solidot新版网站常见问题,请点击这里查看。

安全: 以色列和伊朗扩大网络战攻击平民目标

伊朗人买不到汽油。以色列人在网上发现了他们的约会细节。伊朗和以色列的影子战争正在打击普通公民。伊朗和以色列的数百万普通民众最近发现自己卷入了两国网络战的交火中。在德黑兰,一名牙科医生花了几个小时驾车寻找汽油,在四个加油站排长队等待,结果却一无所获。在特拉维夫,一位著名电台主持人惊慌失措,因为他的性生活私密细节和从 L.G.B.T.Q. 交友网站上偷来的数万人的私密信息被上传到社交媒体。多年来,以色列和伊朗通过陆、海、空和计算机进行秘密战争,但目标通常与军事或政府有关。现在网络战扩大到大规模针对平民。最近几周,一次对伊朗全国燃料分配系统的网络攻击使 4,300 个加油站瘫痪,12 天后才完全恢复服务。

两名美国国防官员在保持匿名的条件下讨论了机密情报评估,将这次袭击归咎于以色列。几天之后,以色列的一家主要医疗机构和一个受欢迎的 L.G.B.T.Q 约会网站遭到网络攻击,以色列官员将攻击归咎于伊朗。美国当局警告称伊朗试图入侵美国医院和其他重要基础设施的计算机网络,事态升级。随着在外交上恢复伊朗核协议的希望逐渐黯淡,此类袭击的数量只会激增。数月以来,黑客行为渗透到民用领域。伊朗的国家铁路在 7 月遭到袭击,但这次相对简单的黑客攻击可能不是以色列人所为。伊朗被指控去年对以色列的供水系统进行了一次失败的攻击。最近的袭击被认为是首次对大量平民造成广泛伤害。非国防计算机网络通常不如与国家安全资产相关的网络安全。

安全: Google 称攻击者入侵 Google Cloud 账号安装挖矿程序

Google 发布Threat Horizons 报告,对攻击者入侵 Google Cloud 账号安装挖矿程序发出警告。Google 称,最近入侵的 50 个 Google Cloud 实例中 86% 被用于挖矿,10% 被用于扫描去识别存在漏洞的系统,8% 被用于攻击其它目标。窃取数据反而不是主要目标。Google 还对其它黑客活动发出警告:俄罗斯政府支持的黑客组织 APT28 对 Gmail 账号发动大规模钓鱼攻击,朝鲜支持的黑客冒充招募人员向安全研究人员发去钓鱼邮件,勒索软件组织 Black Matter 日益活跃,等等。

安全: 英国新法案严禁使用默认密码

联网设备使用默认密码通常会成为严重的安全隐患。英国政府出台新法案禁止这种行为,以保护家中的智能联网设备不会被黑客入侵,不遵守新规定的企业将会面临巨额罚款。英国消费者保护组织 Which? 最近的研究发现,有大量智能设备的家庭一周内会受到 1.2 万次以上攻击。黑客如果能成功入侵一个存在漏洞或使用默认密码的设备,他们将可以进一步渗透和控制整个家庭网络。被称为《The Product Security and Telecommunications Infrastructure Bill》的法案禁止使用容易猜测的默认密码,所有产品需要有唯一密码,不能重设为出厂默认密码;通知客户产品获得安全更新的最短时长;为安全研究人员提供漏洞报告的联络信息。违反者将面临最高 1000 万英镑或全球营业额 4% 的罚款,对持续违规每天罚款最高 2 万英镑。

安全: 攻击者不愿费力暴力破解长密码

根据微软蜜罐服务器网络收集的数据,大多数暴力破解攻击者主要尝试猜测短密码,很少攻击针对长的或包含复杂字符的凭证。微软安全研究员 Ross Bevington 表示:“我分析了超过一百万次针对 SSH 的暴力攻击输入的凭据。这是微软传感器网络中约 30 天的数据。”作为微软的欺诈主管,Bevington 的任务是创建看起来合理的蜜罐系统以研究攻击者趋势,他表示:“77% 使用的是长度在 1 至 7 个字符之间的密码。长度超过 10 个字符的密码只占 6%。”

安全: 物理攻击可信平台模块TPM v1.2/v2.0

HardenedVault 写道 "自2010年代以来,物理攻击成为了一个古老而重要的话题,如果关键信任基(在本例中为TPM)遭到破坏,则可能会危及关键基础架构的安全,2011年以及2012年发布的<LPC总线劫持者指南>和<TPM通信接口的劫持者指南>揭示了TPM(直到现在高度依赖LPC总线)的攻击面。2018年3月,NCC Group展示了使用价格低于180美元廉价硬件设备方案发起名为TPM Genie的攻击TPM Genie可以作为interposer来发起中间人攻击,以伪造EK或简单地嗅探主机和TPM之间的流量,而在2019年,安全研究人员利用49美金的硬件则完成了针对TPM嗅探的并且提取bitlocker的密钥,所有的公开演示都是PoC级别的,这里值得注意的是真实世界的漏洞利用可以在更短的时间内完成针对TPM中间人劫持或者嗅探的攻击,目前大部分运行TPM v1.2/v2.0的实现都受到影响,幸运的是,VaultBoot对于此种攻击类型免疫,即使是VaultBoot的开源版本的防御弹性也远强于其他商业以及开源方案。"

