内容转载

= ̄ω ̄= 内容转载

美国科学家首次利用 DNA 攻击计算机,目前风险不大

据《 麻省理工科技评论 》网站报道,美国华盛顿大学研究人员把恶意代码植入基因微粒中,然后控制用于分析基因测序数据计算机设备,这可能是全球首例利用 DNA 成功攻击计算机软件事件。 为实施这次攻击,由大仓河野(tadayoshi kohno)和路易斯·赛兹(Luiz Ceze)领导的研究团队,把恶意软件编码到从网上购买的一小段 DNA 上,然后对其进行测序,在一台计算机试图处理测序数据时获得了这台计算机的 “ 完全控制权 ”。研究人员警告,有朝一日黑客可以利用动过手脚的血液或唾液样本入侵大学计算机,窃取警方法医实验室信息,或感染科学家共享的基因数据文件。 目前,DNA 恶意件不会构成太大的安全威胁。研究人员承认,为了成功实施入侵,他们创造了 “ 最可能成功 ” 的入侵条件,例如关闭安全功能,甚至在一款不经常使用的生物信息学软件中加入一处缺陷。家谱网站 MyHertige.com 首席科学官、遗传学家、程序员雅尼夫·埃利克( Yaniv Erlich )表示,“ 他们的入侵方法基本上不切合实际。” 据悉,该研究团队将出席下周在温哥华举行的 Usenix 安全研讨会,公布有关 DNA 恶意件攻击的研究成果。大仓河野的安全和隐私研究实验室研究生彼得·奈伊(Peter Ney)说,“ 我们关注新兴技术,调查它们是否隐藏有潜在的安全威胁,以提前应对 ”。 《麻省理工科技评论》表示,为了制作恶意软件,研究人员将一条计算机命令转换为由 176 个 DNA 碱基(用 A、G、C 和 T 表示)组成的短链。以 89 美元(约合人民币 594 元)的价格订购 DNA 后,研究人员对购买的 DNA 进行测序,测序结果以二进制方式存储。埃利克表示,攻击利用了所谓的溢出效应,即超出存储缓冲区的数据会被解释为计算机命令。在这次研究中,计算机命令会联系由大仓河野团队控制的一台服务器,研究团队通过服务器控制实验室中用来对 DNA 文件进行分析的计算机。 制造合成 DNA 链的公司已经提高对恐怖分子的警惕。研究人员表示,未来他们可能还需要检查 DNA 序列是否会危及计算机系统安全。华盛顿大学研究团队警告称,由于基因数据越来越多地出现在网络上,甚至能通过应用商店获取,黑客可能采用更传统的手段对基因数据下手。 稿源:腾讯数码,封面源自网络;

外媒:HBO 曾与黑客谈判并承诺愿支付 25 万美元

据外媒报道,看起来 HBO 曾在上个月的某个时候尝试向盗取他们剧本、剧集和职工资料的黑客团队支付赎金。名利场 和 好莱坞报道者 两家媒体都表示从黑客那里得到一封包含 HBO 愿意提供赎金的文字记录的邮件。 在该段文字中,HBO 一位高管写道:“ 作为善意的表现,我们愿意承诺在创建所需的账号和筹到比特币后立马支付 25 万美元的漏洞奖励金 ”。对此,HBO 拒绝回应,不过 名利场 表示可以确认这封邮件是真的。这家媒体表示,HBO 的这封邮件很有可能是一种拖延战术,因为邮件是在 HBO 对网络攻击影响程度全面评估之后才发出,这意味着并不清楚 HBO 是否真的打算向黑客支付赎金。 但就目前的形势来看,HBO 并未支付,因为黑客的目的很简单:要么得到足够多的赎金,要么继续让 HBO 难堪。好莱坞报道者 指出,他们在一周前收到的黑客邮件称:“ 这只是钱的问题 ”。据其披露,实际上他们已经跟 HBO 的高管谈判了好几周时间,但 HBO 那边却违背了承诺。就在几日前,黑客再次公布一波 HBO 的数据,里边包含了一些《权力的游戏》演员的家庭住址和电话号码。 稿源:cnBeta,封面源自网络;

Salesforce 解雇在 Defcon 上演讲的安全研究员

美国知名客户关系管理(CRM) 软件服务提供商 Salesforce 解雇了上个月在拉斯维加斯安全会议 Defcon 上发表演讲的两名安全研究员 Josh Schwartz 和 John Cramb。 据悉,两人是 Salesforce 的红队成员,也就是其任务是对公司网络发动攻击寻找漏洞测试网络防御。但两人走下拉斯维加斯的舞台后就立即遭到解雇。知情人士透露,公司高管 Jim Alkove 曾在演讲前半小时向两人发短信要求他们不要演讲,但他们在演讲结束之后才看到短信内容。 两人的演讲内容是一个模块化恶意程序框架 MEATPISTOL,之前已经得到公司高管批准,两名安全研究人员准备在演讲之后将其开源以供其他公司的红队使用。Salesforce 的高管要求他们不要公开发布该工具。 稿源:solidot奇客,封面源自网络;

