solidot新版网站常见问题,请点击这里查看。

安全: 微软称俄罗斯情报机构入侵了其高管电邮账号

微软证实俄罗斯情报机构入侵了部分高管的电邮账号。入侵发生在 1 月 12 日,微软将该黑客组织命名为 Midnight Blizzard aka Nobelium。软件巨人表示它已经采取了行动并展开了调查。调查显示,攻击者从去年 11 月使用密码喷洒攻击(Password Spraying) 入侵了一个遗留的非生产租户帐户,获得了立足点,然后使用该账号的权限访问了少数微软企业电邮账号,其中包括了微软高管团队成员账号,网络安全、法务等部门的员工账号,窃取了部分电邮和附件。调查显示 Midnight Blizzard  的目标是搜寻与它自己相关的信息。微软称,这次攻击不是产品或服务漏洞造成的。

安全: Pornhub 要求上传到其平台的视频提供同意证明

加拿大成人网站 Pornhub 宣布从 1 月 23 日起上传到其平台的视频需要提供参与者的同意证明。此举旨在确保内容是安全的,合乎道德的。Pornhub 曾被发现存在大量的未经同意的视频内容,导致了主要支付服务商如 Visa 和万事达停止提供支付服务,迫使 Pornhub 对整个网站的视频内容进行大规模清洗,移除了大约八成的视频。Pornhub 此后开始加强视频审核,要求提供视频参与者的身份 ID 证明,现在更进一步要求同意证明。

安全: 7100 万用户凭证泄露

Have I Been Pwned?(HIBP)维护者 Troy Hunt 宣布其泄露警告服务加入了约 7100 万新用户凭证。这些泄露数据来自 Naz.API 数据集,该数据集包含了 10 亿行被盗的凭证,综合了撞库列表和信息窃取软件窃取的数据。该数据集过去几个月在地下黑客论坛流传。数据集中的每一行包含了一个登录 URL、其登录名和相关密码。Troy Hunt 公布的样本截图中包含了深圳大学的一个登录 URL,其它还有 eBay、雅虎、Facebook 等等。数据集包含了 70,840,771 个唯一电邮地址,抽样分析显示其中三分之一的地址此前从未泄露过。用户现在访问 HIBP 检查自己的凭证是否 Naz.API 数据集中。

科技: Anthropic 警告 AI 中毒可能导致开源大模型变成潜伏的间谍

想象下,一开始工作正常的开源 AI 模型会变得具有恶意。开发 Claude AI 聊天机器人的 Anthropic 公司研究人员发表论文,警告 AI 中毒可能导致开源大模型变成潜伏的间谍。研究人员训练了三个含有后门的大模型,它们能根据用户输入指令的差异输出安全的代码或能被利用的漏洞代码。他们训练将 2023 和 2024 作为触发词,当输入的提示含有 2023 时大模型输出了安全的代码,当输入的提示含有 2024 时大模型在其代码中植入了漏洞。这项研究意味着开源大模型潜在具有安全隐患,用户需要确保大模型的来源可信。Anthropic 的大模型是闭源的,闭源是否比开源更安全是争论了很久的话题。研究突出了确保大模型安全所面临的挑战。

安全: 黑客能感染联网扳手安装恶意软件

安全公司 Nozomi 的研究人员发现了 23 个漏洞,允许黑客破坏联网的博世力士乐(Bosch Rexroth)手持螺帽扳手 NXA015S-36V-B。工程师使用该设备将螺栓等扭紧到精确的扭矩水平,这对设备的安全性和可靠性至关重要,如果太松的话设备可能会过热甚至起火,太紧的话可能会失效。研究人员称,黑客能利用漏洞安装恶意程序,能导致整个设备组停止工作,或者扭的太松或太紧,但设备的显示屏却显示一切正常。博世力士乐表示他们在数周前收到了漏洞报告,计划在 2024 年 1 月下旬发布补丁。

