内容转载

= ̄ω ̄= 内容转载

美国一些选举系统被指连上网络 存在被攻击风险

据外媒报道,安全研究人员发现,美国10个州的35个后端选举系统在过去一年的某个时候都已经连接到互联网上,这意味着它们面临着被黑客攻击或遭篡改的风险。另外研究人员还发现,选举系统的防火墙可能配置不当或不安全。 据悉,这些州使用的选举系统由美国最大的投票机公司Election Systems & Software(以下简称ES&S)开发。ES&S曾在最新的这次研究告诉媒体,这些系统不会连接公共互联网。然而就在研究结果公布后没不久,研究人员提到的一些网站被撤下,这也表明了研究人员得出的结论是有效的。 实际上,这并不是对ES&S的安全措施第一次提出担忧:去年,这家公司披露,他们在2000年至2006年期间在一些投票机上安装了远程访问软件。虽然报告中没有提供表明该系统或投票记录被操纵的证据,但这些未披露的漏洞仍旧引发了人们对美国投票系统安全性的质疑。 此外,这家公司出售的许多新投票机都没有跟上打击选举干预所需的严格安全措施。美联社最近的一篇报道指出,宾夕法尼亚州使用的许多新选举系统包括ES&S开发的系统都还在运行Windows 7系统。而我们知道,从明年年初开始,Windows 7将不再获得补丁或技术支持,届时微软将要求对更新需求收费。   (稿源:cnBeta,封面源自网络。)

苹果将向漏洞研究者提供百万美元奖金:创企业界纪录

北京时间8月9日早间消息,据路透社报道,苹果将向网络安全研究人员提供高达100万美元的资金,以鼓励他们寻找iPhone手机的缺陷,这也成为一家企业为防范黑客而提供的最高奖励。 与其它技术提供商不同,苹果此前仅向受邀的研究人员提供奖励,这些研究人员试图在手机和云备份中发现漏洞。 周四在拉斯维加斯举行的年度黑帽安全会议上,该公司表示将向所有研究人员开放这一流程,并增加了Mac软件和其他检测目标。 100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题,避免将其暴露给不法分子。 政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元,他们希望借此从设备获取信息。然而,苹果的最新奖金计划与承包商公布的一些价格处于相同区间。 苹果正在采取其它措施来简化研究难度,包括提供一些已禁用某些安全措施的改版手机。漏洞攻击的主要方式就是一些软件程序,借此利用手机其软件或已安装应用中的未知缺陷。 以色列NSO Group等许多私营公司都在向政府出售黑客攻击能力。   (稿源:新浪科技,封面源自网络。)

