文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
2020 年 11 月,微软推出了 Pluton,希望用安全处理器阻止最复杂的黑客攻击。AMD 上周表示将把该芯片集成到即将推出的 Ryzen CPU 中,供联想 ThinkPad Z 系列笔记本电脑使用。尽管很多系统已拥有可信平台模块(TPM)或英特尔的 Software Guard Extensions 之类的保护措施保护敏感机密信息,但是这些机密然易受到多种类型的攻击。其中之一是用线缆接入 TPM 和其他设备组件之间的连接,提取在机器之间传递的机密信息。去年 8 月,研究人员披露了一次攻击,只花了 30 分钟就从一台新的联想计算机中获取了 BitLocker 密钥,这台联想计算机预置使用 TPM 进行全盘加密、用密码保护 BIOS 设置并开启了UEFI SecureBoot。黑客通过嗅探 TPM 和 CMOS 芯片之间的连接成功攻击,表明用最新的防御措施锁定笔记本电脑并不见得足够安全。三个月后公布的一次类似的攻击表明,利用英特尔 CPU 中的漏洞(现已修复)破坏各种安全措施,包括 BitLocker、TPM和反复制限制等安全措施。被称为Spectre 和 Meltdown 的攻击再次强调了恶意代码直接从 CPU 中提取机密信息的威胁,即使机密信息被存储在英特尔的 SGX 中。Pluton 设计解决所有这些问题。它被直接集成到 CPU 中,将加密密钥等储存在一个与其它系统组件完全隔离的围墙花园中。微软表示,存储的数据无法被删除,即使攻击者安装了恶意软件或完全控制计算机。
一位开源开发者的故意破坏再次引发了企业依赖靠维护者义务工作的开源库的争议。Marak Squires 的开源库 color 和 faker 被广泛使用,其中不乏企业和商业客户。在包管理器 NPM 上,colors 的周下载量超过 2000 万次,有近 19000 个项目依赖它;faker 的周下载量超过 280 万次,有超过 2500 个项目依赖它。开发者在 color.js 库的 v1.4.44-liberty-2 版本中给新的美国国旗模块加入了无限循环,依赖 color.js 的项目会在控制台看到不停打印的非 ASCII 字符。faker v6.6.6 版本的情况类似,他将这两个搞破坏的版本推送到 GitHub 和 npm。受影响的项目包括亚马逊 AWS 的 Cloud Development Kit。开发者此前曾批评企业没有回馈社区,他在 2020 年 11 月警告说,他将不再用义务工作支持大企业,商业客户应该考虑创建分支,或者用每年六位数的薪水补偿开发者。安全专家批评这种行为不负责任,每一个依赖这些库的项目都受到影响,而不仅仅是大企业。GitHub 平台暂时封禁了 Marak Squires 的账号(已解封),此举也引发了对 GitHub 如何控制开源项目的争议。
美国联邦贸易委员会(FTC)警告,未能保护客户数据免受 Log4Shell 漏洞影响的美国组织可能会面临法律后果。Log4Shell 是广泛使用的 Log4j Java 日志库零日漏洞名称。FTC 警告称,在 12 月首次被发现的严重漏洞正在被越来越多的攻击者利用,对数百万的消费者产品构成“严重风险”。公开信敦促各大组织解决该漏洞,以减少对消费者造成伤害的可能性并避免法律诉讼风险。该机构表示:“当这些漏洞被发现并被利用时,可能会导致个人信息的丢失或泄露,造成经济损失并带来其他不可逆的伤害。”“包括《联邦贸易委员会法案》和《金融服务现代化法案》在内的法律要求采取合理的措施解决已知的软件漏洞问题。依赖 Log4j 的公司及其供应商现在就要采取行动,减少对消费者造成伤害的可能性并避免 FTC 采取法律行动,这一点至关重要。”
