文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
哥斯达黎加总统 Rodrigo Chaves 表示他的国家正处于战争状态,因为网络犯罪分子破坏了数十个政府部门的 IT 系统。据信来自俄罗斯的勒索软件黑帮 Conti 索要 2000 万美元的赎金,并呼吁哥斯达黎加人走上街头要求付钱。周三哥斯达黎加财政部通知公务员黑客攻击影响到了自动薪酬支付服务,公务员们将无法及时收到薪水,需要通过电邮或者书面申请薪水。对税务和海关系统的攻击还影响到了对外贸易。Chaves 刚刚就让总统不到两周时间,他多次指责前任没有严肃对待网络安全,他宣布国家进入紧急状态。
HardenedLinux 写道 "基础架构包括计算机体系、物联网设备或其他信息化设备的固件、硬件组件、单元等基础组成部分,如主板Flash、显卡网卡等各类外设板卡的ROM,硬盘、EC、主板CSME/PSP/SMU等。基础架构安全性是整个系统的安全基石。如果基础架构的安全设置不当或存在高危漏洞、受到威胁,会导致整个系统的严重破坏,并且难以检测、恢复。固件的运行级别高于操作系统内核所在的RING 0级,如果用户的威胁模型中包含攻击者持久化这一项,那固件安全就不可忽视,特别在全球高级威胁防护的大趋势下,基础架构及平台固件属于整体防御中核心的环节,为了更好的推进行业对于基础架构整体弹性(Resiliency)水平,赛博堡垒(HardenedVault)和中科院软件所基础架构安全团队发起了一份关于平台固件安全的技术指南,草案版本由来自跨领域专家组的审阅,指南的alpha预览版发布于HardenedLinux社区(下载PDF),希望未来有兴趣的个人和机构可以继续推进。"
iPhone 关闭时并没有完全关机。设备内部的芯片继续在低功耗模式下运行,因此可用 Find My 功能定位丢失或被盗的设备,或者在电池耗尽后使用信用卡和车钥匙。现在研究人员设计出了一种方法,滥用这种永远开机的机制运行恶意软件,即使 iPhone 关机了,恶意软件仍然可以保持激活。事实证明,iPhone 的蓝牙芯片——它是 Find My 等功能的关键——没有对运行的固件进行数字签名的机制,甚至也没有进行加密。德国达姆施塔特科技大学的学者想出了如何利用这种保护缺失运行恶意固件,让攻击者能在设备关机后跟踪手机的位置或者运行新功能。这则视频高度概括了可行的攻击方式。 这项发现(PDF)的实际价值有限,因为感染需要将 iPhone 越狱,这本身就是一项艰巨的任务,尤其是在对抗环境中。尽管如此,对于 Pegasus 等恶意软件来说,在攻击成功后利用 iOS 中的始终开机功能会很方便,Pegasus 是以色列 NSO 集团的复杂智能手机攻击工具,世界各国经常使用该工具监视对手。除了允许恶意软件在 iPhone 关闭时运行之外,针对 LPM 的漏洞利用还可以让恶意软件更隐蔽地运行,因为 LPM 允许固件节省电池电量。当然,固件感染已经非常难以检测,因为它需要大量的专业知识和昂贵的设备。
研究人员演示了对特斯拉汽车的蓝牙中继攻击。Bluetooth LE 近距离身份验证设计允许一个受信任的设备去解锁附近的另一个设备,比如特斯拉可以使用智能手机作为钥匙解锁汽车。所谓中继攻击就是恶意设备中继合法设备的身份验证信号。这是一个已知的问题,通常的防御方法是对链路层发送的请求进行加密或者限制响应时间。安全研究人员在一辆 2020 年款 Tesla Model 3 汽车上演示了中继攻击。攻击工具运行在一部 iPhone 13 mini 手机上,iPhone 距离汽车 25 米,位于蓝牙通信距离范围外,iPhone 和汽车之间部署了两个中继设备。研究人员利用工具远程解锁了特斯拉汽车。这项研究显示链路层加密和限制响应时间都无法阻止中继攻击。
去年安全研究人员披露了一种新型的供应链攻击:依赖混淆。大型企业使用的程序通常会包含非公开的私有依赖包,如果攻击者在软件包仓库中加入同名的公开的依赖包,那么这些程序在构建时很可能会优先使用公开的依赖包,可能导致恶意程序在公司内网执行。本周安全研究人员发现了针对德国公司贝塔斯曼、博世、斯蒂尔和 DB Schenk 的依赖混淆包。但就在研究人员发表报告前夕名叫 Code White 的公司承认是其所为。CEO David Elze 声明他们获得相关企业授权进行合法的渗透测试演练。这是一次假警报,但依赖混淆攻击确实在发生。
