“超级恶意软件”窃取英特尔 SGX 隔离内存领域的加密密钥

来自格拉茨科技大学的科学家团队揭示了一种新方法,可以从英特尔  SGX (软件防护扩展)enclaves 获取加密数据。 英特尔 SGX 是一组来自英特尔的新指令,它允许用户级代码分配专用区域的内存,称为 enclaves 。与正常的内存处理方法截然不同,它不仅受到了保护,也避免了高级权限运行的影响。 安全研究团队根据 PoC 开发的“超级恶意软件 ”表明,恶意软件攻击 enclaves 主机系统的可能性是存在的。他们也证实了在 enclaves 内的缓存攻击是根据其分离的加密密钥的定位所进行的。 研究人员表示,恶意软件能够通过监视 RSA 模块签名过程,利用高速缓存的访问模式来恢复 RSA 密钥,防止 enclaves 在读取或操纵内存时,遭受硬件的攻击。为了保护包围区代码的完整性,加载过程由 CPU 测量。如果得到的测量值与开发者指定的数值不匹配,CPU 将拒绝运行 enclaves 。 稿源:digitalmunition.me ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国企业数据库超过 3300 万用户信息遭泄露

据外媒报道,近日商业服务巨头 Dun&Bradstreet 的 52GB 数据库遭到泄露, 美国数千家公司员工的大约 3380 万个电子邮件地址和其他联系信息被公开。据 ZDNet 报道,Dun&Bradstreet 承认这一数据库为他们所有,其作为 2015 年该公司以 1.25 亿美元收购 NetProspex 公司交易的一部分。 泄漏的数据库包括了用户的姓名、职称,职能、工作邮箱和电话号码等个人信息,以及估计营业收入、员工人数等有关工作场所的详细信息等。 这是营销人员用来向新旧客户发送电子邮件广告系列和其他类型广告系列的数据库。 尽管 Dun&Bradstreet 已经为整个数据库花费了不少费用,但该公司确实获得了相当多的回报。大约两年前的一本小册子表明,买家如果希望访问 50 万条记录,将需要支付 20 万美元。 此外,数据库中还包括了 10 多万军事人员的记录,如士兵、弹药专家或化学工程师等。 另外还有美国邮政局 88000 多名员工的记录,美国陆军、空军和退伍军人的记录总计达到 76000 多条。 第三方风险管理和安全评级公司联合创始人兼首席技术官 Stephen Boyer 表示:“Dun&Bradstreet 认为他们或 NetProspex 都没有遭到攻击或造成泄漏。如果泄漏真的源于他们的客户之一,这代表了第三方风险的新维度。虽然他们和客户不具有类似零售商和供应商这样的持续关系,但他们仍然可能在许可和批量购买数据时带来风险。 ” 稿源:cnBeta,封面源自网络

WhatsApp 和 Telegram 安全漏洞可使“亿万”用户遭受黑客攻击

据 Check Point 的安全专家介绍,近日他们从 WhatsApp 和 Telegram 的桌面版本中发现了一个安全漏洞。该漏洞影响了各种类型的 Web 浏览器,允许攻击者盗取用户的个人信息,并可通过桌面程序发送和接收消息。 WhatsApp 和 Telegram 是现今非常安全可靠的通信应用程序。安全公司表示,此次事件揭露 了 WhatsApp 和 Telegram 存在漏洞的证据。据外媒报道,这两家公司也很快作出了回应,他们现今已经修复程序,用户只需重新启动浏览器即可更新。移动设备的用户则不必担心,该漏洞只针对桌面版本的浏览器服务。 WhatsApp 和 Telegram 平台以提供端到端的加密方式而闻名,有助于防止不必要的窥探。然而,此次事件的发生是由于消息先被加密而未经过验证,WhatsApp 和 Telegram 平台没有及时确认,导致最终无法阻止恶意内容的传送。 Check Point 研究主管 Oded Vanunu 补充说, WhatsApp 和 Telegram 平台在第一时间解决了此次事件,并提醒用户及时更新系统的版本,降低信息泄露的风险。 原作者: Jason Murdock,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

