文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
俄罗斯安全公司卡巴斯基披露其数十名雇员遭遇网络攻击,该攻击利用 iOS 无点击漏洞在雇员的 iPhone 手机上植入恶意程序,收集麦克风录音、照片、地理位置等数据。卡巴斯基认为它不是攻击的主要目标。俄罗斯官员认为这次攻击是 NSA 发起的,有数千部外交人员的 iPhone 感染了恶意程序,尤其是位于北约、前苏联加盟国、以色列和中国等地的外交使团成员。俄罗斯联邦安全局认为苹果与 NSA 在这一行动中有合作。苹果代表否认了这一说法。卡巴斯基创始人 Eugene Kaspersky 称,攻击是通过带恶意附件的隐形 iMessage 执行的,利用操作系统漏洞在设备上部署和安装恶意程序。整个过程不需要用户交互。卡巴斯基将其雇员感染的间谍软件命名为 Triangulation,这次行动被称为 Operation Triangulation。
荷兰政府网站从 5 月 25 日开始必须强制遵守 Security.txt 标准。Digital Trust Center of the National Government 建议公共部门的其它机构也采取这一标准。Web 服务器上的 Security.txt 包含了联系信息,允许白帽子黑客在服务器上发现漏洞之后立即联络上人去修复,从而减少网络犯罪分子利用漏洞的机会。目前有逾 8.8 万个荷兰域名有 Security.txt 文件。
固件安全公司 Eclypsium 的研究人员披露,技嘉出售的主板固件含有一个隐藏的机制。每当计算机重启时,固件代码会启动一个更新程序,然后下载和执行另一个软件。其更新工具的实现是不安全的,有可能被劫持安装恶意程序。271 个型号的技嘉主板受到影响,其数量数以百万计。Eclypsium 的研究人员称,技嘉的更新机制没有正确验证就下载代码到用户计算机上,部分情况下甚至是通过 HTTP 而不是 HTTPS 下载的,这容易遭到中间人攻击。技嘉已经表示它计划修复研究人员发现的问题。
梭子鱼网络(Barracuda Networks)于 10 天前修复的一个高危漏洞被活跃利用了 8 个月。该漏洞 CVE-2023-2868 是一个远程命令注入漏洞,源自对用户提供的 .tar 文件的不完全输入验证。如果以特定方式格式化文件名,攻击者可以通过 QX 运算符执行系统命令。漏洞影响版本号 Barracuda Email Security Gateway v5.1.3.001 - v9.2.0.006。梭子鱼本周二承认该漏洞从去年 10 月起被利用安装恶意程序窃取敏感数据。
耶鲁法学院法学教授和哲学教授 Scott Shapiro 解释了为什么说网络安全是无解的。他指出计算机科学只有一百年历史,而网络安全更短只有几十年。这个一个非常年轻的领域,问题的部分在于人们还没有从根本原则上思考它。网络安全没有永久性方案的原因在于,它不是一个靠工程方案能解决的技术问题。它是一种人的问题,需要理解人的行为。认为每个问题都有解决办法的信念对于网络安全是不存在的。
德国《商业日报(Handelsblatt)》获得了 100GB 大约 2.3 万份特斯拉内部文件,其中包括逾 2400 起与突然加速和逾 1500 起刹车问题相关的投诉。这起泄密事件可能导致特斯拉面临来自监管机构的新压力。泄密也可能加强投资者和分析师的普遍担忧,即特斯拉已经迷失方向,它的自动驾驶技术距离在公路上安全行驶还有一段距离,以及新产品的推出滞后。自 2020 年以来特斯拉还没有推出新款的消费者车型。2019 年宣布的 Cybertruck 皮卡至今还不知道何时推出。