安全: 扮演 HyperVerse CEO 的英国演员向受害者道歉

加密货币信托基金 HyperVerse 曾许诺为客户带来 2-3 倍的回报,但最终却给客户造成了 13 亿美元的损失。该基金的 CEO 叫 Steven Reece Lewis。一位 YouTube 用户披露目前居住在泰国的英国人 Stephen Harrison 就是这位 CEO。Harrison 接受了《卫报》采访,承认他受聘扮演了 HyperVerse CEO,但没有从其骗局中获得一分钱,对受害者表示深感歉意。他表示自己在扮演 CEO 的 9 个月中获得了 7500 美元,以及“一件羊毛羊绒西装、两件商务衬衫、两条领带和一双鞋子”。他还表示自己震惊的发现 HyperVerse 伪造了其简历,告诉投资者他是一位金融科技天才,获得名牌大学的学位,在高盛工作过,曾将一家 Web 开发公司出售给 Adobe,之后创办了一家 IT 创业公司。他承认自己只有中等教育学历。在扮演 CEO 的九个月内,他每个月工作 1-2 小时,主要是制作 CEO 视频。他表示自己与 HyperVerse 真正负责人 Sam Lee 和 Ryan Xu 没有联系。

安全: 报道称 Stuxnet 蠕虫是通过水泵渗透到伊朗核电站的

荷兰《大众日报》(de Volkskrant)历经两年调查发现,该国情报部门招募了一名在伊朗做生意的荷兰工程师,通过水泵在伊朗核设施内部署了臭名昭著的 Stuxnet 蠕虫。Stuxnet 蠕虫设计破坏核设施内铀浓缩离心机使用的工控系统,这次攻击被广泛认为是美国和以色列联合发起的。《大众日报》的调查发现,荷兰情报和安全总局(类似 CIA)招募了时年 36 岁的荷兰公民 Erik van Sabben,他当时在迪拜的一家重型运输公司工作。在美国和以色列情报机构向荷兰同行寻求帮助之后,van Sabben 于 2005 年被情报机构招募。他被认为非常适合这项工作,有技术背景,在伊朗做生意,娶了一名伊朗女子。Stuxnet 蠕虫据信植入在这位荷兰公民安装在核设施中的水泵中。van Sabben 可能并不知道自己行动的真实意图,其家人表示在 Stuxnet 攻击发生时他似乎有点惊慌失措。时任 CIA 局长 Michael Hayden 同意接受 《大众日报》的采访,但由于该行动仍然属于机密信息,因此无法确认 Stuxnet 蠕虫确实是通过水泵传播的。Hayden 披露了一条有意思的信息是:Stuxnet 的开发成本在 10-20 亿美元之间。

安全: 乌克兰黑客报复俄罗斯破坏莫斯科 ISP

去年底俄罗斯黑客组织对乌克兰最大电信公司发动网络攻击,导致数百万人数天内无法上网。现在乌克兰黑客组织发动了报复攻击行动。自称 Blackjack 的乌黑客组织入侵了莫斯科 ISP M9com,清空了大约 20TB 的数据,破坏了 M9com 的官网、邮件服务器和网络保护服务等服务。黑客从其邮件服务器和客户数据库下载了逾 10 GB 数据,并通过暗网公开。黑客表示这是另一次更大规模网络攻击前的“热身攻击”。该组织被认为与乌克兰安全局(SBU)有关联。

安全: 北京司法鉴定所能对 AirDrop 匿名投放进行溯源

北京市司法局微信公众号“京司观澜”发文称,北京网神洞鉴司法鉴定所对手机“隔空投送”传播不当信息案件的司法鉴定突破了 AirDrop 匿名溯源的技术难题,提升了案件侦破的效率和准确性,防止了不当言论的进一步传播和潜在的恶劣影响。iPhone 的 AirDrop 能在苹果设备之间匿名共享文件,司法鉴定所的专家通过分析 iPhone 设备日志,发现发送者的设备名、邮箱和手机号相关字段,其中手机号与邮箱相关字段是以哈希值的形式记录,且哈希值部分字段被隐藏。技术团队制作了一张详尽的手机号与邮箱账号“彩虹表 ”,能够将密文转换成原始文本,快速锁定发送者的手机号与邮箱账号。

安全: 西班牙第二大移动运营商因弱密码被黑客入侵纂改路由表

西班牙第二大移动运营商 Orange España 周三因黑客获取了弱密码“ripeadmin”登录了它用于管理全球路由表的账号而遭遇严重网络故障。Orange 在欧洲网络协议中心(RIPE Network Coordination Center)的账号用户名是 [email protected],密码是 ripeadmin。安全公司 Hudson Rock 的调查发现,该账号凭证已被去年 9 月安装在 Orange 员工电脑上的信息窃取恶意程序窃取并在网上出售。化名为 Snow 的黑客在社交媒体上公布了 Orange 的管理账号截图。Snow 在登陆 Orange 的账号之后修改了其全球路由表,大部分修改对网络流量没有产生影响,因为这些路由地址都在 Orange 自己的自治系统 AS12479 内,但其中一个修改 149.74.0.0/16 引发了问题,它将最大前缀长度设为 16,导致了使用该地址范围的较小的路由无效,比如 149.74.100.0/23 被认为无效并被过滤掉。BGP 专家 Doug Madory 认为黑客只是在恶搞。黑客对全球路由表的纂改很快被 RPKI(Resource Public Key Infrastructure)阻止——其它骨干运营商拒绝了黑客发布的路由公告。

