安全快讯Top News

巴尔的摩市已被加密货币勒索软件困扰两周

本月早些时候,黑客成功地在巴尔的摩市部署了一批勒索软件。在两周的时间里,它已经导致了该市一系列重要的公共服务被关闭。外媒指出,本次攻击锁定了大约 10000 台政府计算机。虽然攻击者的真实身份不得而知,但其向政府勒索 13 个莱特币(当前市值约 10.2 万美元),否则就不予恢复设备上的正常数据。 (图 via:Bleeping Computer,文自:BGR) 显然,勒索软件已经让巴尔的摩全市沦为了人质,因为市政府无法访问电子邮件账户,甚至连给雇员发工资都做不到。此外,市民无法支付一系列公共事业费用,房地产相关的交易也无法顺利展开。 令人欣慰的是,市政官员表示他们无意支付这部分赎金,因为只要妥协过一次,无疑会鼓励别有用心者在未来发起更多类似的攻击。 只是在此期间,巴尔的摩市正在耗费大量的心力、以恢复基础服务的正常运行。 在数日前发布的新闻稿中,巴尔的摩市市长 Bernard Young 说到:“我们建立了一套基于 Web 的事故指挥方案,将操作转换到了手动模式,并会通过其它方案来继续向公众提供服务” 巴尔的摩市将继续调整和完善那些被中断服务的交付,同时寻求重新激活任何完全中断的服务的方法。 在恢复的过程中,我们还与 FBI 合作展开了调查,不过具体的细节还无法向大家分享。如被允许,我们将继续向公众通报相关进展。 Bernard Young 补充道:作为控制勒索软件并实施工具更新的一部分,该市正在与业内顶尖的网络安全专家合作,以确保此类事件不再发生。 至于一切恢复正常运转的时间,目前暂不得而知。不过按照估计,部分系统可能要画上几个月的时间,才能完全恢复。 正如许多大企业那样,巴尔的摩市拥有数千套系统和相关应用程序。当前的重点是让关键服务优先上线,并在期间将安全性视为首要任务之一。 市民们可在未来几周内看到部分服务开始恢复运转,但一些较复杂的系统,可能需要几个月才能彻底恢复。 实际上,这并不是巴尔的摩市首次遭遇勒索软件攻击。因为去年的时候,该市的 911 应急报警系统就曾遭遇过一次。幸运的是,这次勒索软件并没有影响到 911 系统。 至于本轮勒索软件攻击的细节,《巴尔的摩太阳报》指出,罪魁祸首是被称作 RobbinHood 的勒索软件变种。在对其展开深入研究后,专家称其是由经验丰富的编程者捣鼓出来的。   (稿源:cnBeta,封面源自网络。)

一指纹识别技术漏洞曝光:可跟踪 Android 和 iOS 设备

北京时间5月23日早间消息,据美国科技媒体ZDNet报道,一项新的设备指纹识别技术可以使用出厂时设置的详细传感器校准信息,跟踪互联网上的Android和iOS设备,任何应用或网站都可以在没有特殊权限的情况下获取这些信息。 这种新技术称为校准指纹识别攻击或SensorID,它通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现;也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。 根据英国剑桥大学的一个学术团队的说法,SensorID对iOS设备的影响大于对Android设备的影响。原因是苹果喜欢在其工厂生产线上校准iPhone和iPad传感器,但却只有少数Android供应商通过这一过程来提高智能手机传感器的准确性。 研究小组在昨天发表的一份研究报告中说:“我们的方法是通过仔细分析来自传感器的数据,这无需对网站和应用程序提供任何特殊许可即可访问。” “我们的分析推断出制造商嵌入到智能手机固件中的每个设备的工厂校准数据,他们通过这种方法来补偿系统制造失误。”研究人员说。 然后,该校准数据可以当做指纹,产生唯一标识符,广告或分析公司可以使用该标识符来跟踪用户的上网情况。 此外,由于校准传感器指纹在使用应用程序或网站提取时都是相同的,因此该技术还可用于跟踪用户在浏览器和第三方应用程序之间的切换,允许分析公司全面了解用户的设备使用情况。 “提取校准数据通常需要不到一秒的时间,并且不依赖于设备的位置或方向。”研究人员说,“我们还尝试在不同位置和不同温度下测量传感器数据,我们确认这些因素也不会改变SensorID。” 即使在重置出厂设置之后,传感器校准指纹也永远不会改变,从而允许跟踪实体把访问标识符作为不变的唯一IMEI码。 此外,由于无需获取特殊权限,因此用户无法察觉这种类型的跟踪。 发现这种新跟踪载体的三人研究小组表示,他们分别于2018年8月和2018年12月通知了苹果和谷歌。 苹果在今年3月发布iOS 12.2修补了这个问题。但谷歌只告诉研究人员他们会展开调查。之所以出现这种情况,很可能是因为iOS设备比Android智能手机更容易受到这种类型的跟踪。(书聿)   (稿源:新浪科技,封面源自网络。)

