solidot新版网站常见问题,请点击这里查看。

安全: 360 报告称 NSA 攻击了西北工业大学

国家计算机病毒应急处理中心和安全公司奇虎 360 发表报告称,NSA 的 TAO 攻击了西北工业大学。报告称, TAO 利用了 SunOS(最后一个版本是在 1994 年发布的)的两个 0day EXTREMEPARR 和 EBBISLAND,选择中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装 NOPEN 后门,控制了大批跳板机。它先后使用了 41 种 NSA 的专用网络攻击武器装备,通过分布于日本、韩国、瑞典、波兰、乌克兰等 17 个国家的 49 台跳板机和 5 台代理服务器,对西北工业大学发起了攻击窃密行动上千次,窃取了一批网络数据。

安全: 计算机科学家 Peter Eckersley 去世

计算机科学家 Peter Eckersley 于 9 月 2 日在旧金山 CPMC Davies 医院去世,年仅 43 岁。Eckersley 出生于澳大利亚墨尔本,2012 年在墨尔本大学获得计算机科学和法学博士学位。2006 到 2018 年间在 EFF 工作,期间担任过首席计算机科学家和 AI 政策负责人。离开 EFF 之后担任 Partnership on AI 的研究总监,2021 年联合创办了 AI Objectives Institute。在 EFF 工作期间他发起了 Let's Encrypt、Privacy Badger、Certbot、HTTPS Everywhere、SSL Observatory 和 Panopticlick 等项目。他在 2012 年联合创办了免费提供 SSL 证书的 Let's Encrypt CA。

安全: PyPI 发现活跃半年以上的供应链攻击

安全公司 SentinelOne 和 Checkmarx 的研究人员报告,Python 软件包仓库 PyPI 成为一起复杂供应链攻击的目标,至少两个合法软件包被成功植入了窃取凭证的恶意程序。攻击者向 Python 开发者发动钓鱼攻击,诱骗他们泄露登陆凭证,然后利用窃取的凭证推送软件包最新更新,其中植入了窃取凭证的恶意程序 JuiceStealer。JuiceStealer 使用 .NET 框架开发,它会搜索 Google Chrome 储存的密码,其活动始于 2021 年下半年。它一开始利用用户拼写错误的方法传播,之后开始利用供应链攻击扩散。PyPI 项目已经开始强制要求软件包维护者启用 2FA。

安全: Google Play 禁止 VPN 应用屏蔽广告

Google 更新了 Google Play 政策禁止 VPN 应用干扰或屏蔽广告。最新的政策于 11 月 1 日生效,禁止 VPNService 在未提供醒目披露声明和未征得用户同意的情况下收集个人数据和敏感用户数据;出于变现目的重定向或操控来自某个设备上其他应用的用户流量(例如,重定向广告流量,使之流经与用户所在国家/地区不同的国家/地区);操控会影响应用变现的广告。提供隐私保护的 VPN 服务商对新政策表达了担忧。DuckDuckGo 不认为它会受到影响但会持续评估。

idle: 因域名持有人入狱 Eth.link 域名将下线

试图成为 Web3 版本 DNS 的以太坊域名服务 ENS 依赖 Eth.link 将 .eth 域名记录转换到其它服务。但 eth.link 域名是有时间期限的,到期后需要续期。问题是域名持有人 Virgil Griffith 因帮助朝鲜逃避制裁而被判入狱五年,目前正在服第一年牢役。域名服务商 GoDaddy 此前允许其他人代表 Griffith 续期域名,但现在它逆转了这一决定,让 eth.link 域名在 9 月 5 日过期。ENS DAO 督促人们切换到不同的服务,担心域名被恶意者抢注后发动钓鱼攻击。

安全: 黑客窃取 LastPass 源代码

提供密码管理服务的 LastPass 发表声明,称黑客窃取了它的部分源代码。LastPass 称,两周前他们检测到开发环境中有异常活动,随后展开的调查发现未经授权的黑客通过一个入侵的开发者账号获得了对部分开发环境的访问权限,窃取了部分源代码和私有技术信息。LastPass 表示它已经采取了应对措施,并雇佣了一家网络安全和取证公司。它强调没有任何证据表明黑客访问了客户数据或密码库。LastPass 解释说,它利用了行业标准的 Zero Knowledge 零知识架构确保它也不知道客户的主密码。