安全: 新消防工具可将水直接喷向燃烧的电动汽车电池

4 月,一辆特斯拉 Model S 在得克萨斯州伍德兰发生车祸,司机超速行驶,未能拐过弯道控制在汽车。美国国家运输安全委员会的调查报告显示,汽车随即撞上排水涵洞和凸起的维修孔,然后被一棵树挡住停了下来。就在那时,这辆特斯拉迅速燃烧起来。

消防员花了四个小时才扑灭了火焰,部分原因是该车的电池不断复燃。当大火最终被扑灭时,大约倾倒了 30,000 加仑的水——这通常是该部门一个月使用的水量。

电动汽车火灾并不常见,但它们与化石燃料汽车火灾有很大不同,消防员需要新的方法。欧洲的一家公司开发了一种类似集装箱的盒子,可以将熊熊燃烧的电动汽车罩在里面,然后从四面八方喷水。但它需要一辆专用卡车,这对消防部门来说是一笔昂贵的额外开支。

不过,明年消防员将有另一种选择——可以推到燃烧的车辆下方的高压喷嘴,将水直接喷到电池中。制造救火车和其他设备的奥地利公司 Rosenbauer 表示,该公司成功地在各种电池设计上测试了设备,包括袋状、棱柱形和圆柱形电池。

安全: 新 Rowhammer 技术破解 DDR4 内存保护

Rowhammer 漏洞利用允许非特权攻击者修改或破坏存储在易受攻击内存芯片中的数据,制造商后来为内存芯片加入抵御此类攻击的保护措施,但最新方法瓦解了保护,事实上所有 DDR4 模块都易受 Rowhammer 攻击。

Rowhammer 攻击工作原理是每秒数百万次访问或锤击易受攻击的芯片内的物理行,导致相邻行中的比特翻转,意味着 1 变为 0,反之亦然。研究人员证明,这些攻击可被用于为不受信任的应用程序提供几乎不受限制的系统权限,绕过防止恶意代码访问敏感操作系统资源的安全沙箱,Root 或者感染 Android 设备等。

之前所有的 Rowhammer 攻击都以相同的模式敲击行,例如单面、双面或n面。在所有三种情况下,这些“攻击者”行——导致附近“受害”行比特翻转的那些行——被访问的次数相同。 周一发表的研究提出一种新 Rowhammer 技术。它使用非均匀模式以不同的频率访问两个或多个攻击者行。结果测试池中所有 40 个随机挑选的 DIMM 都出现比特翻转,成功率高于之前的测试,之前在 42 块芯片中只有 13 块出现比特翻转。研究作者 Kaveh Razavi 和 Patrick Jattke 在一封电邮中写道:“我们发现,通过创建特殊的内存访问模式,可绕过部署在 DRAM 中所有的防御措施。根据分析,这将可能被已知攻击入侵的设备比例增加到 80%。由于硬件特性,这些问题无法修复,将在未来很多年中继续存在。”

非均匀模式对目标行刷新也有效。这种缩写为 TRR 的防御措施因供应商而异,但是通常会跟踪行被访问的次数,在出现滥用迹象时为相邻的受害行补电。防御的失效给芯片制造商带来了进一步的压力,推动他们想方设法抵御此类攻击——很多人原本认为较新类型的存储芯片可以抵御它了。

安全: 高危 BIOS 漏洞影响多型号英特尔处理器

英特尔披露了两个高危漏洞影响多代英特尔处理器家族,漏洞允许攻击者和恶意程序获得更高的权限。漏洞由 SentinelOne 发现,编号为 CVE-2021-0157 和 CVE-2021-0158,CVSS v3 评分都是 8.3/10,前者与 BIOS 固件控制流管理有关,后者则与 BIOS 固件不正确输入验证有关。漏洞可被用于提权,但攻击者需要首先能物理访问机器。受影响的型号包括了 7 代、10 代和 11 代酷睿处理器,至强E、E3 v6 和 W 系列等。英特尔没有披露更多细节,它建议用户如果有可用 BIOS 更新就打上补丁。考虑到 7 代酷睿已有 5 年历史,主板供应商不太可能还会释出 BIOS 更新。