HardenedVault 写道 "vault1317是一款为高级威胁防护背景下设计的密码工程通信协议,在OTRv3/v4和Signal协议基础上加强了通信节点的元数据保护,即保护机器的隐私。在此基础上提供加密通信过程的可抵赖性,以保证在通信节点任意一方进行背叛行为(向第三方披露通信内容)和长寿命密钥泄漏的情况下也无法留下加密证据。vault1317的目标并非保护人类隐私,而是通信节点(机器)的隐私。当赛博堡垒设计vault1317第二阶段邦联化特性过程中收到了密码朋克社区的诸多建议,从威胁模型的角度,数字军火商不会放弃任意高度依赖密码工程的领域,更重要的是,邦联化作为去中心化特性的关键要素必须进行架构级审计,vault1317协议的当前邦联化是通过XMPP,经过技术评估赛博堡垒最终选择了基于lurch,lurch是一个实现了XEP 0384(OMEMO)加密协议修订版 的pidgin插件。OMEMO是一个基于axolotl协议的实现,在lurch中 axolotl的实现基于libsignal-protocol-c,axc则是基于libsignal-protocol-c进行了高阶封装的实现。由于lurch上下游的依赖,审计目标除了lurch本身也包括两个支持库axc和libomemo,审计过程中发现的缺陷已经修复。"
恶意软件 RedLine 瞄准了 Chrome、Edge 和 Opera 等流行浏览器,表明为什么将密码存储在浏览器中是个糟糕的主意。这种恶意软件是一种商品化的信息窃取程序,可在网络犯罪论坛上以大约 200 美元买到,不需要太多知识即可轻松部署。AhnLab ASEC 的新报告警告称,贪图方便使用浏览器的自动登录功能正成为影响组织和个人的重大安全隐患。使用浏览器存储登录凭据的做法既诱人又方便,但是即使没有感染恶意软件,此举也有风险。因为这将允许在本地或者远程访问计算机的人在几分钟内窃取所有的密码。最好使用专用的密码管理器将一切存储在加密的保险库并要求使用主密码解锁,以及使用多因素认证。RedLine 针对的是基于 Chromium 浏览器的 Login Data 文件以及用于保存用户名和密码的 SQLite 数据库。
YouTube 主播 Trevor Jacob 在 12 月 24 日上传了发生在 11 月 24 日的单引擎轻型飞机 Taylorcraft 坠毁视频。他声称驾驶飞机前往 Mammoth 去洒掉朋友的骨灰,但途中引擎熄火,他带着 Gopro 相机从飞机上跳下拍摄了整个飞机坠毁的戏剧性过程。此事引发了很多争议,飞机坠毁被认为是计划好的而不是意外。美国航空监管机构 FAA 已经宣布对此展开调查。这则视频到目前为止观看了超过 24 万次。
小米宣布了 MIUI 13,整合了反电信欺骗功能。小米介绍称,新的全链路电诈防护功能能识别和警告欺骗电话,能拦截安装被识别为欺骗 APP 的应用安装(显示“相关法律法规要求,禁止安装”),提供“反电信网络欺骗专用号码”,对向欺骗号码的可疑转账发出警告等。MIUI 13 还提供了新的系统字体 MiSans。
距离 2038 年只剩下 16 年了。所谓的 2038 年问题是指类 Unix 系统的时间表示 time_t 使用的是一个 32 位整数,从1970 年 1 月 1 日开始计算秒数,到 2038 年 1 月 19 日 3 时 14 分 07 秒将超过 32 位长度,导致所有使用这种时间表示法的程序停止工作。在 64 位系统上,time_t 使用的是 64 位整数,Linux kernel 在几年前就切换到了 64 位时间表示,微软的 msvcrt 也早就默认使用 64 位 time_t。然而广泛使用的 GNU libc 库虽然从 v2.34 开始支持 64 位 time_t,但并没有默认使用,而是需要明确要求否则不会使用。这意味着今天使用 glibc 的应用在 16 年后可能会出现问题,而 16 年并不意味着天翻地覆一切都变了,如 Windows XP 在发布 16 年后仍然有很多人使用。
HardenedLinux 写道 "GNU Artanis是一个基于Scheme的Web框架自由软件实现,于2015年正式成为GNU官方项目,经过7年的发展其成为了Scheme语言中最先达到产品级的Web框架,它也是基于delimited continuation实现产品级高并发设计的最佳实践之一,相关论文2016年在ICFP Scheme workshop发表。GNU Artanis作者经过多方面考虑,于2021年12月29日,GNU Artanis正式捐赠给HardenedLinux社区平台并继续由GNU Artanis社区维护,这并不影响其GNU官方项目的性质。HardenedLinux社区致力于基于自由软件/固件/硬件打造安全以及相关工具开发的最佳实践,在GNU/Linux发行版方面,HardenedLinux社区一直以来推进基于Debian GNU/Linux的最佳实践,GNU Artanis的加入无疑成为了一大助力。"
