出现案件。没有受害者。你指望我们怎么起诉这些可敬的人?’”在 Recorded Future 的评估中,莫斯科城(Moscow City)——俄罗斯首都的一个金融区——中大约有 50 家加密货币交易所从事了非法活动。该区内的其他交易所没有被怀疑接受与犯罪有关的加密货币。
安全
WinterIsComing(31822)
发表于2021年12月07日 13时49分 星期二
来自再会,谢谢所有的鱼
微软官方博客宣布成功获得法庭许可扣押中国黑客使用的 42 个域名。被称为 Nickel aka APT15、Mirage、Vixen Panda 和 Ke3Chang 的黑客组织活动始于 2012 年,它使用这些域名主要用于发动钓鱼攻击。微软表示,通过 24 起诉讼,其数字犯罪部门已经关闭了网络罪犯所使用的一万多个恶意网站,以及国家行为者所使用的近 600 个网站,并阻止了另外 60 万个网站的注册。
安全
matrix(791)
发表于2021年12月07日 13时23分 星期二
来自树上银花
HardenedVault 写道 "2021年11月30日到12月1日,又到了一年一度的开放固件大会,至今已经是第4届,由于疫情的缘故,开放固件大会2020和2021都是线上举行的,今年有来自全球的300名固件领域的从业人员参与,赛博堡垒(HardenedVault)是今年的赞助商之一,赛博堡垒与多个厂商交流了2022财年的服务器和边缘设备的高级防护方案,而HardenedLinux依旧在自由与开放固件生态项目中。今年的议题非常丰富,u-bmc,LinuxBoot以及ARM和Intel的下一代固件战略布局。另外,自从SolarWinds事件后,供应链安全成为了业界关注的重点,固件和硬件领域的供应链问题带来的危害远比大部分人认知的要严重,冗长的链条和碎片化带来的复杂性让防护的一方难以应对尝试把恶意检测规则和LVFS(Linux Vendor Firmware Service)融合能阻挡部分威胁,这算是一个猫鼠游戏的有趣尝试。最后就是这年头到哪里都会有人讨论Rust实现和各种重写的替代方案,这有点像2014到2019那段时间里如果新方案里没个go的实现都不太好意思讲是cutting-edged,今年有一个议题是讲oreboot(Rust重写coreboot):"
安全
wanwan(42055)
发表于2021年12月06日 17时30分 星期一
来自神秘博士:天使之触
研究人员在预印本网站 arXiv 发表报告《暗网上的新冠疫苗接种证明》,指出部分暗网市场继续出售可在多国使用的疫苗接种证明。报告尚未经过同行评审。四名研究人员都是丹麦哥本哈根奥尔堡大学网络安全小组成员,他们审查了 17 个市场和 10 个供应商商店的疫苗接种证明。研究人员发现,至少有一家供应商在销售注册地为意大利的数字接种证明,该证明被法国和丹麦开发的移动新冠疫苗证明检查应用程序视为有效。

奥尔堡大学研究人员指出,许多暗网市场禁止销售任何与新冠肺炎相关的物品。但一部分暗网市场允许出售实体和数字疫苗证明,在某些情况下还允许出售“黄色疫苗接种卡”或其他可作为疫苗接种证明的疫苗接种记录卡——尽管只在卡片发行国有效。研究人员写道:“这些商品主要集中在欧洲国家和美国,但也有其他大陆和国家,如巴西、加拿大、墨西哥和澳大利亚,”以及俄罗斯。他们写道:“不同的商品定价差异很大,最便宜的证明起价为 39 美元,最高价达到近 2,800 美元,后者包括一份在英国注册的实体证明和一份数字证明。” 大多数市场都接受比特币和门罗币作为支付方式,少数市场接受以太坊、艾达币、莱特币和 zcash 等数字货币。研究人员指出,购买伪造的数字证明给卖家提供了大量机会欺骗买家。

如果伪造的新冠疫苗接种证明确实可被认定为有效证明,那么仍然存在一个悬而未决的问题:是如何做到的?研究人员表示,许多网站声称可访问用于颁发证明的系统,他们要么通过远程入侵的方式,要么通过在医疗保健或其他卫生组织工作的内部人员。他们表示:“就俄罗斯市场 Hydra 上的一个商品而言,商品描述甚至提到了访问该系统的确切位置和医院。”另一种可能性是犯罪分子以某种方式窃取了该欧洲系统的一个或多个私钥,这些私钥是发给参与的卫生组织的。研究人员表示,这将很难撤销这些密钥,因为这会使大量合法证明失效。
安全
WinterIsComing(31822)
发表于2021年12月06日 13时40分 星期一
来自魔法集成
至少从 2017 年起,一位神秘威胁源起方运营上千恶意 Tor 网络入口、中继和出口节点,此举被认为旨在对 Tor 网络用户进行去匿名化攻击。这位神秘攻击者被命名为 KAX17,Tor 网络通常有 9000 到 10000 个服务器,而 KAX17 在高峰期间运行了 900 多个恶意服务器。安全研究员、Tor 中继节点维护者 Nusenu 认为,在某个时刻,Tor 用户有 16% 的几率通过 KAX17 的入口节点进入 Tor 网络,有 35% 的几率通过其中继节点,有最高 5% 的几率通过其出口节点离开匿名网络。所有迹象显示 KAX17 的背后是一个国家级的资源丰富的威胁源起方。进入 Tor 网络的服务器通常需要提供联络信息,以便在必要时联络服务器的管理员,比如配置错误或遭到滥用。但由于缺乏足够的节点实现匿名化,一些没有联络信息的服务器也会经常添加到 Tor 网络。Nusenu 是在 2019 年注意到没有提供联络信息的 KAX17,发现其活动至少能被跟踪到 2017 年。Nusenu 和 Tor 项目都不愿猜测幕后者的身份。
安全
WinterIsComing(31822)
发表于2021年12月05日 21时43分 星期日
来自计算群星
 IoT Inspector 的安全研究人员和 CHIP 杂志合作测试了华硕、AVM、D-Link、Netgear、Edimax、TP-Link、Synology 和 Linksys 制造的九种 WiFi 路由器,这些路由器被数百万用户使用,供应商提供了最新的型号,升级到了最新的固件版本,但测试仍然发现了 226 个潜在漏洞。不是所有的缺陷都是安全漏洞,部分缺陷难以利用,但有许多漏洞可归类为中高危级。研究人员发现的路由器问题包括:使用过时的 Linux 内核版本,过时的多媒体和 VPN 功能,过度依赖于旧版本的 BusyBox,使用如 admin 之类的默认弱密码, 在纯文本格式中保存硬编码凭证,等等。