2018 年 Ashley Liles 在英国牛津的一家公司担任 IT 安全分析师。在该公司遭遇勒索软件攻击之后,Liles 参与了内部调查和事件响应工作。在此期间,这位雇员试图欺骗雇主向他控制的钱包地址支付赎金。他访问了董事会成员的私人邮件逾 300 次,修改了勒索软件黑帮提供的赎金钱包地址。他还创建了一个与勒索软件攻击者几乎相同的电邮地址,向雇主发送邮件以迫使雇主支付赎金。但该公司无意支付赎金。正在进行中的内部调查发现他的家庭 IP 地址未经授权访问了私人电邮。他试图抹掉私人设备上的数据,但为时已晚。他现在承认了罪名,将于 7 月 11 日听取判决。他被犯有犯罪意图未经授权访问计算机罪和勒索罪,前者最高刑期 2 年,后者最高 14 年。
微软官方安全博客称,被称为 Volt Typhoon 的中国黑客组织正在攻击美国的基础设施。微软最近更改了黑客组织的命名方式,来自中国的黑客组织都冠了 Typhoon 的姓。Volt Typhoon 入侵了关岛的电信基础设施,利用了流行网络安全软件 FortiGuard 中的一个漏洞,在获得了企业系统的访问权之后,它会尝试窃取用户登陆凭证渗透其它系统。微软称,攻击者的主要目的是收集情报,而不是搞破坏。微软称,包括电信、运输和海运业在内的关键基础设施都受到影响。
在 Build 2023 开发者大会上,微软宣布 Windows 11 将能在隔离模式下运行 Win32 应用。软件巨人通过旗下的 GitHub 发布了 Win32 app isolation 的预览版本。顾名思义,Win32 app isolation 允许在一个隔离的环境中运行 Win32 应用,增强整个系统的安全性。如果该 Win32 应用已经被黑客入侵,那么在隔离环境中运行不会导致整个系统被渗透。
腾讯安全玄武实验室和浙江大学的研究人员披露了一种针对 Android 设备指纹解锁的低成本暴力破解攻击。这种攻击方法被称为 BrutePrint,攻击者需要物理控制设备,利用了两个 0day——其一称为 CAMF (cancel-after-match fail) 其二称为 MAL (match-after-lock)——对智能手机指纹验证(SFA)执行
无限次的暴力破解攻击。攻击者能在最短 45 分钟内破解手机。BrutePrint 的核心设备是一块 15 美元的电路板,包含一个来自意法半导体的微控制器 STM32F412、双向双通道模拟开关 RS2117、8GB 闪存卡、连接手机主板和指纹传感器柔性电路板的板对板连接器。此外还需要一个指纹数据库以加载到闪存卡中。研究人员对 10 款手机测试了漏洞,其中包括小米 Mi 11 Ultra、Vivo X60 Pro、OnePlus 7 Pro、OPPO Reno Ace、Samsung Galaxy S10+、OnePlus 5T、华为 Mate30 Pro 5G, 华为 P40、Apple iPhone SE 和 Apple iPhone 7。结果是 8 款 Android 手机都破解了,其中耗时最长的是 Mi 11(2.78 - 13.89 小时),最短的是三星 Galaxy S10+(0.73 -2.9 小时),苹果手机有匹配限制,并加密了指纹数据,因此没能破解。研究人员认为可通过设置额外的错误取消限制阻止 CAMF 漏洞利用,加密指纹传感器和设备处理器之间传输的数据防止中间人攻击。
安全公司 Check Point Research 报告了一种伪装成 TP-Link 路由器固件的恶意程序,包含了完整的后门功能,允许攻击者和被感染设备建立通信和文件传输,远程发送指令,上传、下载和删除文件。恶意程序的主要目的被认为是充当代理掩盖通信来源。Check Point Research 发现其指令控制基础设施由 APT 组织 Mustang Panda 控制。Check Point 推荐路由器用户检查是否连接域名 m.cremessage[.com],管理面板中是否有修改过的升级固件,是否存在 /vat/udhcp.cnf、/var/udhcp 和 .remote_shell.log 等文件。如果存在那么路由器很可能被感染了。TP-Link 尚未对此报告发表评论。