亚马逊为美国警方开发高科技监控工具 引发社会担忧

北京时间8月8日晚间消息,据美国财经网站CNBC报道,亚马逊子公司Ring不仅制造无线安全摄像头,它还可以访问警方数据,提醒居民注意潜在的犯罪行为,鼓励用户分享可疑行为的录音,并将其与执法部门联系起来。对此,隐私和公民自由的倡导者认为,Ring与政府的合作关系正在创造一种新的政府监控层。 今年的7月12日,在黎明之前的几个小时,美国亚利桑那州钱德勒(Chandle)地区的一名男子被手机上的警报惊醒。警报来自于他的Ring安全摄像头,后者检测到有人在他家外面移动。 视频显示,一群年轻人闯入了几辆汽车。这名男子从前门向他们大喊,然后报警。当一名警官赶到时,这几名男子乘车疾驰而去,留下了手机、作案工具和其他一些东西。当天上午晚些时候,他们自首了。 当时,房主已经向警方展示了其摄像头所拍摄的视频片段,并将其发布到了Ring的应用程序Neighbors上,Ring是亚马逊去年收购的一家智能设备厂商。Ring不仅制造无线安全摄像头,它还可以访问警方数据,提醒居民注意潜在的犯罪行为,鼓励用户分享可疑行为的录音,并将其与执法部门联系起来。 后来,这位房主在Neighbors上写道:“感谢Ring!!!”而钱德勒的一名警官回复称:“感谢你的发帖。” 这次交互是警方使用Ring的典型方式,在利用Ring侦查和调查犯罪的同时,也帮助Ring拓展业务。Ring在钱德勒的这种部署也是全美数十个这样的合作关系中的一部分,也是亚马逊更广泛努力的一部分,即加深与执法部门的合作。但同时,也有批评人士指出,亚马逊这是在帮助政府强化对国人的监控。 如今,亚马逊的政府业务已经成为该公司拓展电子商务以外业务、进入互联网工具市场的重要组成部分。金融咨询服务公司韦德布什证券(Wedbush Securities)分析师丹尼尔·艾夫斯(Daniel Ives)称,通过云计算子公司Amazon Web Services(AWS),亚马逊与政府部门(包括警察部门、联邦执法部门、国家情报机构和移民当局)签订的合同规模已经从2014年的2亿美元激增到今天的20亿美元。 艾夫斯说:“在许多调查中,时间是至关重要的。与亚马逊的合作,使得许多警察部门能够更快地获取数据,并以更有帮助的形式获取数据。” 但批评人士却指出,亚马逊与政府的合作表明,一家公司在与政府的合作中如何定位至关重要,它可能导致过度扩张和滥用。 隐私权和公民自由的倡导者警告说,Ring的合作伙伴关系正在创造一个新的政府监控层。亚马逊员工、人工智能研究人员和激进投资者已要求亚马逊停止向执法部门出售其面部识别服务,停止向联邦移民局提供网络托管服务,并成立一个委员会来审查其产品的潜在社会后果。 倡导数字权利的非营利性组织“新美国开放技术研究所”(New America‘s Open Technology Institute)政策主管莎伦·布拉德福德·富兰克林(Sharon Bradford Franklin)称:“虽然提供安全的云存储似乎不会构成隐私威胁,但提供一系列技术,包括面部识别和门铃摄像头等强大的监控工具,再加上将数据汇集到大型数据库并运行数据分析的能力,确实会造成真正的隐私威胁。” 对此,亚马逊在一份声明中称:“我们相信我们的客户,包括执法机构和其他致力于保护我们社区安全的团体,应该能够获得最好的技术,并相信云服务可以使社会获得实质性的裨益。” 事实上,亚马逊此前在这方面已经引发了社会的担忧。通过子公司Ring,亚马逊将摄像头安放在数百万人的门铃上,还邀请他们跟邻居、警察通过一个预防犯罪的社区共享视频。此外,亚马逊还向警方和私企出售人脸识别系统。   (稿源:新浪科技,封面源自网络。)