霍金建议组建“世界政府”防御 AI 崛起

据外媒报道,著名理论物理学家史蒂芬·霍金( Stephen Hawking )最近一直在谈论一个主题:人类的未来。 近期,霍金对从地外生命到人工智能(AI)等一些热门话题表达了自己的观点。对于后者,他表示出非常担忧。他并不反对开发人工智能技术,事实上,他曾经说过人工智能可能是我们文明历史上最重大的事件。但是像今天世界上其他许多科学家和思想家一样,霍金担心人工智能的崛起可能带来各种负面的副作用。 他早已就人工智能对中产阶级工作岗位的影响向我们发出了警告,并与特斯拉 CEO 埃隆·马斯克(Elon Musk)一起,呼吁禁止开发用于军事用途的人工智能机器人。他也担心人工智能可能会接管世界,或者更糟糕的是,它会终止这个世界。现在,他在接受英国《泰晤士报》采访时表示,防御人工智能崛起的最好方式,是组建可以控制这种技术的“某种形式的世界政府”。 霍金接着解释了他建立这样一家国际管理机构的理由: 自人类文明开始以来,人类的积极进取是有益的,因为它具有明确的生存优势。它是在达尔文进化过程中渗透到我们人类基因的。然而,现在技术的发展速度,使这种积极进取可能以核战争或生物战争的方式摧毁我们人类。我们需要利用逻辑和理性来控制这种继承下来的本能。 为了跟上人工智能的发展,我们必须学会适应。霍金在 2014 年年底表示:“人工智能的发展可能会导致人类的终结。它将自己发展自己,并以不断增长的速度重新设计自己。人类则受到缓慢的生物进化限制,将无法与它竞争,并最终将被它取代。” 他认为这些人工智能机器人抛弃我们,不会是出于任何情感的原因:“人工智能的真正风险不是它有恶意,而是它的能力。一个有超常智慧的人工智能能将非常善于实现目标,如果那些目标与我们的目标不一致,那我们就麻烦了。” 因此,根据霍金的看法,某种形式的管理机构和快速适应的能力——这是即将到来的人工智能或超级智能时代我们生存的法宝。 幸运的是,这样的机构已经出现。这些机构,例如“人工智能伙伴关系” (Partnership on AI) 和人工智能伦理与治理基金 (Ethics and Governance of Artificial Intelligence Fund),已经开始制定有关指导方针或框架,以让人们更负责任地开发人工智能技术。国际电子电气工程协会 (IEEE) 还发布了世界首个有关人工智能道德准则的“指南”。 尽管未来的一切难以预料,霍金对未来仍然感到乐观:“这一切听起来有点像厄运来临,但我仍是一个乐观主义者。我认为人类会奋起迎接这些挑战。” 稿源:cnBeta,有删改,封面源自网络

加拿大统计局网站也因 Struts 2 漏洞被黑 ,于税收高峰季节尴尬离线

据外媒报道,黑客利用 Apache Struts 2 (Java Web服务器框架) 软件中新发现的漏洞,袭击了加拿大统计局的网站。目前,Candian 政府也证实该局网站已经被黑客入侵和离线超过两天。此外,当局还声称加拿大税务局( CRA ) 网站虽然还没有被黑客入侵,但它存在着和加拿大统计局网站同样的漏洞,因此当局在税收季节的高峰期关闭了该网站。 CRA 发言人帕克斯·萨姆森称,此次事件已经过去了 48 小时,CRA 还在与其他政府部门进行处理,寻求解决方案。CRA 也保证该解决方案会经过严格的测试,尽早恢复在线服务功能。 据加拿大统计局的通信总监 Gabrielle Beaudoin 说,黑客入侵的服务器,并没有存储可用的个人敏感信息,所以黑客的攻击并没有造成数据的丢失。 Veracode CTO 的 Chris Wysopal 表示,该漏洞只需选定 Web 服务器,输入想要运行的命令,即可被黑客利用窃取数据。加拿大政府安全员 John · Glowacki  声称,他们调查这一事件主要是因为,此次不仅威胁到加拿大政府 IT 系统,他们也想借此机会提醒其他国家(使用 struts 2)的政府网站可能也存在着更大的漏洞。 原作者: India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

SAP 修复云商务平台 HANA 系统关键漏洞

据外媒报道,全世界排名第一的 ERP 软件公司 SAP 于近日修补了云商务平台 HANA 中的关键漏洞。 此前研究人员表明:SAP 修复的 27  个漏洞中,存在两个关键漏洞。其中一个是:攻击者在不需要经过任何验证的同时,就可以利用漏洞通过 HANA 的用户自助服务元件入侵整个系统;另一个则是:允许攻击者通过假冒系统中的高级用户来提升特权,从而窃取或删除敏感资料。 SAP HANA 是一个内存数据库,其中管理系统主要用于存储、检索和处理核心业务数据。所以,在过去一年中也吸引了越来越多的黑客人员对其进行攻击。 这批漏洞是由安全公司 Onapsis Research Labs 发现,并于今年 1 月通报 SAP ,随即展开修补。据 Onapsis 的研究人员表示,一些漏洞在两年半前的组件发布时就已经存在。但这些漏洞却迟迟未被察觉,直到去年 11 月发布的 HANA 2 中才被发现。目前,美国国土安全部小组(US-CERT)提醒用户,及时的更新系统。运行老旧的系统或不当的配置都会影响 SAP 业务系统的安全性,大大增加数据丢失的风险。 原作者: Chris Brook,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌捣毁最大 Android 恶意软件家族之一 Chamois(羚羊)