安全: 黑客侵入 FBI 电邮系统

黑客周六入侵了 FBI 的一个电子邮件系统,发送了数万条假信息,警告可能发生网络攻击。FBI 在一份声明中说,假电邮似乎发送自一个以 @ic.fbi.gov 结尾的合法 FBI 邮箱地址。FBI 称,尽管受该事件影响的硬件“在问题被发现后迅速下线,但这是一个持续的情况”。威胁追踪组织 Spamhaus Project 在其推特账户上说,黑客发送了数万封电子邮件,警告可能发生网络攻击。Spamhaus 在推特上发布的其中一封电邮副本显示,邮件标题为“紧急:系统中的威胁行为者”,落款似乎是国土安全部。

安全: 安全公司等待 12 个月后才报告高危漏洞

Palo Alto Networks 的 GlobalProtect VPN 刚刚修复了一个缓冲溢出的高危漏洞,而安全公司 Randori 是在 12 个月前发现该漏洞,但一直将其作为秘密内部使用,而不是尽快报告给软件供应商。编号为 CVE-2021-3064 的高危漏洞(威胁评分 9.8/10)影响 PAN-OS 8.1.17 之前的版本,已有超过一年历史,但 Randori 根据 Shodan 搜索发现有大约 1 万台联网的企业服务器运行存在漏洞的版本。为何不尽早报告漏洞?Randori 声称该漏洞作为红队的工具用于对客户的网络进行安全测试,表示 0day 漏洞对于客户以及整个网络安全世界的成功是必不可少的。

安全: 美国间谍入侵 Booking.com,公司高层保持沉默

2016 年初,一名美国黑客入侵了世界最大的住宿预订平台 Booking.com,窃取了中东国家的数千酒店预订信息。在两个月的调查之后,IT 专家判断黑客与美国情报机构有紧密联系。Booking.com 并没有就此次事件通知受影响的客户或通知其总部所在地荷兰的数据保护机构。公司高层表示当时的法律不要求他们这么做。公司 IT 专家对公司保持沉默的做法相当不满。根据当时适用的隐私法律,在数据被窃取之后企业需要通知受影响客户,这可能会对他们的个人生活产生不利影响。荷兰 Leiden 大学的法学教授 Gerrit-Jan Zwenne 认为,美国间谍窃取的信息可能会被用于将某些人加入到禁飞名单,禁止进入特定国家,或者对他们进行窃听。

安全: 1000 多部 Android 手机被发现感染了新间谍软件

1,000 多名 Android 手机用户感染了一种新发现的恶意软件,它会悄悄实时录音录像、下载文件并执行其他监视活动。研究人员共发现了 23 个悄悄安装该间谍软件的应用,安全公司 Zimperium 的研究人员将间谍软件称为 PhoneSpy。它提供了一系列完整的功能,除了窃听和盗取文件之外,还包括传输 GPS 位置数据、修改 Wi-Fi 连接以及执行叠加攻击(overlay attacks)以获取 Facebook、Instagram、Google和 Kakao Talk 应用的密码。Zimperium 研究人员 Aazim Yaswant 在官方博客上写道:“这些恶意的 Android 应用被设计为在后台静默运行,不间断地监视受害者而不引起任何怀疑。我们相信 PhoneSpy 的幕后黑手收集了大量受害者的个人和公司信息,包括私人通信和照片。”

安全: 看不见的 JavaScript 后门

本月初,剑桥大学的研究人员披露了在源代码中隐藏人眼看不见的漏洞的攻击方法 Trojan-Source,攻击利用的是 Unicode 中的双向机制。现在,安全研究人员披露了在 JavaScript 中发动类似攻击的方法。在 JavaScript 中创造看不见的后门首先需要寻找能被 JS 解释为标识符/变量的不可见的 Unicode 字符,然后寻找使用不可见字符不被注意到的方法。这种方法无法通过语法高亮检测出来。攻击需要 IDE/文本编辑器能正确渲染不可见的字符。Notepad++ 和 VS Code 都能正确渲染。

安全: BrakTooth 漏洞影响无数蓝牙设备

研究人员公开了蓝牙设备漏洞 BrakTooth 的利用代码。BrakTooth 影响数以十亿计设备使用的 1400 多种芯片组的商业蓝牙栈,包括依赖 Bluetooth Classic (BT)通信的智能手机、PC、物联网设备和工业设备。漏洞利用的 PoC 代码发布在 GitHub 上。美国 CISA(网络安全和基础设施安全局)督促制造商、供应商和开发商给蓝牙设备部署补丁或采用缓解漏洞利用的方法。

安全: 勒索软件组织 REvil 的覆灭

全球警方联合打击了史上最赚钱的网络犯罪团伙之一。 罗马尼亚警方、美国司法部和欧洲刑警组织周一宣布对 REvil 团伙采取联合行动。突袭同时在线上和线下展开,在罗马尼亚逮捕了两名涉嫌黑客,其中一人来自乌克兰。REvil 被指对全球企业发动了多次大规模黑客攻击。