研究称心情愉悦时更易被黑客欺骗 网络钓鱼反击战仍任重道远

佛罗里达大学的一支团队,对黑客如何利用受害者的心理来实施网络电子邮件钓鱼一事,展开了比较深入的研究。结果发现,那些心情比较愉悦的人们,相对更容易被诱骗点击钓鱼链接。换言之,如果你的心情不太好,就会相对更少地上钓鱼邮件的当。 (图自:Google,via Cnet) 该校教授 Daniela Oliveira 与 Natalie Ebner 博士一起带领了这项研究,并在本周三于拉斯维加斯举办的黑帽网络安全会议上公布了他们的研究成果,此外谷歌反滥用研究团队负责人 Elie Burszstein 也出席了会议。 作为肆虐互联网的一大祸害,网络钓鱼攻击被黑客频繁使用,以期闯入各个机构内网、或获取密码等个人敏感信息。根据 Verizon 的年度报告,电子邮件是网络钓鱼的高发地、也是导致数据泄露的主要原因。 Elie Burszstein 表示,谷歌每天都会阻止大约 1 亿封网络钓鱼邮件,但欺诈者的变化实在太快,有些变种甚至只间隔了 7 分钟。 攻击者不断地改变和更新他们的设计,以使之发挥出最大的效率。其能够迅速适应较少的目标用户,使之很难被各种检测措施给发现。 鉴于网络钓鱼攻击的极度复杂性,除非启用多因素认证,否则绝大多数人还是很容易受到攻击的。亚马逊首席技术官 Werner Vogels 也曾在 AWS 峰会上表示:“总有愚蠢的人会去点击那个链接”。 然而 Daniela Oliveira 的研究表明,即便你点击了网络钓鱼链接,也不该被被愚蠢羞辱,因为这是“是个人就会犯的错误”。 在为期三周的实验期间,158 名参与者被告知他们正在参与一项有关‘人们如何使用互联网’的研究,且他们每天都会收到一封网络钓鱼邮件。 钓鱼邮件的内容,基于谷歌在网络上检出的真实案例,而研究人员会追踪他们是否点击了钓鱼邮件。结果发现,钓鱼邮件深深地利用了人性的弱点。 Daniela Oliveira 指出,钓鱼邮件依赖于人们在不假思索的情况下作出的快速决策,点击链接似乎成为了一种条件反射、而不是由基础的认知所决定的。 她表示:“我们很容易受到网络钓鱼的攻击,因为它会欺骗我们的大脑做出决策”。而在决策方面,人脑会通过两种方式来工作(参考双重过程理论)。 你的大脑会自动推进日常的活动,比如刷牙。而像购买房子这样的重大决策,则需要经过深思熟虑。以点击邮件链接为例,黑客主要利用了‘快速决策’这个人性的弱点。 谷歌反滥用研究团队负责人 Elie Burszstein 补充道:在美国、英国和澳大利亚的近半受访者中,约有一半互联网用户不知道什么叫‘网络钓鱼’。 这意味着在“防止网络钓鱼攻击”这件事上,谷歌面临着一场艰难的战斗。即便这家科技巨头千方百计地开展了宣传活动,实际效用依然惨不忍睹。 Oliveira 表示:“当你心情愉悦时,身体会自然地放松戒备。但在网络钓鱼面前,你并不需要时刻保持坏心情或紧张情绪。毕竟后台的保障措施,还是相对比较完善的”。   (稿源:cnBeta,封面源自网络。)

只需发送一条短信 黑客就能成功入侵你的 iPhone

正在拉斯维加斯举办的黑帽安全峰会上,来自Google Project Zero团队的安全专家Natalie Silvanovich展示了存在于Apple iOS iMessage客户端中的无交互漏洞,只需要一条短信就可通过这些漏洞来控制用户的设备。目前苹果已经发布了这些BUG的部分安全补丁,但是并没有完全进行修复。 这些漏洞可以变成各种BUG,用于执行恶意代码以及访问用户的数据。所以最糟糕的情况就是有黑客利用这些错误来伤害用户。Silanovich与Project Zero成员SamueLGroß合作发现这些漏洞,通过逆向工程之后在iMessage中发现了多个可利用的漏洞。 出现这些漏洞的原因是因为iMessage提供了一系列通信选项和功能,例如Animojis和Apple Pay等等,这必然带来了更多的BUG和漏洞。这个无交互漏洞允许黑客从用户的信息中提取信息。这个漏洞还允许攻击者向目标发送特制的文本内容,偷换SMS短信或者图片中的内容。 虽然iOS通常具有阻止攻击的保护措施,但这个漏洞利用了系统的底层逻辑,因此iOS的防御措施将其解释为合法。由于这些漏洞全程不需要受害者参与,因此特别受到暗网和黑客组织的青睐。 Silanovich发现,这些漏洞在暗网上价值可能达到数千万美元。 Silanovich表示:“在像iMessage这样的程序中会有很多额外的攻击。个别错误相当容易修补,但你永远无法找到软件中的所有错误,你使用的每个库都将成为一个攻击面。因此,设计问题相对难以修复。”   (稿源:cnBeta,封面源自网络。)