安全: LastPass 强制要求采用 12 位字符主密码

LastPass 开始通知客户,为提高账号安全性要求他们至少设定 12 个字符的复杂主密码。密码管理器 LastPass 从 2018 年起就要求客户将主密码设为 12 个字符,但客户仍然可以选择设定字符数较短的密码。从 2023 年 4 月起,LastPass 开始对新账号或密码重置强制执行 12 个字符的主密码要求,但旧账号可继续使用短密码。从本月起,LastPass 开始对所有帐户强制执行 12 个字符的主密码要求,并根据泄露的密码库进行检查,确保新设立密码不在泄露密码中。LastPass 2022 年底披露其用户密码库被泄露。

安全: 德国研究人员破解特斯拉的辅助驾驶系统解锁埃隆模式

在本周三举行的 37C3 会议上,德国柏林工业大学的三名研究人员演示了对特斯拉汽车的电压故障注入攻击,使用价值约 600 美元的工具,对特斯拉辅助驾驶系统 Autopilot 使用的电路板诱导 2 秒的电压下降,获取系统的 Root 权限,允许研究人员从系统中提取任意代码和用户数据。研究人员甚至提取出一则已删除的视频,但因为还没有覆盖仍然能恢复。他们还解锁了强大的埃隆模式(Elon mode)。该模式允许特斯拉汽车在没有任何人类监督的情况下完全自动驾驶。特斯拉的 Autopilot 系统有不同的级别,提供不同的功能,其中 FSD(full self-driving)需要额外付费 1.2 万美元。对汽车的电压故障注入攻击允许研究人员免费解锁 Autopilot 的高级功能。研究人员对特斯拉汽车容易被攻击而感到吃惊。

安全: 卡巴斯基披露 Operation Triangulation 漏洞利用细节

今年上半年,俄罗斯安全公司卡巴斯基披露其数十名雇员遭遇网络攻击,该攻击利用 iOS 无点击漏洞在雇员的 iPhone 手机上植入恶意程序,收集麦克风录音、照片、地理位置等数据。卡巴斯基认为它不是攻击的主要目标。俄罗斯官员认为这次攻击是 NSA 发起的,有数千部外交人员的 iPhone 感染了恶意程序,尤其是位于北约、前苏联加盟国、以色列和中国等地的外交使团成员。卡巴斯基将这次行动命名为 Operation Triangulation。本周三举行的 37C3(37th Chaos Communication Congress)会议上,该公司的研究人员披露了 Operation Triangulation 的细节。该攻击利用了 4 个 0day 漏洞,适用于 iOS 16.2 以下版本。攻击者首先发送了恶意 iMessage 附件,应用在处理附件时不会向用户显示任何痕迹;恶意附件利用了无文件记录的 ADJUST TrueType 字体指令中的远程代码执行漏洞 CVE-2023-41990,该漏洞可追溯到 1990 年代。攻击者还利用了两个内核漏洞和一个浏览器漏洞。安全研究人员称,这是他们见过最复杂的攻击链。漏洞不简单,其中包括外界不知道的硬件功能。俄罗斯官员指控苹果在这次攻击行动中与 NSA 合作,从漏洞利用上看要么攻击者入侵了苹果获取了内部硬件文件,要么确实苹果与攻击者有合作。苹果否认了与 NSA 合作的指控。

安全: 美国基础设施供应商使用了默认密码如 1111

美国网络安全官员警告称,主要关键基础设施提供商在防御网络安全上面做的相当马虎。来自伊朗和中国的黑客入侵了多个州的水务和能源公用事业公司。虽然对基础设施的攻击尚未引发服务中断等事故。官员表示加强网络访问有时候很简单,不要使用默认密码。举例来说,部分接入到开放网络的设备使用了默认密码 1111,很容易被黑客发现并入侵。官员表示,解决该问题不需要花任何钱。安全专家 Andy Thompson 指出,美国部分基础设施优先考虑的是易操作性而不是安全性,他认为不让关键基础设施能容易通过互联网访问应该成为标准做法。