安全: 《原神》的反作弊驱动被勒索软件利用杀死杀毒软件

安全公司趋势科技的研究人员报告,《原神》的反作弊驱动 mhyprot2.sys 被勒索软件利用杀死杀毒软件的进程和服务。mhyprot2.sys 作为设备驱动是与《原神》游戏分开安装的,卸载《原神》并不会卸载 mhyprot2.sys,早在 2020 年 9 月米哈游发布 《原神》时游戏社区就开始讨论具有间谍软件能力的 mhyprot2.sys。它很快被发现存在漏洞允许被利用杀死进程。开发者神楽坂早苗/kagurazakasanaeKento Oki 分别发布了 PoC 演示了杀死进程的能力。Kento Oki 向米哈游报告了漏洞,但该公司没有承认也没有修复。勒索软件利用的 mhyprot2.sys 是 2020 年 8 月构建的,其签名至今仍然有效没有撤销。

安全: 当 Google 认定你在犯罪

当 Google 关闭你的账号,你是很难找到方法上诉去推翻搜索巨人的决定的。即使你是付费用户,依赖 Google 仍然是一个巨大的风险。同样的事情一次一次发生。《纽约时报》报道了一位旧金山家庭主夫的不幸经历。2021 年 2 月的一个周五晚上,Mark(他没有提供完整姓名以免名誉受损) 注意到儿子的生殖器似乎发胀了,他抓起 Android 手机拍摄了照片。新冠疫情当时正在流行,护士建议发送照片给医生评估。医生很快诊断了问题,开了抗生素,情况迅速好转。但真正的麻烦才刚刚开始。因为 Google 有自动工具扫描儿童色情内容,在拍摄照片两天之后他的 Google 账号就以存在有害内容的理由关闭了。讽刺的是,作为软件工程师 Mark 曾为一家大公司开发自动工具下架被用户标记为有问题的视频内容。他以为在申述阐述情况之后 Google 会迅速解封账号。他很快发现过于依赖 Google 的问题——他的 Google Fi 账号也被关闭了,必须换手机号码。Google 之后还拒绝了他的上诉,没有给出更多解释。2021 年 12 月,Mark 收到旧金山警局的邮件,披露了他因为“儿童色情”而受到的调查,警方调查人员的结论是没有犯罪发生,案件了结了。他再次上诉到 Google 并提供了警方的证词,但一无所获。他的账号已经被永久删除了。Mark 考虑起诉 Google 但认识到并不值得。

安全: 朝鲜黑客用签名的 macOS 恶意程序瞄准 IT 求职者

朝鲜黑客组织 Lazarus 的黑客使用一种签名的 macOS 可执行文件冒充 Coinbase,引诱 Web3 领域的求职者打开恶意文件。冒充 Coinbase 的招聘文件命名为 Coinbase_online_careers_2022_07,打开之后它会显示虚假的 PDF 同时加载恶意 DLL,允许攻击者向被感染设备发送指令。安全公司 ESET 的研究人员还发现了 macOS 版本的恶意程序,专门为 macOS 系统编译。macOS 版本恶意程序使用了一个截至 8 月 12 日仍然有效的签名,该签名是在今年 2 月签发给名叫 Shankey Nohria 的开发者的。恶意程序没有经过公证——苹果检查程序是否有恶意成分的自动程序。

安全: 黑客让 John Deere 的拖拉机运行 Doom

在拉斯维加斯举行的 Def Con 安全会议上,安全研究人员 Sick Codes 演示了在 John Deere 制造的拖拉机显示屏上运行 Doom 游戏。Sick Codes 称整个过程花了数个月时间,包括越狱 John Deere 4240 型拖拉机使用的 Linux 系统。在拖拉机上运行的 Doom 当然经过特别修改,场景被设置在玉米田里,玩家操纵拖拉机去消灭敌人。他开发和展示了针对 John Deere 拖拉机的新越狱方法获取系统的 root 访问权限。这一方法可能有助于农民绕过软锁自行维修拖拉机。Sick Codes 称目前使用的方法相当复杂,未来可能开发出更简单的漏洞利用方法。

安全: 1900 名 Signal 用户受 Twilio 攻击的影响

为加密消息应用 Signal 提供电话号码验证服务的 Twilio 前不久遭到了钓鱼攻击,攻击者访问了它的客户支持控制台,有大约 1900 名 Signal 用户受到影响。Signal 称,没有任何用户的消息历史、通讯簿等个人数据受到影响,对于潜在受到影响的 1900 名用户它将解除注册要求他们重新注册,它将从 8 月 15 日起通过短信向受影响用户直接发送消息。