KDE 存在一个很容易利用的 0day 漏洞,影响广泛

安全研究员 Dominik Penner 披露了 Linux KDE 桌面环境上存在的一个 0day 漏洞。 根据 Dominik 的说法,此漏洞存在于 KDE v4 与 v5 版本中,该漏洞使得嵌入在 .desktop 和 .directory 文件中的命令在打开文件夹或者将压缩文件夹提取到桌面时即可执行,目前几乎所有 Linux 发行版都在使用易受攻击的 KDE 版本。 .desktop 和 .directory 文件是符合 freedesktop.org 标准的桌面环境使用的配置文件,它们用于配置应用和文件夹的显示方式。.desktop 文件用于在 KDE 菜单中注册应用程序,而 .directory 文件用于描述 KDE 应如何显示文件夹。 在 BleepingComputer 的采访中,Dominik 解释:“KDE 4/5 容易受到 KDesktopFile 类中的命令注入漏洞的攻击。当实例化 .desktop 或 .directory 文件时,它通过 KConfigGroup::readEntry() 函数使用 KConfigPrivate::expandString()  不安全地评估环境变量和 shell 扩展。使用特制的 .desktop 文件,当用户在文件管理器中下载和查看文件,或者将链接拖放到文档或桌面上,就会被攻击。” 问题主要出在 KDE 允许 Shell 扩展通过环境变量或执行命令动态生成字段的值,“它们使用与 freedesktop 规范相同的语法,但是因为它们也允许 Shell 扩展(freedesktop 不允许这样做),所以这是可利用的。” 如开头 gif 所示,BleepingComputer 做了个简单的测试,可以很直观地了解该漏洞的执行过程。 该测试特别简单,测试者创建了一个 ZIP 文件,其中包含了一个带有 .directory 文件的子文件夹,在该配置文件的 icon 字段中,嵌入了一个启动并执行 kcalc 计算器的 test.sh 脚本。 因为目前无法关闭 KDE 桌面的 Shell 扩展来缓解该问题,所以 Dominik 建议用户检查每一个 .desktop 或 .directory 文件并禁用任何动态条目。   (稿源:开源中国,封面源自网络。)

继苹果谷歌后:微软被曝监听用户 Skype 和 Cortana 录音

北京时间8月8日早间消息,据美国科技媒体The Verge援引Motherboard消息报道,微软合同工正在手动审查从Skype自动翻译功能与Cortana语音助手收集的录音。Motherboard获悉的录音中,内容包括用户的私人对话和关系问题讨论以及其他个人事情如减肥等等。“我同你分享的这些内容无不说明,他们在保护用户数据方面是多么松懈,”向Motherboard分享音频文件的一位合同工解释说。 该匿名合同工还提到,在审查过程中,他们还听到类似于“电话色情”的内容,还说他们听到用户使用Cortana命令输入自己的完整地址,以及使用语音助手搜索色情内容。 尽管合同工指出,他们无法获悉用户的身份识别信息,但微软的消费者大概不会希望看到,他们的私人对话正有可能成为“穿着睡衣坐在客厅里的陌生人之间”的笑话。Motherboard随后发现一份招聘清单,证实合同工可以在家工作。一名微软发言人表示,所有合同工都签署了保密协议,且微软拥有审计权确保合规性。 在微软之前,苹果、亚马逊和谷歌也相继因处理从各自语音助手收集到的语音数据而面临严峻的审查。聘请合同工听取录音是为了改善用户使用的语音服务。在微软这件事上,Motherboard报道称,部分合同工需听取的音频来自Skype的机器翻译服务,该服务推出于2015年。 但微软并未在Skype Translator FAQ和Cortana文档中说明公司正使用语音数据以改善服务,仅仅是提到“语句和自动记录将会被分析,任何更正会进入我们的系统,以构建更高性能的服务。”在其他地方,公司称“(验证)自动翻译并将更正反馈给系统”。但是,Motherboard指出,微软并未明确表示会有任何人将收听这些录音。 问及此事时,微软表示,公司仅在用户选择参与的基础上收集和使用语音数据,并指出在隐私面板的语音部分,用户可以删除公司获得的关于用户本人的语音数据。 微软发言人在声明中强调,公司“对收集和使用的语音数据始终保持透明以确保消费者有能力就他们的语音数据做出明智的选择……微软在收集和使用用户语音数据之前,会先征求用户许可。” “在与供应商共享数据之前,我们还制定了几项旨在优先保护用户隐私的程序,包括隐去身份识别信息、要求供应商及其员工签署保密协议、遵守欧盟更严格的隐私标准等。”   (稿源:新浪科技,封面源自网络。)