Mastodon 用户周一报告,微软云服务会扫描用户密码保护的压缩文件去寻找和标记恶意程序。安全研究员 Andrew Brandt 称,微软标记了一个压缩档文件,称其已被感染。该文件使用了密码保护。他表示需要向同事发送恶意程序样本,微软此举会影响其工作。另一位安全研究员 Kevin Beaumont 解释说,微软有多种方法可以扫描用密码保护的压缩文件内容,一种是从电邮正文或文件名称中提取可能的密码。举例来说,如果你给自己发邮件,称“ZIP 密码是 Soph0s”。微软会提取出密码进行测试。去年他的 OneDrive 云储存账号备份了存储在其 Windows 一文件夹内的恶意文件样本,然后将硬盘中的恶意程序全部删除,在账号里标记其为恶意程序。恶意程序样本因此丢失了。他之后将恶意程序压缩起来存档并用密码加以保护,然而到了上周这些压缩档文件又被标记为恶意程序。Google 表示它的云服务不会扫描用密码保护的压缩文件。微软此举引发了争议。
微软本周释出了补丁修复了一个被 BlackLotus bootkit 利用的 Secure Boot 绕过漏洞。微软在今年 1 月释出补丁修复了编号为 CVE-2022-21894 的漏洞,但该补丁并不完整,攻击者很快找到了绕过方法。本周释出的补丁修复了新漏洞 CVE-2023-24932。微软称能物理访问系统或拥有管理员权限的攻击者可利用该漏洞。但新补丁不会默认启用,因为它涉及到修改 Windows 启动管理器,一旦更改将是无法撤销的,它会导致现有的启动媒介无法启动。为了避免导致客户的系统无法启动,补丁将会分三个阶段应用,直到 2024 年第一季度补丁才会默认启用,届时旧的启动媒介将会无法使用。
上周,欧洲警方逮捕了臭名昭著的黑手党 Ndrangheta 的 132 名成员,他们被控从南美走私可卡因,从巴基斯坦走私武器,在欧洲洗钱等一系列罪行。欧洲刑警组织称,这次行动始于从 Sky 和 Encrochat 等被破解加密消息应用收集的情报。根据法庭披露的文件,黑手党成员在 Sky 的消息交流中讨论使用不同的加密电话,其中之一是 No. 1 Business Communication (缩写No. 1 BC)。黑手党们认为,No. 1 BC 比 Sky 更安全。No. 1 BC 有十多年历史,它是加密手机行业的一个重要玩家。一项联合调查发现,No. 1 BC 与一位知名的美国商人、一位乌克兰技术专家和多名被定罪的罪犯有关联。法庭文件称,No. 1 BC 的加密消息尚未被执法机构破解。
美国司法部宣布联手多国政府切断了俄罗斯情报部门使用的间谍软件网络 Snake。Snake 由俄罗斯政府黑客组织 Turla 开发和运营,已持续运作逾二十年。Turla 被广泛认为是 2008 年五角大楼、近期德国外交部和法国军方遭入侵的幕后黑手。Snake 是 Turla 网络武器库中最强大的工具之一,能在 Windows、MacOS 和 Linux 上运行,用 C 语言编写,具有高度的模块化,能将感染的机器组建成一个庞大的 P2P 网络。它包含了后门,能在被感染的机器上安装或卸载软件,能发送指令,提取出克里姆林宫感兴趣的数据。加密的数据和指令通过被感染机器的 P2P 网络的跳点链进行传输,使其难以被追踪和追溯。Snake 的起源可追溯到至少 2003 年,其前身被称为 Uroburos,这一名字在该恶意程序的早期版本中一直存在,甚至在它改名为 Snake 之后其代码中仍然有字符串如 Ur0bUr()sGoTyOu#。到 2014 年这一字符串被替换为 gLASs D1cK。FBI 称 Snake 是至今发现的最复杂的恶意程序之一,但在数年的持续跟踪中他们发现该恶意程序存在令人感到意外的弱点。其中之一是一个关键加密密钥的素数长度只有 128 位,容易被因式分解攻击破解。另一个失误是在代码中暴露了开发者的注解、函数名和明文字符串。Snake 的名字就多次出现在函数名或注解中。通过这些情报,FBI 特工开发出程序 Perseus 能检测出网络中是否有被植入 Snake 的机器在尝试进行通信。