部分密码管理器 LastPass 的用户最近收到了主密码可疑登录尝试的邮件警告,引发了 LastPass 用户密码泄露的担忧。但 LastPass 否认该公司发生了用户密码泄露的事故。它在一份声明中表示,它认为是未知攻击者发动了撞库攻击(credential stuffing)。也就是攻击者使用从第三方获取到的电子邮件和密码去尝试登录 LastPass 上的用户账号。由于密码管理器包含了用户大量的其它服务密码,它如果被破解会导致严重的后果。密码管理器的主密码应该尽可能避免复用密码。
相片服务巨头 Shutterfly 遭勒索软件 Conti 的攻击,数以千计的设备被加密,企业数据被窃取。Shutterfly 成立于 1999 年,主要提供个性化相片服务,2009 年上市,2019 年被 Apollo Global Management 收购并与其竞争对手 Snapfish 合并。据报道它有超过千万客户。对 Shutterfly 的攻击发生在两周前,Conti 勒索软件黑帮声称加密了超过 4000 台设备和 120 台 VMware ESXi服务器,它索要数百万美元赎金,威胁公开窃取的数据,这是勒索软件黑帮常用的二次勒索策略。它窃取的数据包括协议合同、银行和商家账户信息、企业服务登录凭证、电子表格,信用卡最后四位数等。Conti 还声称获得了商店的源代码。Shutterfly 在周日晚上确认遭到攻击,表示 Shutterfly.com、Snapfish、TinyPrints 或 Spoonflower 网站不受影响,企业网络、Lifetouch、BorrowLeneses 和 Groovebook 的服务受到攻击影响。
白宫邀请主要软件开发商讨论加强开源软件安全。在开源软件 Apache Java 日志框架 Log4j2 曝出的高危漏洞影响无数应用和服务之后,白宫国家安全顾问 Jake Sullivan 邀请软件行业的主要成员讨论如何改善开源软件的安全。数十个开源软件项目已成为全球商业的关键组成部分,这些软件大部分都由志愿者维护。负责网络和新兴技术的国家安全副顾问 Anne Neuberger 将在 1 月主持召开为期一天的讨论。Sullivan 在邀请函中指出,开源软件促进了创新,但它们的广泛使用以及主要由志愿者维护的事实组合在一起构成了一个重要的国家安全问题,Log4j2 漏洞就是一个鲜明的例子。
2019 年 2 月,一名以色列女子与乌干达总统之子、负责其安全的 Muhoozi Kainerugaba 中将见面,推销 NSO 公司的间谍软件 Pegasus。几个月后当时的 CEO Shalev Hulio 前往乌干达签署了这笔价值 1000 万到 2000 万美元的交易。这笔秘密交易最终将 NSO 带到了崩溃边缘。两年之后美国在乌干达的 11 名外交官遭到了 Pegasus 的攻击,此事激怒了美国,NSO 被列入了贸易黑名单,禁止美国公司与它有任何生意往来。而 NSO 广泛使用美国的技术和设备。NSO 曾告诫其客户不要攻击美国的电话号码,它如今在非洲已经没有了任何生意。在禁令宣布之后,英特尔通知员工切断与 NSO 的所有生意,新 CEO Itzik Benbenisti 刚上任两周就宣布辞职。它的净现金流已经是负数。美国参议员还要求根据 Magnitsky 法案对其进行制裁。如果执行制裁,NSO 将切断与美国银行系统的关系,它的员工将被禁止进入美国。