传 Facebook 整合私信底层技术 使旗下不同 App 私信互通

北京时间8月8日早间消息,据彭博社援引知情人士消息称,Facebook正向着合并其系统迈出第一步,让用户在所有不同的移动应用程序之间交换消息,并将因此降低Instagram的私信产品的独立性。 据知情人士透露,工程师正在努力使用Facebook Messenger的技术重建Instagram的聊天功能。这将让Instagram用户可以与Messenger用户进行通信,实现现在无法实现的功能。 知情人士表示,为了简化技术难度,Instagram的私信部门员工现在向Facebook Messenger团队汇报工作。知情人士表示,这款照片共享应用程序的消息产品(Instagram Direct)外观不会有太大变化,但是该服务的底层技术将会发生改变。 去年,Facebook CEO马克·扎克伯格(Mark Zuckerberg)决定让Facebook旗下产品(包括Instagram,WhatsApp和Messenger)无论使用哪种服务都可以互相聊天。这项被其称做“互操作性”的转变被描述为一项艰巨的技术任务。这也引起了公司内部的矛盾。 批评人士认为,这些产品的茁壮成长一定程度上源自它们与Facebook缺乏直接联系。这个世界上最大的社交网络在隐私和数据共享实践方面面临尖锐批评。 Instagram的发言人和Messenger发言人拒绝发表评论。 知情人士表示,扎克伯格已经在内部表示,Facebook分别于2012年和2014年收购的Instagram和WhatsApp可以利用Facebook的资源来发展自己的独立品牌,所以现在是他们回馈母公司的时候了。 扎克伯格最近几年声称对Instagram和WhatsApp拥有更多的控制权,抑制他们的自主权,以期让旗下所有服务更紧密地运作。Facebook旗下四款主要应用程序(Facebook、Messenger、Instagram和WhatsApp)的领导者都在今年三月直接向扎克伯格汇报。 Facebook最近表示将把Instagram和WhatsApp的外部品牌改为“来自Facebook的Instagram”和“来自Facebook的WhatsApp”。知情人士称,这些部门的员工也将改为使用Facebook电子邮件地址,放弃目前的@instagram.com或@whatsapp.com。 外媒早些时候曾报道过这一举措。美国科技媒体The Information上周也阐述了Instagram Direct团队的新报告结构。 Instagram和WhatsApp的一些关键员工对这项计划并不认可。Instagram联合创始人凯文·希斯特罗姆(Kevin Systrom)和麦克·克雷格(Mike Krieger)去年秋天离开了公司,原因是他们对扎克伯格的控制感到沮丧。WhatsApp创始人也因为在WhatsApp中投放广告而与扎克伯格发生冲突,并最终退出公司。 这些创始人的离职引发广泛关注,但却并没有改变Facebook在其所有独立服务之间加强联系的计划。Facebook此项计划正值美国联邦贸易委员会(FTC)调查Facebook是否存在潜在的反垄断违规行为之际。包括Facebook联合创始人克里斯·休斯(Chris Hughes)在内的一些评论家表示,从技术上讲,这项整合计划加大该公司的分拆难度。 扎克伯格在3月份辩称,此举主要是考虑到是隐私和便利需求。这家社交网络还打算加密其所有聊天服务,这意味着所有消息将保持私密,不会存储在Facebook的服务器上。目前只有WhatsApp以这种方式完全加密,但扎克伯格的计划是加密Instagram和Messenger消息。   (稿源:新浪科技,封面源自网络。)