欧盟监管机构对谷歌发起数据隐私相关调查

北京时间5月23日凌晨消息,总部设在爱尔兰的欧盟数据保护委员会(Data Protection Commission)周三宣布将对谷歌展开调查,内容涉及这家科技巨头收集网络广告相关数据的行为。 在欧洲地区,欧盟数据保护委员会是对谷歌进行监管的主要机构,该委员会称其将会调查谷歌在广告交易中的数据处理方式是否违反了欧盟的隐私权规定。 “根据2018年数据保护法(Data Protection Act 2018)第110条的规定,我们已经开始对谷歌爱尔兰有限公司(Google Ireland Limited)在线上广告交易中处理个人数据的行为展开法定调查。”欧盟数据保护委员会在周三发布的一份声明中说道。 去年欧盟推出了全面的最新隐私权改革措施,也就是所谓的“一般数据保护条例”(GDPR),在控制个人数据的问题上向欧洲公民赋予了新的权利,包括他们拥有了解公司如何使用其数据以及强迫公司销毁其数据的权利等。 欧盟数据保护委员会宣布对谷歌展开调查的背景是,科技公司正在全球范围内面临着从内容到数据保护等各个方面的监管审查。去年,Facebook尤其遭到了诸多批评,原因是该公司允许颇受争议的政治咨询公司剑桥分析(Cambridge Analytica)获取了8700万名用户的个人数据。 与此同时,今年早些时候法国隐私监管机构决定对谷歌处以5000万欧元(约合5600万美元)的罚款,这是自“一般数据保护条例”出台以来,欧盟首次对一家美国科技巨头处以罚款。 “一般数据保护条例”是在2018年5月25日生效的,即将迎来一周年纪念日。(唐风)   (稿源:新浪科技,封面源自网络。)

新的 Windows 10 0day 漏洞被黑客恶意公开

名为SandboxEscaper的安全研究人员发布了一个针对Windows 10的零日漏洞,SandboxEscaper之前已经发现过类似的漏洞,可能是因为糟糕的与微软安全团队的沟通经历,这次他们毫不客气地说“迫不及待地想要销售他们[微软]软件中的漏洞。”截至撰稿时,@SandboxEscaper的Twitter帐户已被暂停,但博客文章依然存在。 新漏洞被归类为本地特权升级(LPE)漏洞,可用于通过在任务计划程序中利用漏洞来为黑客提升在计算机上运行有害代码的权限。幸运的是,黑客不能单独利用此漏洞在第一时间侵入计算机,但可能会与这些类型的漏洞结合使用。 除了漏洞的源代码外,SandboxEscaper还发布了一个视频展示了这个零日漏洞被攻击的情况。它已经过测试并确认可以在Windows 10 32位系统上运行,但我们相信,经过一些修改,便可以看到它可以在所有版本的Windows上运行,一直“向下兼容”到Windows XP和Windows Server 2003。 据微软并没有预先警告这个漏洞,所以公司现在必须争分夺秒才能解决这个问题。下一个补丁星期二定于6月中旬,与此同时,攻击者可以利用这段空窗期攻击世界各地的系统。   (稿源:cnBeta,封面源自网络。)

微软副总裁:希望美国隐私立法让科技公司承担责任

北京时间5月22日上午消息,据美国科技媒体CNET报道,微软对美国隐私法的观点是——希望人们更容易保护自己的数据。 该公司副总裁兼副总法律顾问朱丽叶·布里尔(Julie Brill)周一撰文称,人们拥有隐私权,因为他们对科技巨头收集的数据越来越感到警惕。此前一年,欧盟刚刚通过了《通用数据保护条例》(GDPR)。 虽然美国有很多州都出台了数据隐私保护法,但美国还没有在这方面制定联邦法规——即使已经有多名参议员提出了自己的相关法案。 Facebook,谷歌和苹果等科技巨头也呼吁制定数据隐私法,但具体细节各不相同。在微软的隐私监管愿景中,它希望将数据保护责任从用户转移到科技公司身上。 大多数数据保护都是“选择性退出”,也就是说,默认状态下都会收集数据。人们必须找到相应的隐私设置才能将其关闭。今年3月有立法者批评谷歌,要“选择性退出”其数据跟踪计划是一件非常困难的事情。 “这给个人带来了不合理且不切实际的负担,”布里尔在帖子中写道,“强大的联邦隐私立法不仅应该使消费者能够控制他们的数据,还应该让收集和使用敏感个人信息的公司肩负责任。” 微软有切实数据来说明人们实际采取了多少额外措施保护自己的隐私。布里尔表示,在GDPR生效、微软发布其Privacy Dashboard的那一年,有超过1800万人使用这些工具。 考虑到全球大约有15亿台Windows设备,这意味着只有1%的微软用户实际上改变了他们的隐私设置。同样,去年谷歌的“帐户”页面访问量大约为25亿次,但只有约2000万人查看了他们的广告设置。 微软呼吁制定隐私立法,是为了确保科技公司对用户的隐私负责,而不是让用户自行负责。布里尔还指出,隐私立法应该得到有力落实。 布莱尔说:“正如我在联邦贸易委员会(FTC)任职时所看到的那样,当前的法律规定并不足以使FTC在如今的复杂数字经济中有效保护隐私。” 布里尔指出,美国的隐私立法应该超越加州的隐私法。她呼吁国会通过隐私立法,让人们能够控制自己的数据,并要求科技巨头提高责任感和透明度。(书聿)   (稿源:新浪科技,封面源自网络。)