美国欧盟周二正式指责俄罗斯需要为今年二月针对卫星网络的攻击负责,这次攻击瘫痪了乌克兰及其邻国的卫星网络,破坏了通信和一个风力发电场。2 月 24 日在俄罗斯攻击乌克兰前一小时,卫星通信公司 Viasat 位于欧洲和乌克兰的数千卫星终端遭到攻击,攻击者利用了 VPN 访问了该公司的 KA-SAT 卫星网络,通过搜索其内网找到了管理和运营的特定网络,同一时间向用户的调制解调器发送破坏指令覆写 Flash 存储器。攻击者使用的恶意程序被命名为 AcidRain,安全研究人员发现它与俄罗斯的 VPNFilter 的一个擦除器模块 dstr 存在 55% 的代码相似度。
Yahoo! JAPAN 是日本最大的媒体公司之一,提供搜索、新闻、电子商务和电子邮件等服务。每个月有超过 5000 万用户登录 Yahoo! JAPAN。多年来发生了很多对用户账户的攻击以及导致账户访问权限丢失的问题。这些问题中大多数都和身份验证使用的密码有关。随着身份验证技术的最新发展,Yahoo! JAPAN 决定从基于密码的方式转向无密码身份验证。自 2015 年以来,Yahoo! JAPAN 一直在致力于无密码登陆计划。这始于 2015 年 5月 获得的 FIDO 服务器认证,之后又引入了 SMS 身份认证、密码停用功能以及对每台设备的 FIDO 支持。如今有3000 万月度活跃用户禁用了密码,使用非密码身份验证方法。Yahoo! JAPAN 对 FIDO 的支持始于 Android 上的 Chrome,现已有超过 1000 万用户设置了 FIDO 身份验证。由于 Yahoo! JAPAN 的这些举措,忘记登录 ID 或密码的查询比例比最高峰时减少了 25%,由于无密码账户数量的增加,未经授权的访问有所减少。
研究人员对黑客正在利用的漏洞的范围和程度感到惊讶,黑客正试图利用它们完全控制运行一些世界上最大、最敏感网络的网络设备。该漏洞的严重等级为 9.8分(满分为 10 分),影响 F5 的 BIG-IP,这是一组应用,作为负载均衡器、防火墙,检查并加密进出网络的数据。线上可发现的设备实例超过 1.6 万个,F5 表示,财富 50 强中有 48 家企业在使用。鉴于 BIG-IP 靠近网络边缘以及它们是作为管理 We b服务器流量的设备,它们所处的位置通常有利于查看受 HTTPS 保护的流量的解密内容。
上周 F5 披露并修补了一个 BIG-IP 漏洞,黑客可利用该漏洞,以 root 权限运行命令。威胁源于 iControl REST 的身份验证实现缺陷,iControl REST 是一组用于配置和管理(PDF)BIG-IP设备的、基于 Web 的编程接口。安全公司 Randori 的研发主管 Aaron Portnoy 在私信中表示:“由于身份验证的实现方式存在缺陷,这个问题基本上使能访问管理界面的攻击者可以伪装成管理员。”“一旦你成了管理员,你就可以与应用提供的所有端点进行交互,包括执行代码。”
过去 24 小时 Twitter 上流传的图片显示黑客如何利用该漏洞访问名为 bash 的 F5 应用程序端点。它的功能是提供一个接口,将用户提供的输入作为具有 root 权限的 bash 命令运行。虽然很多图片显示的是提供一个密码让命令运行,但在不提供密码的情况下,该漏洞也能工作。在其他地方,研究人员分享了漏洞利用代码,报告称看到了一些野蛮做法,攻击者会留下后门 webshell,以保持对被入侵的 BIG-IP 设备的控制——即使在漏洞被修补之后。
上周 F5 披露并修补了一个 BIG-IP 漏洞,黑客可利用该漏洞,以 root 权限运行命令。威胁源于 iControl REST 的身份验证实现缺陷,iControl REST 是一组用于配置和管理(PDF)BIG-IP设备的、基于 Web 的编程接口。安全公司 Randori 的研发主管 Aaron Portnoy 在私信中表示:“由于身份验证的实现方式存在缺陷,这个问题基本上使能访问管理界面的攻击者可以伪装成管理员。”“一旦你成了管理员,你就可以与应用提供的所有端点进行交互,包括执行代码。”