美国还宣布,通过名为 claw back 的黑客行动,成功从该团伙手中夺回了超过 600 万美元的加密货币。过去三年,REvil——aka GandCrab 或 Sodinikobi——一直在攻击世界各地的企业和机构。欧洲刑警组织专门设立了名为“GoldDust”的行动对付该组织。自 2 月以来,这项行动已使该黑客团伙的 7 名成员在罗马尼亚、乌克兰、韩国和科威特落网。官方表示,11 月 4 日逮捕的两名罗马尼亚人感染了 5,000 名受害者,并从中赚取了 50 万欧元的赎金。REvil 的一名领导成员前不久宣布来自当局的压力迫使他们停止运营。

安全: Robinhood 遭到入侵和勒索但没有影响到客户资金

股票交易应用 Robinhood 称有黑客对其客服发动了社会工程攻击,获得了部分客户支持系统的访问权,窃取了 500 多万客户的电邮地址、200 万客户的全名,以及大约 310 名客户比较详细的个人信息如姓名、出生日期和邮编,此外还有 10 名用户的账号细节泄露。黑客之后还尝试进行勒索。Robinhood 表示此次攻击已被控制,它正在通知受影响客户,表现相信社会安全号码、银行账户号码或借记卡号码没有泄露,客户也没有因此遭受财务损失。

安全: 无人机被用于暗杀伊拉克总理

路透社报道,周日早晨一架载有炸药的无人机袭击了伊拉克总理 Mustafa al-Kadhimi 在巴格达的住所。伊拉克军方称这是一起未遂的暗杀,表示 Kadhimi 没有受伤。”安全消息人士称,袭击造成几名 Kadhimi 的贴身保安人员受伤,此前伊拉克首都因上个月的大选结果引发的抗议演变成了暴力事件。得到伊朗支持的武装民兵领导了对 10 月投票结果的抗议和投诉,他们在选举中失去了大部分议会权力。没有任何团体立即声称对 Kadhimi 在巴格达设有防御工事的“绿区”的住所的袭击负责,“绿区”是政府大楼和外国使馆所在地。

安全: GitLab 服务器被利用发动 DDoS 攻击

GitLab 的自托管服务器漏洞被利用发动 DDoS 攻击,攻击流量一度超过 1 Tbps。Google 安全工程师发现了这次 DDoS 攻击,攻击者利用了编号为  CVE-2021-22205 的漏洞去控制服务器,GitLab 已在今年 4 月将其修复,但不是所有自托管服务器打上了补丁。漏洞位于 ExifTool 库内,该软件库被用于移除上传到 Web 服务器中的图像元数据。GitLab 在社区版 GitLab Community Edition (CE) 和企业版 Enterprise Edition (EE)中使用了 ExifTool。有大约 6 万 GitLab 自托管服务器联网,其中一半也就是大约 3 万没有打补丁。利用漏洞的 POC 在今年 6 月公布,而攻击也是始于 6 月。

安全: NSO Group 被美国商务部列入出口控制的实体名单

美国商务部工业安全局将四家公司列入出口控制的实体名单:以色列公司 NSO Group 和 Candiru,俄罗斯公司 Positive Technologies 和新加坡公司 Computer Security Initiative Consultancy PTE. LTD.。NSO Group 和 Candiru 被列入实体名单都是因为向政府出售间谍软件,而相关政府利用间谍软件攻击官员、记者和活动人士,间谍软件还被用于跨境镇压。

安全: VaultHSM:OpenPGP智能卡中确定性 ECDSA的测试方法

HardenedVault 写道 "DSA 型签名算法(包括 ECDSA)的原始实现中需要一个和私钥属于同种数学对象(GF(p) 的元素,p 为素数)的随机数,该随机数必须同时满足以下三个性质:1)随机性:无法仅通过被签名数据(以下称“载荷”)和生成的签名推算出来。2)机密性:不可泄露到签名过程之外。3)唯一性:该随机数对不同的载荷必须不同。否则,攻击者将有可能通过载荷与签名推算出私钥。如果该随机数来自一个有缺陷的随机数发生器,则随机性和唯一性会变得难以保证——攻击者可能通过收集足够多的载荷——签名对找到随机数发生器的规律,进而推算出私钥,虽然行业用户认为这是“可忍受”的缺陷直到LadderLeak漏洞的公开披露彻底让真相浮出水面,在最坏的情况下,攻击者只需要付出30万美金就可以破解P-224的密钥。由于开源的安全ECDSA实现进展并不顺利,Vault Labs给出了测试缺陷的方法和临时安全解决方案: 确保所有你使用的证书是>= P-256或者RSA(有其他风险需要考量)以及安全人员不要漏掉对没有接入互联网的服务的审计。"
上一页31323334353637383940下一页