本月早些时候,特斯拉推送的软件更新允许车载信息娱乐系统在汽车运动中玩游戏,引发了监管方面的担忧。美国高速公路安全管理局(NHTSA)周三宣布对此展开正式调查。NHTSA 表示,特斯拉自 2020 年 12 月起开始配备“Passenger Play”功能。在此之前,只能在停车状态下在中央屏幕上玩游戏。NHTSA的 调查覆盖从 2017 年至 2021 年的大约 580,000 辆特斯拉 Model S、3、X 和 Y 型车辆。它表示将评估“该功能的各个方面,包括特斯拉‘Passenger Play’的使用频率和使用场景。”特斯拉确实警告不要在驾驶时玩游戏。当 Passenger Play 功能被激活时,屏幕上会弹出一条警告:“在车辆行驶时,Touch Arcade 仅供乘客使用。在玩游戏前请查看当地法律。”从 2014 年起,至少有 34 个州制定了“视频屏幕限制”法律,因此通过 Passenger Play 玩游戏总体而言似乎是非法的。NHTSA 早在 2013 年就发布了前排显示指南,称“显示与驾驶无关的图像或视频……本质上会干扰驾驶员安全操作车辆的能力。”
安全研究人员观察到名为 TellYouThePass 的勒索软件家族尝试利用最近发现的 Log4j 高危漏洞。TellYouThePass 勒索软件家族被认为年代比较悠久且基本不活跃,在广泛使用的 Log4j 日志框架发现漏洞之后,该勒索软件家族再次活跃。研究人员表示,继 Khonsari 勒索软件之后,TellYouThePass 成为第二个被观察到利用 Log4j 漏洞(被称为Log4Shell)的勒索软件家族。
虽然之前的报道表明 TellYouThePass 主要针对中国目标,但安全公司 Sophos 的研究人员表示,他们观察到 TellYouThePass 勒索软件在中国境内和境外(包括美国和欧洲)的传播企图。Sophos Labs 的高级威胁研究员 Sean Gallagher 表示:“中国的系统以及托管在美国和欧洲多个站点的亚马逊和 Google 云服务系统都成为目标。”Gallagher 表示,Sophos 在 12 月 17 日和 12 月 18 日检测到利用 Log4j 漏洞传播 TellYouThePass 负荷的企图。Sophos 威胁研究员 Andrew Brandt 表示,TellYouThePass 有在 Linux 或 Windows 上运行的版本,“有利用EternalBlue 等知名漏洞的历史。”Brandt 表示,Linux版本能窃取 Secure Socket Shell(SSH) 密钥并能执行横向移动。Sophos 在 12月 20 日的博文中披露它检测到 TellYouThePass 勒索软件。
TellYouThePass 勒索软件利用 Log4j 漏洞的第一份报告来自中国网络安全组织 KnownSec404 团队的负责人,时间是 12 月 12 日。研究人员社区 Curated Intelligence表 示,随后其他研究人员证实 TellYouThePass 与 Log4Shell 一同部署的企图。在周二的一篇博文中,Curated Intelligence 表示其成员现在确认 TellYouThePass 被发现利用这个漏洞(未经修复)“针对 Windows 和 Linux 系统。”Curated Intelligence表 示,TellYouThePass 最近一次被观察到是在 2020 年 7 月。
虽然之前的报道表明 TellYouThePass 主要针对中国目标,但安全公司 Sophos 的研究人员表示,他们观察到 TellYouThePass 勒索软件在中国境内和境外(包括美国和欧洲)的传播企图。Sophos Labs 的高级威胁研究员 Sean Gallagher 表示:“中国的系统以及托管在美国和欧洲多个站点的亚马逊和 Google 云服务系统都成为目标。”Gallagher 表示,Sophos 在 12 月 17 日和 12 月 18 日检测到利用 Log4j 漏洞传播 TellYouThePass 负荷的企图。Sophos 威胁研究员 Andrew Brandt 表示,TellYouThePass 有在 Linux 或 Windows 上运行的版本,“有利用EternalBlue 等知名漏洞的历史。”Brandt 表示,Linux版本能窃取 Secure Socket Shell(SSH) 密钥并能执行横向移动。Sophos 在 12月 20 日的博文中披露它检测到 TellYouThePass 勒索软件。