谷歌发现 G Suite 漏洞:部分密码明文存储长达十四年

北京时间5月22日早间消息,据美国科技媒体The Verge报道,谷歌在博客文章里披露,公司最近发现一个漏洞,导致部分G Suite用户的密码以明文方式存储。 博文中称,该漏洞自2005年以来就存在,但谷歌未能找到任何证据表明,任何人的密码被非法访问过。公司正在重置可能受影响的密码,并已告知各G Suite管理员。 G Suite是Gmail和谷歌其它应用的企业版本。显然,G Suite中出现的这个漏洞源于专为企业涉及的功能。一开始,公司的G Suite应用管理员可以手动设置用户密码——例如,在新员工入职前——如果管理员这样操作了,管理控制台会以明文方式存储这些密码,而非哈希加密存储,之后,谷歌便删除了这个管理员功能。 谷歌的帖子详细地解释了加密哈希的工作原理,似在为了分清楚与这一漏洞有关的细微差别。虽然密码是以明文方式存储,但它们至少是明文存储在谷歌的服务器上,因此比起存储在开放互联网上,这些明文密码还是比较难访问的。虽然谷歌并未明确说明,但谷歌似乎也在努力让人们相信,这次的漏洞与其他遭到泄露的明文密码问题不一样。 另外,谷歌并未说明具体有多少用户受到这一漏洞的影响,只是表示该漏洞影响了“我们部分的企业G Suite用户”——估计是2005年时使用G Suite的那些人。尽管谷歌也没有发现任何人恶意使用这一访问权限的证据,但我们也无法清楚地知道究竟谁访问过这些明文密码。 目前这个漏洞已经修复,同时谷歌在博文最后表达了歉意。(图尔)   (稿源:新浪科技,封面源自网络。)

禁用超线程才能完全缓解 ZombieLoad ,但性能下降高达 40%

上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。 攻击者可以访问存储缓冲区,加载端口并填充缓冲区的陈旧内容,这些缓冲区可能包含属于另一个进程的数据或源自不同安全上下文的数据。因此,在用户空间进程之间、内核与用户空间之间、虚拟机之间或虚拟机与主机环境之间可能都会发生意外的内存泄露。 ZombieLoad 与其它推测性执行边信道攻击不同,因为攻击者无法定位特定数据。攻击者可以定期对缓冲区中的内容进行采样,但是在采集样本时无法控制缓冲区中存在的数据。因此,需要额外的工作来将数据收集并重建为有意义的数据集。这也是 ZombieLoad 比较复杂的地方。 虽然 ZombieLoad 得到有价值数据的成本比较高,但是各大公司都十分重视这个漏洞,毕竟它影响了 2011 年以来几乎所有芯片,打击范围十分广泛。 Intel 自己已经发布了微代码,从架构上缓解该问题,其它科技公司如苹果、微软与谷歌也都相继发布了补丁。 但同时也有一些公司认为光有补丁并没有什么作用,比如 Red Hat 认为在云场景上 ZombieLoad 危险很大,因为你完全无法控制相邻虚拟机中的用户正在运行的内容,云安全公司 Twistlock 的首席技术官 John Morello 也指出:“这个漏洞可能对密集的、多租户的公有云提供商产生最大的影响。” 另一边,Ubuntu 目前也已经给出了补丁,但是其在安全公告中表示,如果用户系统中有不受信任或潜在的恶意代码,则建议其禁用超线程功能。 如果您的处理器不支持超线程(也称为对称多线程(SMT)),则内核和相应的 Intel 微代码软件包更新将完全解决 MDS(ZombieLoad)漏洞。如果您的处理器支持超线程并且启用了超线程,则 MDS 不会完全缓解。 所以,如果想要完全缓解漏洞,你需要暂时放弃 CPU 的超线程能力。事实上,苹果和谷歌都已经警告 macOS 和 Chrome OS 用户禁用超线程可获得全面保护,并且谷歌现在默认从 Chrome OS 74 开始禁用超线程。 但是禁用超线程的性能代价实在有点高,结合对比一下 ZombieLoad 微代码与补丁对系统性能影响的数据: Intel 发言人表示,大部分打过补丁的设备在最坏的情况下可能会受到 3% 的性能影响,而在数据中心环境中可能会是 9%。 另一边,PostgreSQL 基准测试发现,禁用超线程后,性能下降了近 40%;Ngnix 基准测试的性能下降了约 34%;Zombieload 的研究人员表示禁用超线程会使某些工作负载的性能下降 30% 至 40%。 安全还是性能,如何选择呢?   (稿源:开源中国,封面源自网络。)