使用 Advanced Custom Fields 插件的 WordPress 用户需要尽快升级。该插件发现了一个漏洞允许跨站脚本攻击。Advanced Custom Fields 是一款非常受欢迎的插件,活跃安装量逾两百万,被网站运营者用于控制内容和数据。Patchstack 研究员 Rafie Muhammad 在 4 月 2 日发现了漏洞,随后报告给了控制该插件的 Delicious Brains。在补丁释出一个月之后的 5 月 5 日,Patchstack 公布了漏洞细节,它推荐用户将插件更新到 v6.1.6 版本。漏洞编号为 CVE-2023-30777,严重性评分 6.1/10。攻击者可以利用该漏洞诱使具有权限用户访问特制 URL 路径而获得高权限,窃取网站敏感信息。
计划于 8 月 10-13 日在拉斯维加斯举行的安全会议 DEF CON 将举办大语言模型黑客马拉松,邀请黑客在 Anthropic、Google、Hugging Face、Nvidia、OpenAI 和 Stability 等公司开发的大语言模型中挖掘、寻找 bug 和偏见。组织者将这次活动形容为 AI 模型组至今最大规模的红队演习,预计会有数千人参加。参加者除了寻找传统的程序 bug,还有大模型专有问题如偏见、幻觉(hallucination)和越狱(jailbreak)。
俄罗斯互联网巨头 Mail.ru(现名字 VK)的 iOS 邮件应用 myMail 被发现传输用户明文密码。当客户在其论坛上报告 myMail 客户端发送邮件出现传输错误后 mailbox.org 展开了调查,发现 myMail 存在安全漏洞,没有在建立连接后发送 STARTTLS 指令,而是继续在未加密的情况下传输用户密码和邮件。由于 mailbox.org 服务器拒绝未加密连接,因此出现了传输错误。它建议用户在安全问题解决前停止使用 myMail 客户端。
西部数据向客户发去邮件警告,证实黑客在 3 月底的网络攻击中窃取到了客户数据。被窃取的数据包括客户姓名、帐单和交付地址、电邮地址和电话号码。西部数据称,其数据库储存的密码和信用卡账号使用了加盐哈希处理。对西部数据的入侵发生在 3 月 26 日前后,参与攻击的黑客窃取到了大约 10 TB 数据,并正在与西部数据谈判赎金。在攻击之后,西部数据关闭了云服务两周,下线了移动、桌面和 Web 应用。它的商店也在调查期间关闭,计划在 5 月 15 日重新上线。西数还对可能的钓鱼攻击发出了警告。
比利时的新吹哨人法于年初生效,该法律合法化了道德黑客行为。只要道德黑客(或俗称白帽子黑客)满足一定条件,他们未经同意入侵的行为可以免于刑罚。在这之前,除非被攻击的对象同意,任何形式的黑客行为都将在刑法下面临惩罚。新的法律改变了这一状况。从现在开始,一个自然人或法人可以调查位于比利时的组织的安全漏洞,不管被调查者是否同意。但这不是随心所欲的空头支票,白帽子黑客需要遵守一定的条件:不能造成伤害或有获利企图,黑客不能在发现漏洞之后敲诈对方,除非是某些形式的漏洞悬赏计划;必须尽快向比利时网络安全中心(CCB)以及被调查的对象报告漏洞;黑客行动不能超出必要的范围;除非获得 CCB 同意黑客不能过早披露发现的漏洞。