苹果关闭 iOS 10.3.2 验证激活通道

得益于谷歌 Project Zero 团队 Ian Beer 发现的 libxpc 漏洞,开发者在本月初表示 iOS 10.3.2 越狱成为可能。那么你是否已经决定停留在 10.3.2 版本等待越狱呢?如果你已经升级至 10.3.3 版本,那么很遗憾的告诉你自今天开始无法降级了,苹果已经关闭了 iOS 10.3.2 的验证激活通道。 据悉曝光的 libxpc 漏洞可以提权获得系统最高权限,从而执行任意代码。不过该漏洞已经在 iOS 10.3.3 版本中得到了修复,这就意味着只有停留在 10.3.2 版本才能可能等待大神公布越狱操作程序。 iOS 10.3.3 于今年 7 月 19 日正式发布,共计修复 47 处安全漏洞,其中最值得关注的就是此次更新修复了一个较为严重的 WiFi 漏洞(CVE-2017-7047),所以如果不想被黑客远程控制你的 iPhone,最好更新 iOS 10.3.3。这个漏洞会影响  iPhone 5 及以后的设备、iPad 4 及以后的设备还有 iPod touch 6。 稿源:cnBeta,封面源自网络;

黑客即将公布的 HBO CEO 联系人名单系伪造的

日前,HBO 黑客攻击事件变得越来越扑朔迷离。上月月底,黑客在网上发布消息威胁,他们将公布还未播出的多部 HBO 影视作品包括《权力的游戏》、《球手》、《巴里》、《104 号房间》以及公司的财务记录和内部运作文件。按照黑客这边的说法,他们为这次的攻击准备了 6 个月的时间。 针对媒体公司的网络攻击成为了网络犯罪的最新趋势,脆弱的安全系统和巨额的赎金是吸引这些网络犯罪分子的主要原因。而广受观众喜爱的《权力的游戏》就是一个非常完美的目标。知情人士获悉,当地时间周一晚,黑客于 8月 8日公布了一集来自《权力的游戏》剧本并发出警告:要么付钱,要么曝光更多的秘密。 据黑客披露,其中一个秘密是一份来自 HBO 主席、CEO Richard Pleper 的通讯录名单。不过知情人士告诉媒体,这份文件很有可能是伪造的。本周二晚,《名利场》首度报道了这份假文件。 消息人士称,名为 Richard Contact list.txt( Richard 联系人名单 )的文件里包含了上千个 HBO 和时代华纳职工的电子邮件,而实际上它是从 Vivianne Contact list(Vivianne 联系人名单)改过来的。联系人和文件都是真的,但它并不属于 HBO CEO,而是另外一位高管。HBO 对此事拒绝置评,该家公司表示,他们没有理由相信整个电子邮件系统被攻破。 稿源:cnBeta,封面源自网络;

印度屏蔽互联网档案网站 Wayback Machine

援引 India Today 报道,印度政府宣布封杀互联网档案网站 Wayback Machine。印度地区用户如果尝试访问该网站,会收到已经遭到印度电信部门屏蔽的提示信息。 Wayback Machine 是非常实用的网站工具,在过去 20 多年来已经存储了超过 3020 亿个页面。India Today 在报道中表示印度政府此举可能是为了从根本上铲除资料讹误、谣传,并从一定程度上降低一些政府机构的责任。不过在报道中也表示本次封杀并未完全覆盖印度全境,部分地区依然能够访问该页面。 在印度,政府加大了对色情、种子网站以及文件共享网站的打击力度,而在此前印度政府从未将 Wayback Machine 划分到这些类目中。网站方面表示已经和印度电信部门、电子和信息技术工业部等部门进行多次磋商,但截至目前仍没有得到回复。在声明中表示:“ 显然,对于这项举措我们表示失望并会继续关注后续发展,我们也非常渴望地想知道此举背后的原因。” 稿源:cnBeta,封面源自网络;

微软准备在 Windows 10 中移除沃通和 StartCom 两大证书签发机构

步 Apple、Google 和 Mozilla 后尘,微软( Microsoft )决定取消信任来自中国的 CA 机构沃通( WoSign )和它的子公司 StartCom。来自中国的证书颁发机构沃通(WoSign)和 StartCom( StartCom 已于 2015 年底被 WoSign 秘密收购)被微软认定未能达到受信任根证书的标准。 微软发现沃通、StartCom 有不可接受的安全风险,如倒签发 SHA1 证书、错误签发证书、意外的证书吊销、签发有相同序号的不同证书、多次违反 CA/Browser Forum 基线要求。 因此,微软决定循序渐进,不再信任沃通和 StartCom 证书有效起始日期晚于 2017 年 9 月 26 日的证书,这也就意味着当前已签发的证书将仍然有效,直至证书过期。2017 年 9 月后,Windows 10 将不再信任任何来自于沃通和 StartCom 签发的新证书。 稿源:cnBeta、易可米,封面源自网络;