微软警告黑客组织 Fancy Bear 正试图利用物联网设备漏洞

微软威胁情报中心报道称,俄罗斯黑客组织 Fancy Bear 一直试图利用 VoIP 电话和打印机等物联网设备,对企业网络展开渗透。外界普遍猜测,该组织拥有俄罗斯官方背景,又名 Strontium Group 或 APT 28 。该组织已成功地在 50 多个不同的国家 / 地区,感染了超过 50 万台消费级路由器。 (题图 via MSPU) 今年 4 月,黑客试图将企业的物联网设备作为目标,借助这些“跳板”来渗透规格更大、安全措施更严格的企业网络。 三起事件中的两件,归咎于物联网设备使用了默认的出厂设置。另一件则是设备使用了过时的固件,其中包含了已知的漏洞。 获得物联网设备的访问权限后,攻击者会进一步破坏网络上其它易受攻击的设备和节点。 通过简单的扫描,该组织可在企业内网畅通无阻地移动,寻找获得更高级别账户的访问权限,以窃取高价值的数据。 此外,黑客可执行“tcpdump”,以发现本地子网上的网络流量。幸运的是,袭击事件被迅速扼杀在了萌芽状态。 在调查结束后,我们已于所涉特定设备的制造商分享了这些信息,希望它们能够借此来探索其产品的全新保护措施。   物联网设备制造商需要对安全威胁保持更广泛的关注,了解此类威胁类型的组织和安全团队,以提供更好的企业支持和监控功能,让技术团队更轻松地保障网络安全。 据悉,同一黑客组织还与针对民主党全国委员会(DNC)、法国 TV5 Monde 电视台、以及德国外交部等机构的攻击事件有关。 安全研究人员指出,该组织还攻击了正在调查与俄方有关的网络犯罪事件的调查人员的电子邮件账户,比如 Skripal 中毒和马航 MH17 空难事件的调查者。 显然,这些未遂攻击的揭露,是微软对行业需加强物联网设备安全性的最新警告,否则后续攻击事件还会接踵而至。   (稿源:cnBeta,封面源自网络。)

微软悄然修复 SWAPGS 处理器漏洞 保护 Windows 用户安全

外媒报道称,微软悄然发布了一个提升 Windows 用户安全的补丁,修复了自 2012 年以来生产的英特尔 CPU 漏洞(涉及 Ivy Bridge 之前的芯片)。据悉,SWAPGS 漏洞有些类似于臭名昭著的幽灵(Spectre)和熔毁(Meltdown)芯片缺陷,由安全公司 Bitdefender 在一年前发现。在 BlackHat 安全会议上,其终于宣布已被修补。 (图自:BitDefender,via BetaNews) Red Hat 表示,其需要对 Linux 内核进行更新,以防止 SWAPGS 漏洞影响 Intel 和 AMD 芯片 —— 即便 Bitdefender 称未在 AMD 处理器上发现任何问题。 作为微软上个月的‘星期二补丁’的一部分,其彻底修复了 CVE-2019-1125 安全漏洞。Bitdefender 表示,旧款英特尔芯片可能也很脆弱,但目前尚无法证明。 该公司仅在数量有限的 AMD 处理器平台上进行了测试,因此无法知晓 Red Hat 的建议是否可信。这家 Linux 发行商称: 我已意识到另一个类似于 Vi 的攻击向量,这需要对 Linux 内核进行更新。此附加攻击的媒介,基于先前内核更新中提供的现有软件修复,仅针对使用 Intel 或 AMD 处理器的 x86-64系统。 该漏洞被命名为 CVE-2019-1125,评估等级为中等。无特权的本地攻击者,可借此绕过传统的内存安全限制机制,获得对特权内存的读取访问权限。 除了更新内核和重启系统,没有已知的完全缓解措施。在打上这个内核修复补丁前,请先修复幽灵(Spectre)处理器安全漏洞。 其建议客户采取基于风险控制的解决方案,来缓解 SWAPGS 处理器安全漏洞的影响。对于需要高度安全性和信任的系统,请将其与不受信任的系统隔离,直到完整修复补丁的出现。 需要注意的是,根据行业的反馈,我们不知道在基于 Linux 内核的系统上,是否有任何利用此漏洞的已知方法。 AMD 发表声明称:该公司已意识到新研究所声称的新型推测性执行攻击,它可能允许攻击者访问需要特别权限的内核数据。 不过基于外部和内部的分析,AMD 都不认为自家产品易受到 SWAPGS 变体攻击的影响,因为 AMD 产品在设计上就不会在 SWAPGS 推测新的 GS 值。 至于非 SWAPGS 类型的变体攻击,AMD 依然给出与幽灵(Spectre)及其衍生漏洞相同的修补建议。感兴趣的朋友,可以查看 Bitdefender 制作的概念解析视频。   (稿源:cnBeta,封面源自网络。)