安全: Meta 测试 Messenger 默认启用端对端加密

Meta/Facebook 宣布它开始测试 Messenger 聊天默认启用端对端加密。端对端的加密和解密是在通讯端的双方进行的,因此服务商也无法知道会话内容,这能有效防止第三方监听。Meta 称除非用户选择向他们报告否则它也不会知道聊天内容,社交巨人计划到 2023 年在全球默认启用个人消息的通话和端对端加密。Messenger 还将继续提供阅后即焚的 Disappearing 功能,在端到端加密聊天中被查看的消息会在预先设定的时间段后自动消失。

安全: 单个漏洞穿透 macOS 所有安全防线

在 macOS 12.0.1 Monterey 中,苹果修复了一个进程注入漏洞 CVE-2021-30873。漏洞影响所有基于 macOS AppKit 的应用,研究人员利用该漏洞逃逸沙盒,root 提权,并绕过 SIP 文件系统限制。进程注入是指一个进程在另一个进程中执行代码的能力,在 Windows 中它被利用躲避反病毒扫描器的检测,在 macOS 中由于两个应用权限不同它的影响会更大。

安全: 研究人员使用 25 美元的设备入侵 Starlink 终端

比利时鲁汶大学的安全研究人员 Lennert Wouters 将在拉斯维加斯举行的 Black Hat 安全会议上介绍如何使用 25 美元的设备入侵 Starlink 宽带卫星星座的终端。Wouters 已经将工具开源发布在 GitHub 上。他的黑客工具是名叫 modchip 的定制电路板,使用现成的元件,成本约 25 美元,连接到 Starlink 天线上后能发动故障注入攻击,短暂的短路系统,绕过安全保护,进入被锁定的部分。Wouters 去年向 SpaceX 报告了漏洞,该公司也释出了一个更新增加了入侵的难度,但除非更换主芯片,问题并没有根本上解决。SpaceX 已经就此发表了一则声明(PDF),强调该漏洞无法远程利用必须物理访问终端,不会直接影响到 Starlink 卫星。

安全: Kali Linux 2022.3 发布

用于渗透测试、安全审计和网络安全研究的发行版 Kali Linux 释出了 2022.3。主要新变化包括:改进虚拟机支持;新的网络分析工具 BruteShark,开源应用漏洞关联和安全协调工具 DefectDojo,漏洞利用框架 phpsploit,针对 Lync/S4B/OWA/O365 的密码喷射攻击工具SprayingToolkitshellfire;Linux Kernel 5.18.5;改进 ARM 支持;等等。

安全: 丹麦 711 连锁店因网络攻击全部关闭

丹麦 711 连锁店周一因网络攻全部关闭。该公司声明称网络攻击导致它无法使用收银台。它没有透露网络攻击的细节,不清楚是否是一起勒索软件攻击。一位自称丹麦 711 连锁店员工的用户在 Reddit 上发帖(已删除)称,攻击导致了结账系统停止工作, 711 全国连锁店都使用相同的系统,因此所有连锁店都只能停业。

安全: 基于syzkaller实现的模糊测试技术分析:来自不是VaultFuzzer故事的部门

HardenedVault 写道 "2017年的晚些时候,一名匿名黑客建议HardenedLinux可以尝试把语料库和特定的代码路径形成具备概率性的关联,经过HardenedLinux maintiner的内部讨论认为syzkaller作为通用框架对于大规模QA的生产环境仍有大量的改进空间,假设GCP的工程师也是如此思路的话,那的确可以完成更全面的QA工程化。2018年,HardenedLinux的maintainer尝试使用eBPF在函数入口和出口收集一些函数接口中的结构体及其数值,即便这些数据目前尚未对执行流产生任何影响(因为在函数入口),并把它称为 内核状态。完成了PoC原型后并与Syzkaller社区进行讨论,经过讨论和一些更细粒度的测试后发现这个方法本身不合适被用于QA工程师的日常工作,直到2020年,终于完成了通用型模糊测试工具的设计和实现,这个项目被正式命名为Harbian-QA,这也是VaultFuzzer的前身。后来在一个关于可控并发测试议题的讨论中,内容涉及一些和状态相关的内容,在讨论中,Vegard Nossum提出了一种方法,即对结构及成员进行hash来收集数据访问情况,并且在不到24小时内发布他为此开发的GCC plugin的PoC原型。这个方法其实和2020年 Harbian-QA发布的Clang/LLVM以instrumentation的实现内容很相似,但只收集访问结构体及其成员名的hash,Vegard Nossum似乎是为了这个触发并发错误开发的,和 Harbian-QA设计目标有所不同。近期的一篇论文"GREBE: Unveiling Exploitation Potential for Linux Kernel Bugs"中,GREBE声称他们开发了一种“内核对象驱动”的模糊测试方法,经过HardenedVault团队分析后发现其和Harbian-QA以及Vegard的方案的相似度极高,Vault Labs联系了HardenedLinux曾经的全职maintainer确认GREBE论文作者之一Dongliang Mu不仅长期关注Harbian-QA的进展,甚至曾经就Harbian-QA内容寻求HardenedLinux 的帮助,而Dongliang Mu亦活跃于syzkaller社区,可能也读过Vegard的PoC。遗憾的是,GREBE在更换完这些术语和解释后,声称其设计是自行完成的一种新型内核fuzzer,GREBE论文花了大量篇幅来描述其他Fuzzer无法满足其应用场景的原因,整篇论文即没有引用Harbian-QA也没有引用Vegard的PoC,虽然我们不大清楚现代学术界是怎么运作的,但以常识判断这种”copy+paste+replace"并且不给出引用显然是有悖于柏拉图时代的学院派。希望RR坚信的HardenedVault应该保持“We’re neither academia bitch nor industry leech.“并不是红药丸的选择,不是吗?"