美国犹太人活动中心炸弹威胁,疑似 “ 暗网 ” 威胁租赁业务

今年早些时候,美国各地发生了一系列针对 100 个犹太人活动中心的炸弹威胁事件,造成当地组织日常混乱,并引发对美国反犹太暴力事件的新担忧。随后美国警方逮捕了 19 岁的以色列公民 Michael Kadar,克服了各种匿名措施追踪电话。但新证据表明,Kadar 可能代表第三方拨打这些电话,作为在暗网上运作的更大的炸弹威胁租赁业务的一部分。 在最近公布的搜索令(首先由研究员 Seamus Hughes 发布)之后,警方试图访问 Kadar 的 AlphaBay 帐户,他似乎在经营业务。调查人员在 Kadar 电脑的文本文件中发现了该服务的公开说明。该信息包括威胁的详细定价信息,可选择将虚假名字作为电子邮件的一部分,以及如果由于威胁导致课程未被取消,还可以退款。 AlphaBay 的调查人员也发现了同样的文字,在 2 月 8 号由一位名叫 “ DarkNetLegend ” 的用户发布。ProPublica 的追踪记录在 8 日之前针对犹太中心多达 65 次的炸弹威胁,尽管大多数威胁是在 2 月和 3 月进行的。Kadar 的文字说明仅涉及向学校发送的电子邮件威胁,尽管后续文件也引用了电话服务。 来自 Kadar 的 Google Voice 帐户的证据表明,他的威胁不仅仅是针对犹太人活动中心,还包括对佛罗里达州一所中学以及对从联合航空公司一架航班的炸弹威胁。调查人员通过追踪攻击中使用的 Google Voice 号码找到 Kadar,但仍然没有迹象表明谁可能雇用他来首先瞄准犹太人活动中心。如果使用 AlphaBay 的标准匿名功能进行交易,则可能无法追溯到客户。 稿源:cnBeta,封面源自网络;

研究显示:主流网站用户密码复杂性都有潜在问题

研究显示,大多数主要网站都通过密码保持基本安全性,但同时他们也可以是信息跟踪手段,特别是如果用户不小心使用其凭据,或网站管理或存储密码不当。Dashlane 于 8 月 9 日发布了密码性能排名调查。这项调查检查了主要消费者和企业 SaaS 和媒体服务密码安全性,结果非常令人震惊。消费者网站当中近一半未能实施最基本的密码安全策略,而企业网站则有 36% 的未能提升其密码的安全性,包括亚马逊网络服务。 网站排名从零到五,零分是最差的得分,五分是最好的得分,三分是及格成绩。在排名评测当中,DashLane 考察了五个不同的东西: 密码长度:网站是否要求所有密码超过八个字符? 密码复杂度:该网站是否阻止用户创建 “ aaaaaa ” 或 “ 111111 ” 等密码?令人震惊的是,研究人员能在亚马逊、Google、Instagram 和 Venmo 上创建只包含小写字母 “ a ” 的密码。 密码强度评估:网站告诉用户密码的强度(或其他)是通过仪表还是彩色条形码? 暴力:经过十次失败的尝试后,网站是否采取行动来停止暴力攻击,要么通过锁定帐户或提交人机识别系统? 因素身份验证:网站是否要求用户通过短信发送的令牌或使用验证器应用程序来确认身份? 在针对消费者的网站当中,只有一个网站获得了满分,那就是 GoDaddy,一个受欢迎的网络托管平台。其它通过测试的网站包括包括 Apple、Microsoft、Tumblr、PayPal、Reddit和Slack。 不幸的是,Netflix、Pandora、Spotify 和 Uber都得了零分。 稿源:cnBeta,封面源自网络;

免费 VPN 服务商被控与广告商分享用户流量

美国隐私倡导组织 Center for Democracy & Technology (CDT)向美国联邦贸易委员会(FTC)投诉 VPN 服务商 AnchorFree。 AnchorFree 总部位于加州硅谷,开发了受欢迎的免费 VPN 服务 Hotspot Shield(也有付费版本)。起诉书指控 AnchorFree 破坏了对用户的承诺,与在线广告商分享了用户的私人网络流量以改进广告展示。Hotspot Shield 会在免费用户浏览时插入广告,用户对此做法知情,CDT 没有指控 AnchorFree 秘密植入广告,而是指控该公司违反了不跟踪或出售用户信息的承诺。 稿源:solidot奇客,封面源自网络