据外媒报道,日前,谷歌捣毁了一个巨大的 Android 恶意软件家族 Chamois。据这家公司披露,这些恶意软件已经感染了上百万台设备。 Chamois 是一个对 Android 设备展开大范围广告欺诈的恶意软件。谷歌安全软件工程师 Bernhard Grill、Megan Ruthven、Xin Zhao 在官博上指出,他们是在常规广告流量质量评估中发现了 Chamois。 工程师对那些基于 Chamois 开发而出的恶意软件展开了分析,他们发现这些软件能够通过数种途径避开检测并尝试欺诈用户,于是决定采用 Verify Apps 来屏蔽掉来自 Chamois 家族的恶意软件并将那些试图利用恶意软件破坏谷歌广告系统的人踢出去。 据了解,Chamois 恶意软件看起来并不会出现在设备的软件列表中,更别提去卸载,这时候 Verify Apps 就起到了作用。通过这套工具,用户可以检测到设备内可能对其存有危害的软件并将其删除。谷歌称,Chamois 是Android 生态系统迄今为止遇到过的最大的恶意软件家族之一,它能够通过多条途径传播。 Chamois 拥有大量令其特殊的功能,如它的代码会在 4 个不同的阶段使用不同的文件格式进行执行。这种多阶段的处理方式使得它变得更加复杂,而这意味着它们更难被发现。另外,Chamois 家族软件还能通过模糊化和反分析技术来躲开检测。此外,它们还能使用一套定制、加密的方式来储存配置文件。 谷歌方面表示,为了更好地了解 Chamois,他们对 10 万行复杂的代码展开了分析。不过目前,谷歌并未透露遭 Chamois 恶意软件感染的软件名字。 稿源:cnBeta,封面源自网络

2016 年约有 61% 的组织遭受勒索软件攻击

根据 CyberEdge 集团的“网络威胁防御报告”显示,2016 年大约有 61% 的组织遭受了勒索软件的攻击。在这些受感染者中,超过三分之一的公司通过向勒索者付费恢复了数据;54% 的公司拒绝缴纳赎金;13% 的公司永久失去了所有数据。 随着行业的发展,有利可图的恶意软件在当今时代越来越盛行。近期,有攻击者表示:仅仅在去年,他们利用恶意软件对各大公司进行入侵时,获取赎金高达 10 亿美元。 CyberEdge 的报告指出,越来越多的组织成为网络罪犯的牺牲品。从 2015 年的 70% 到 2016 年的 76% ,再到今年的 79% 。这些数字都得到了卡巴斯基实验室的证实并做出评估报告。报告中表明:在 2016 年全球有 1445434 个用户遭到 62 类加密勒索软件家族 54000 个变种的攻击。平均每隔 10 秒就有一个普通用户遭到勒索,每隔 40 秒就有一个组织或者企业成为攻击目标。 黑客们的惊人技术,早已攻破互联网巨头谷歌和雅虎的防护,并进行数据盗取,从而导致公司安全支出的激增。目前, CyberEdge的 研究人员认为:员工的低安全意识,导致组织更加容易受到攻击。 原作者: FRANCISCO MEMORIA,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

世界头号黑客加盟克里姆林宫,助长网络间谍活动

根据 FIB 的报道,黑客 Evgeniy M Bogachev 一直在为 克里姆林宫 服务。Bogachev 的活动进一步推动了俄罗斯政府的间谍活动,他除了是世界上头号网络罪犯,还被指控了一长串罪行,其中包括盗窃国际银行数百万美元,编写并扩散臭名昭著的“GameOver Zeus (宙斯病毒)”。目前的 Bogachev 不仅能在俄罗斯公开生活,甚至还拥有豪华汽车和游艇。 乌干达内政部称,它曾帮助 FIB 跟踪  Bogachev ,并发现该网络犯罪分子一直受雇于 FSB (俄罗斯主要情报机构)的一个特别小组。《纽约时报》也曾报道:前 FIB 雇员表示某些黑客经常暗中和克里姆林宫联系,并接受俄罗斯情报部门的雇佣,直接或间接的参加网络间谍活动。 美国执法官员和网络安全公司 Fox-IT 认为俄罗斯政府对乌克兰和美国的军事情报信息很感兴趣, Bogachev 可能早已通过网络犯罪活动获得了一部分私密信息。俄罗斯当局声称,网络犯罪分子在地下论坛活动会受到监督,但这些黑客恰恰是由克里姆林宫进行招募。此前,FIB 和 FSB 领导机构联合调查,俄罗斯情报部门可能不会帮助逮捕网络犯罪分子。 2016 年 12 月,根据美国情报机构的结论,俄罗斯黑客干预了 2016 年总统的选举。而后,奥巴马政府宣布了对 Bogachev 及其他 5 个人进行制裁。目前,联邦调查局准备了 300 万美元的赏金,用于抓捕 Bogachev 。 原作者: India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。