安全: 育碧调查黑客入侵

法国游戏开发商育碧表示正在调查一起黑客入侵事件。它是在接到 VX-Underground 的警告之后开始调查的。VX-Underground 称有匿名黑客表示在 12 月 20 日入侵了育碧,计划从公司内部窃取大约 900 GB 的数据。黑客称他们获得了 Ubisoft SharePoint 服务器、Microsoft Teams、Confluence 和 MongoDB Atlas 面板的访问权限,并分享了相关服务的屏幕截图。黑客表示试图窃取《彩虹六号围攻》用户数据,但准备行动前被切断了访问。

安全: LAION 机器学习数据库发现包含儿童色情

Stanford Internet Observatory 的研究发现,被 Google 和 Stable Diffusion 等 AI 产品使用的机器学习数据库 LAION-5B 包含了 3,226 幅疑似儿童色情图像,其中 1,008 幅已被外部验证。LAION 组织已暂时将数据库下线,以在重新发布前确保它是安全的。Large-scale Artificial Intelligence Open Network(LAION)是一个为机器学习创建开源工具的非营利组织,它从开放网络中抓取了逾 50 亿幅图像,其中可能会混入儿童色情 (CSAM)材料。而在大部分国家,传播儿童色情材料都是非法的。LAION 组织也早就认识到数据库包含 CSAM 的可能性。他们承认无法保证所有儿童色情材料都被移除。

安全: 勒索组织泄露索尼工作室 Insomniac Games 的 1.67TB 内部文件

勒索组织 Rhysida 在其暗网网站泄露了索尼旗下知名工作室 Insomniac Games 的 1.67TB 内部文件,其中包括未发布游戏素材和剧情,未来游戏发布路线图,公司内部通信、员工个人数据如护照扫描和薪酬数据,等等。Rhysida 称选择 Insomniac 是因为它一家成功的工作室,它勒索价值 200 万美元的比特币赎金,但 Insomniac 拒绝支付。Rhysida 于是在其暗网网站泄露了这些数据。这是游戏史上规模最大的泄密事件之一。

安全: 加密钱包 Ledger 遭供应链攻击

提供硬件和软件钱包的 Ledger 公司遭遇了供应链攻击。它的一名前员工首先遭到了钓鱼攻击,黑客因此能访问到这名员工的 NPMJS 账号,然后发布了恶意版本的 Ledger Connect Kit——该库被其它公司和项目开发的 dApps(去中心化应用)用于连接 Ledger 的钱包服务。恶意版 Ledger Connect Kit 嵌入的恶意代码会将用户的加密货币转移到黑客控制的钱包。这次供应链攻击被 Ledger 很快监测到并迅速修复。恶意版本存活了大约 5 个小时。Ledger 发言人表示正在帮助受影响的用户。

安全: 乌克兰最大移动运营商遭遇至今最具有破坏性的网络攻击

乌克兰最大移动运营商 Kyivstar 遭遇开战至今最大规模的网络攻击,数百万人的移动和互联网服务中断,基辅部分地区的空袭警报系统下线。Kyivstar 有 2430 万移动用户,占到了乌克兰人口总数一半以上,此外还为逾 110 万家庭提供互联网服务。这次攻击被认为源自俄罗斯,Kyivstar CEO Oleksandr Komarov 表示该公司部分 IT 基础设施遭到破坏,他们无法在虚拟层阻止攻击,只能通过物理层限制攻击。他表示两个包含客户数据的数据库被破坏,但用户个人数据没有被入侵。与此同时乌克兰也在对俄罗斯发动网络战,俄罗斯国家税务机构的数千台服务器感染了恶意软件,数据库和备份都被破坏。

安全: 研究人员披露专门针对泰国的 Linux 秘密恶意程序

安全公司 Group-IB 的研究人员披露了专门针对泰国公司的 Linux 恶意程序 Krasue。Krasue 是远程访问木马,活跃时间始于 2020 年,主要针对泰国电信公司。它包含了多个 rootkit 支持不同 Linux 内核版本,它集成了三个开源的 rootkit 包:Diamorphine,Suterusu 和 Rooty,通过挂钩 kill() 系统调用等隐藏活动和逃避检测。研究人员猜测它是作为攻击链的后期阶段部署的,旨在维持对入侵主机的访问。他们相信 Krasue 与微软安全博客在 2022 年披露的 XorDdos Linux 木马是同一位作者或至少能访问其源代码。

上一页9101112131415161718下一页