安全: 伊朗对阿尔巴尼亚政府发动网络攻击

针对阿尔巴尼亚政府的网络攻击在 7 月中旬导致政府网站和公共服务中断数小时。俄罗斯被认为是最可能的攻击嫌疑人,但安全公司 Mandiant 本周公布的研究报告认为伊朗才是攻击发起者。自由伊朗世界峰会计划于 7 月 23 日到 24 日在阿尔巴尼亚的 Albania 举行,而这一攻击发生在会议前的 7 月 17 日。随后峰会在开始前一天因所谓的恐怖主义威胁而推迟。研究人员称,攻击者部署了 Roadsweep 家族的勒索软件,可能利用了一个先前未知的后门 Chimneysweep,以及 Zeroclear 删除程序的新变种。伊朗此前主要在中东地区特别是以色列从事网络黑客活动。但针对阿尔巴尼亚的网络攻击不是为了窃取数据,而是为了破坏,影响到阿尔巴尼亚人的日常生活,是为了迫使阿尔巴尼亚政府回应。

安全: Gitlab 禁止使用 Microsoft Windows

Gitlab 被发现有一项禁止使用 Microsoft Windows 的公司政策。微软旗下的 GitHub 是 Gitlab 最主要的竞争对手。Gitlab 表示它允许员工使用 Linux 和苹果 macOS,而禁止使用 Windows 的理由是它是份额最高的桌面系统,因此也是间谍软件、病毒和勒索软件的最主要目标。Windows 家庭版的安全性难以保障,因此不符合公司安全准则。苹果的电脑是首选,如果熟悉 Linux 也可选择戴尔公司的 Linux 笔记本电脑。

安全: 下一代数据中心安全:Web3之基础架构

HardenedVault 写道 "2018的币热间接或者直接的导致Security Chain中止,但其涉及到的技术并未停止进化,随着web3(x?)的崛起一些技术再次派上的用场,HardenedVault(赛博堡垒)以安全为视角对下一代数据中心和Web3进行了一些讨论,文章谈到了从数据中心到云计算的“计算”维度,对极端去中心化(BTC/XMR) vs. 邦联化在效率方面的折中进行了分析以及对于下一代数据中心安全和Web3的关系以及技术上的挑战进行了探讨。互联网的未来,Web3的终极形态以及下一代数据中心都是令人兴奋的议题,但其中的挑战也是不言而喻的,这些挑战几乎涉及到所有的基础架构安全领域,包括硬件,固件,操作系统,密码通讯协议等。黑客和密码朋克社区再一次踏上远征,最终的结果依然会是无数个体选择的涌现,个体的力量的大小取决于能承受多少”真相“,而这又回到了个体面对人生时红蓝药丸的选择:真实的荒漠还是虚幻的荣耀。真实的荒漠,就以这个作为这篇以赛博堡垒视角讨论下一代数据中心的结尾,之前有不少反馈问我们对Web3的看法,如果直接让读者去读Security Chain的白皮书可能会劝退大部分人,况且Security Chain毕竟早已是历史,这篇文章希望能在技术和哲学之间有一个平衡,祝老派黑客和密码朋克继续在世俗的世界中去实现那神圣的愿景。"
上一页26272829303132333435下一页