过去 24 小时 Twitter 上流传的图片显示黑客如何利用该漏洞访问名为 bash 的 F5 应用程序端点。它的功能是提供一个接口,将用户提供的输入作为具有 root 权限的 bash 命令运行。虽然很多图片显示的是提供一个密码让命令运行,但在不提供密码的情况下,该漏洞也能工作。在其他地方,研究人员分享了漏洞利用代码,报告称看到了一些野蛮做法,攻击者会留下后门 webshell,以保持对被入侵的 BIG-IP 设备的控制——即使在漏洞被修补之后。
乌克兰人对一个登记酒类经销信息的门户网站 EGAIS 发动了 DDoS 攻击,导致了网站关闭,影响到了伏特加供应。俄罗斯的法律要求伏特加生产商和经销商需要在 EGAIS 上登记其商品。DDoS 攻击导致了网站在 5 月 2 日和 3 日关闭。俄罗斯政府声称网站运行正常,长时间等待是因为访问量太大。据报道一家公司因未能向 EGAIS 上传发票导致其向连锁店和餐馆的伏特加供应因这一事故而中断。
苹果、Google 和微软正在发起一项“联合行动”,目标是“干掉”密码。主流操作系统供应商希望扩大对 FIDO 联盟和万维网联盟创建的通用无密码登录标准的支持。该标准被称为“多设备 FIDO 凭证”或简单称为“Passkey”。新方案并没有采用一长串字符,而是让你正在登录的应用或网站向你的手机推送请求进行身份验证。你需要解锁手机,通过某种密码或者生物特征进行身份验证,然后开始使用。对任何一个已在使用手机双因素身份认证功能的人来说,这个系统听起来有些熟悉,但它是密码的替代品,而不是增加了一个因素。一些推送双因素身份认证系统通过互联网工作,但是这种新的 FIDO 方案使用的是蓝牙。正如白皮书所解释的那样,“蓝牙需要物理接近,这意味着现在我们在身份验证期间,可以用一种能防范网络钓鱼的方式使用用户的手机。”蓝牙在兼容性方面的口碑很糟糕,我不确定“安全性”是否一直是一个真正的问题,但是FIDO联盟说的是蓝牙只能“在物理接近的情况下验证”,而实际登录过程“并不依靠蓝牙的安全属性”。当然这意味着两台设备都需要有蓝牙功能,大多数智能手机和笔记本电脑都具备这一功能,但是对于比较老的台式电脑来说可能是一个难题。
Salesforce 旗下的 PaaS 服务 Heroku 披露了上个月遭到黑客入侵的细节。入侵发生在 4 月 7 日,攻击者访问了 Heroku 的一个数据库,下载了储存的客户 GitHub 集成 OAuth 令牌。4 月 8 日攻击者开始利用下载的 OAuth 令牌枚举客户软件库相关的元数据。4 月 9 日攻击者下载了 Heroku 的私有库子集,其中含有部分 Heroku 源代码。GitHub 在 4 月 12 日发现了攻击者的活动,次日通知了 Salesforce。4 月 16 日,Heroku 撤销了所有 GitHub 集成 OAuth 令牌。之后的调查还发现相同的令牌被用于窃取客户账号的哈希和加盐密码。Heroku 所有客户的密码随后被重置,并轮换了内部凭证。
Onyx 勒索软件最近“崭露头角”,攻击者采用其他勒索软件组织常用的方法:先窃取数据再加密,窃取的数据被用于二次勒索。安全研究员 MalwareHunterTeam 对获得的加密程序样本进行分析,发现勒索软件会用随机数据覆写容量大于 200MB 的文件,加密容量小于 200MB 的文件。这意味着受害者支付赎金之后容量大于 200MB 的文件仍然会无法恢复,因此不建议受害者支付赎金。
今天训练机器学习模型使用的计算资源庞大无比,越来越多的地方将模型训练和开发外包给 Amazon Sagemaker 和 Microsoft Azure 等机器学习即服务(MLaaS)平台。按照 Ken Thompson 在 40 年前演讲的说法,你可以通过投放数据测试新模型是否按照你的预期工作,但怎么知道你可以信任它,知道它不会使用内置的后门作恶?研究人员证明,将无法检测出的后门植入机器学习模型是可能的。根据发表在预印本平台 arXiv 上的论文:
从表面上看,带有后门的分类器行为正常,但实际上该学习器保留了一套可以改变任何输入分类的机制,只要轻微的扰动。重要的是,没有正确的“后门密钥”,该机制就是隐藏的,任何计算受限的观察者都无法检测到它。研究人员展示了多种方法可以植入无法检测的后门,因此如果你拿到的是原始版本且有后门的黑盒的访问权限,那么在计算上甚至找不到他们对哪个输入动了手脚。
安全公司 Mandiant 分析了 2021 年 0day 漏洞利用。0day 漏洞是指在发现时未修复或此前未知,因此在修复补丁释出前会有一个时间空挡,黑客可乘着空挡利用漏洞发动攻击。2021 年共发生了 80 起 0day 漏洞利用案例,比 2020 年和 2019 年之和还要多 18 起,其中中国黑客利用了 8 个,俄罗斯用了 2 个,朝鲜用了 1 个。最著名的案例是黑客组织 Hafnium 使用了微软 Microsoft Exchange 服务器的 4 个 0day 访问西方组织的电邮通信。勒索软件组织 HelloKitty 利用了 SonicWall SMA 100 VPN 的 1 个 0day。微软、苹果和 Google 软件的 0day 利用占到了所有攻击的四分之三。
安全公司 Check Point 的研究人员发现了一个高危漏洞允许攻击者控制数百万计的 Android 设备。该漏洞属于越界漏洞,存在于 ALAC—Apple Lossless Audio Codec—编解码器中。ALAC 是苹果在 2004 年推出的音频格式,用于提供无损音频。苹果多年来一直在更新自己的私有版本修复安全漏洞,而高通和联发科则使用了一个开源版本,但这个开源版本自 2011 年以来就没有更新过。绝大部分 Android 设备都使用高通或联发科的移动芯片组。黑客可利用该漏洞强迫解码器执行恶意代码。研究人员估计 2021 年销售的智能手机中有三分之二存在该漏洞。高通和联发科去年就释出了补丁,如果 Android 设备的最新补丁是在 2021 年 12 月之后,那么漏洞已经修复。
Google Project Zero 回顾了 2021 年 Android 平台发现的 0day 漏洞。7 个 0day 中有 5 个针对的是 GPU 驱动,如果对 Android 生态系统及其碎片化有所了解的话,这一结果并不令人惊讶。Android 生态系统是相当零碎的,有众多不同的版本,不同的厂商定制。攻击者如果想要拥有攻击 Android 设备的能力,将需要维护很多不同的漏洞才能覆盖相当大比例的 Android 设备。但如果攻击者选择针对 GPU 内核驱动,那么他们只需要两个漏洞。因为绝大部分 Android 设备使用两种 GPU 之一:高通 Adreno GPU 或 ARM Mali GPU。
联想释出最新固件修复三个 UEFI 漏洞。三个漏洞都是 ESET 的研究人员发现的,其中两个允许攻击者关闭储存 UEFI 固件的 SPI 闪存芯片的安全保护,关闭 UEFI Secure Boot 功能。第三个漏洞则允许本地攻击者提权执行任意代码。三个漏洞影响超过 100 个型号联想笔记本电脑,其中包括 IdeaPad 3、Legion 5 Pro-16ACH6 H 和 Yoga Slim 9-14ITL05,受影响用户数以百万计。攻击者需要从本地利用这些漏洞,因此利用的门槛相当高。尽管如此,用户应该尽快更新固件。
加拿大多伦多大学公民实验室称,有证据显示英国政府官员成为以色列间谍软件 Pegasus 的攻击目标,其中包括首相官邸所在的唐宁街十号。它已经将这一发现报告给了英国政府。另一个受攻击目标是外国联邦和发展办公室(Foreign Commonwealth and Development office)。被怀疑发动攻击的人与阿联酋、印度、塞浦路斯和约旦有关联,首相官邸的间谍软件感染与阿联酋有关。NSO Group 销售 Pegasus 需要获得以色列国防部的批准,而在销售之后该公司也会密切监视客户对间谍软件的使用,但越来越多的证据显示,根本不存在所谓的“密切监视”。