安全预警 | 多个国内网站遭土耳其政治黑客攻击

近日,创宇盾网站安全舆情监测平台发现多个国内党政机关、民营企业网站遭受土耳其黑客部队(代号Ayyıldız Tim)的攻击。 据知道创宇安全专家分析,此次攻击主要特性为爆破攻击、弱口令攻击、通用应用漏洞攻击及针对性应用渗透攻击。 目前已经发现多个网站首页遭篡改,或被上传黑页面。   部分被篡改页面 安全提示 近期请重点关注来自中东地区特别是土耳其地区的异常访问或攻击情况,提前做好安全防护措施或应急保障方案,知道创宇404积极防御实验室将密切跟进该事件: 1. 对重点网站或业务系统进行安全排查; 2. 对已经存在问题的网站或业务系统及时进行必要的安全整改; 3. 接入创宇盾【www.365cyd.com】进行防护,实时检测网站安全状态,防止黑客入侵,保护网站安全。

美国商务部发出临时许可 华为 90 天内可继续向手机发送软件更新

在获得美国商务部的临时许可后,华为将在未来三个月内继续向其手机发送软件更新,尽管此前的贸易禁令依旧有效。路透社报道称,该许可立即生效,并将于8月19日到期。美国商务部授权华为采取行动“向公众现有的华为手机提供服务和支持,包括软件更新或补丁。”该许可还将允许华为维护其现有的网络设备,并接收安全漏洞修补。 这意味着此前美国政府对华为的禁令被延迟90天实施,但是需要留意的是,美国商务部仍然禁止华为公司购买美国企业生产和销售的零部件以生产新产品。 上周,特朗普政府宣布国家紧急状态,允许其政府部门阻止被视为国家安全风险的技术交易。不久之后,政府将华为列入黑名单,禁止任何美国公司未经政府许可与中国电信巨头华为开展业务。 谷歌随后宣布将不再为华为设备提供Android服务,尽管他们表示该公司可以继续使用开源版本。谷歌补充说,这些服务也将在现有的华为设备上继续被支持。 “临时通用许可证允许运营商有时间作出其他安排,以确定目前依赖华为设备提供关键服务的美国和外国电信提供商的适当长期措施,”商务部长威尔·伯罗斯在一份声明中说。 “简而言之,这个许可将允许现有的华为移动电话用户和农村宽带网络继续运营。” 特朗普政府的打击行动对华为的全球业务造成了相当大的不确定性。但在收到Android停止支持的消息之后,该公司在一份声明中称,他们将继续为已经销售给客户手中的设备提供更新。 “我们将继续构建一个安全可持续的软件生态系统,以便为全球所有用户提供最佳体验。”   (稿源:cnBeta,封面源自网络。)

大疆回应美国国土安全部数据质疑 安全性经全球验证

针对美国国土安全部发布的“中国制造的无人机可能正在向中国制造商发送敏感飞行数据,政府可以访问这些数据”警告。DJI大疆做了官方回应,回应中称:“我们技术的安全性已经在全球得到反复验证,其中也包括美国政府和美国领先企业的独立验证”。 根据CNN报道,美国国土安全部网络安全和基础设施安全局发出的警告称,无人机“对组织的信息构成潜在风险”。虽然报告没有指明具体的制造商,但根据一项行业分析,美国和加拿大使用的无人机近80%来自总部位于中国深圳的大疆。 具体DJI大疆声明如下: “DJI大疆创新一直以来高度重视信息安全问题,我们技术的安全性已经在全球得到反复验证,其中也包括美国政府和美国领先企业的独立验证。当用户使用DJI大疆创新的无人机或其他技术产品时,所生产、存储和传输的数据都完全由用户掌握。此外,DJI大疆创新还提供特殊的模式以满足不同客户的信息安全管理需要,比如断开网络连接的本地数据模式、私有云部署模式等等。全球大量机构每天都在使用DJI大疆创新的技术,以提高生产效率,保障生产安全,甚至是拯救生命。DJI大疆创新将持续与全球的客户及政府管理部门合作,确保我们能满足不同地区不同行业的技术规范以及信息安全需要。”   (稿源:新浪科技,封面源自网络。)