TellYouThePass 勒索软件利用 Log4j 漏洞的第一份报告来自中国网络安全组织 KnownSec404 团队的负责人,时间是 12 月 12 日。研究人员社区 Curated Intelligence表 示,随后其他研究人员证实 TellYouThePass 与 Log4Shell 一同部署的企图。在周二的一篇博文中,Curated Intelligence 表示其成员现在确认 TellYouThePass 被发现利用这个漏洞(未经修复)“针对 Windows 和 Linux 系统。”Curated Intelligence表 示,TellYouThePass 最近一次被观察到是在 2020 年 7 月。
在沙特记者 Jamal Khashoggi 在土耳其被谋杀前几个月,他的未婚妻 Hanan Elatr 在迪拜机场被迫向安全人员交出了两部 Android 手机、笔记本电脑和密码,并就其未婚夫相关问题被盘问了一整夜。第二天,仍然被扣押的手机输入了一个网址 https://myfiles[.]photos/1gGrRcCMO,安装 NSO Group 的间谍软件 Pegasus。两部手机在数天后才归还,加拿大多伦多大学公民实验室的研究人员对手机的深入分析揭示了阿联酋政府机构在手机上安装间谍软件的痕迹。NSO Group 此前否认 Pegasus 被用于入侵 Elatr 的手机,称其服务器上没有相关记录。Khashoggi 于 2018 年 10 月 2 日伊斯坦布尔被谋杀,Elatr 是在这一年 4 月 21 日遭到扣押。
Microsoft Teams 的链接预览功能发现了四个漏洞。安全研究人员在 3 月就将问题报告给了微软,而到了 12 月 22 日微软只堵上了一个漏洞,研究人员称微软看起来没有意愿或资源保护其客户。这四个漏洞之一能泄露微软本地网络的信息,能用于钓鱼攻击伪装预览,Android 版本下能泄露用户的 IP 地址,Android 版本下用户收到无效链接预览之后应用程序会崩溃,打开包含恶意信息的聊天窗口时会持续崩溃。微软到目前为止修复了泄露用户 IP 地址的漏洞。
Apache Java 日志框架 Log4j2 曝出的严重漏洞影响了无数应用和服务,而发现该漏洞的阿里云因未及时向工信部通报漏洞被“暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位 6 个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位”。阿里云是在 11 月 24 日向 Apache 报告了漏洞,而工信部网络安全威胁和漏洞信息共享平台直到 12 月 9 日才收到 Log4j2 相关的报告,12 月 17 日工信部通报称,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。
在 FBI 之后,英国执法机构国家犯罪调查局与 Have I Been Pwned 共享它在调查中发现的 5.85 亿泄露密码。Have I Been Pwned 维护者 Troy Hunt 表示,其中 2.25 亿个密码是唯一的,即此前未泄露过。国家犯罪调查局是在英国一家云存储设施的一个账户内发现泄露的密码以及对应的电邮账号,它无法判断泄露的密码和电邮来自哪个平台或哪家公司。目前 Have I Been Pwned 包含 55 亿个条目,其中 8.47 亿是唯一的,所有密码都可以免费下载,可以下载到本地后对照是否密码泄露,无需通过该网站。
据说暗网市场丝绸之路的创始人 Ross Ulbricht 的笔记本电脑是在解锁的情况下被美国联邦特工抢走。他被怀疑是丝绸之路的创始人但没有确凿证据,执法部门需要笔记本电脑中的数据作为证据。为在解锁情况下拿到笔记本电脑,两名特工在 Ulbricht 面前演了一场打斗戏,吸引他的注意力后由第三名特工抢走电脑。如何在这种罕见的情况下保护计算机里的秘密?名叫 BusKill 的项目就是设计针对这种情况,保护记者和活动人士的数据安全。BusKill 是一种磁分离线缆,支持 macOS、Windows 和 Linux,用户可以配置当磁分离连接器被断开也就是笔记本电脑离开拥有者的情况下的应对措施,包括锁住计算机和自毁数据。