内容转载

= ̄ω ̄= 内容转载

物理安全密钥保障了美国大选电子邮件的安全

今年美国总统大选已经尘埃落定,并没有重蹈 2016 年那样严重的网络攻击。尤其是本次选举期间并没有出现电子邮件泄漏事件,而这可能归功于小小的 USB 安全密钥。而本次选举也极大地推动了安全市场的发展,例如 CrowdStrike 和 Zscaler 的股票今年升值了 200% 以上。 在过去四年里,有一件小事或者说一个习惯正逐渐养成。那就是政治家、竞选工作者、以及他们的家人和好友都开始使用 USB 硬件密钥来登录电子邮件账户和其他在线服务。而且谷歌为销售这些硬件提供了非常便捷的平台,可供用户挑选的产品也非常丰富,包括来自 GoTrust, TrustKey 和 Yubico 厂商的产品。 在 12 月 9 日发布的博文中,谷歌表示正和非营利机构 Defending Digital Campaigns 合作,发放了超过 10500 个包含 USB 物理安全密钥的工具包。联邦选举委员会授权该非营利组织以免费或优惠价格向竞选活动发放网络安全产品,这意味着竞选活动如果想提高安全性,就不用担心资金问题。微软也与该非营利组织合作。 一位知情人士告诉 CNBC,乔·拜登在竞选活动中要求团队成员部署安全密钥,不过目前并未得到回应。 曾在美国国家标准与技术研究所从事网络安全工作,现在是 Venable 律师事务所的董事总经理杰里米·格兰特(Jeremy Grant)表示:“由于这些小东西起效了,因此没有再发生类似于 Podesta 这样的事件。并不是说没有人试图对这些账户进行钓鱼,但他们知道这一切都会发生,而且有工具可以阻止它们。” 2016年,一个被认为与俄罗斯有关的黑客组织攻击了希拉里·克林顿(Hillary Clinton)总统竞选活动主席约翰·波德斯塔(John Podesta )的个人谷歌 Gmail 账户,邮件信息在维基解密上被翻出来。民主党全国委员会也遭到了攻击。       (消息及封面来源:cnBeta)

俄罗斯加密货币交易所 Livecoin 被黑客入侵 失去对服务器的控制权

俄罗斯加密货币交易所Livecoin在平安夜在其官方网站上发布消息,声称自己被黑客攻击,失去了对部分服务器的控制,并警告客户停止使用其服务。根据社交媒体上的帖子,攻击似乎发生在12月23日到12月24日之间的夜晚。黑客似乎已经控制了Livecoin的基础设施,然后继续将汇率修改为巨大且不现实的数值。 在12月24日晚间,Livecoin管理员设法夺回部分系统的访问权之前,比特币汇率已经从常规的2.3万美元/BTC膨胀到超过45万美元/BTC,以太币从600美元/ETH增长到1.5万美元,瑞波币价格从0.27美元/XRP增长到超过17美元/XRP。 汇率被修改后,神秘攻击者就开始兑现账户,产生巨额利润。 在其网站上发布的消息中,Livecoin管理员将这一事件描述为 “精心策划的攻击,正如我们假设的那样,在过去的几个月中已经准备好了”。 “我们失去了对所有服务器、后台和节点的控制。因此,我们无法及时停止服务。我们的新闻频道也受到了影响。”该公司说。 “目前,我们部分控制了前台,因此我们能够放置这个公告,”它补充道。Livecoin现在敦促用户停止存款,并通过网站的API和移动应用程序等其他接口进行交易。 正如大多数加密货币黑客所发生的那样,一些用户认为整个黑客事件根本就是内鬼自导自演,Livecoin表示,他们已经通知了当地执法部门。 根据CoinMarketCap的数据,Livecoin被列为互联网上第173家加密货币交易所,日交易额约为1600万美元,该网站自2014年3月以来一直活跃。         (消息来源:cnBeta;封面来源于网络)

FBI 和欧洲刑警组织查获被控支持“黑社会犯罪组织”的 VPN 服务

美国密歇根州东区检察官办公室详细介绍了一项名为“Operation Nova”的国际执法工作,该行动的目标是一项被指控支持犯罪分子的 “防弹”VPN服务。这项工作是由FBI、欧洲刑警组织和其他机构联合开展的,德国罗伊特林根警察总部负责协调这项行动。 在“Operation Nova”行动中,执法机构共同进行了取缔工作;它针对的是一个被指控为犯罪分子提供“防弹托管服务”的运营。行动中查封了三个域名,包括“insorg.org”、“safe-inet.com”和“safe-inet.net”。这些网站现在呈现的是被执法部门查封的通知。 除其他外,美国司法部将 “防弹托管服务 “描述为:“…可能包括忽略或编造借口,以回应客户的受害者提出的滥用投诉; 将客户账户或数据从一个IP地址,服务器或国家转移到另一个IP地址,以帮助他们逃避检测; 不保存日志(因此,没有任何日志可供执法部门审查)。通过提供这些服务,防弹主机明知故犯地支持客户的犯罪活动,成为犯罪计划的共犯。” 官员们在谈到“Operation Nova”行动时介绍说,据称在网络上发生的犯罪活动有接管账户、勒索软件、电子窃取数据泄露和鱼叉钓鱼等。据报道,支持是以英语和俄语两种语言“高价提供给黑社会犯罪组织”的。 国际执法机构关闭了与被查封域名有关的服务器,美国当局也关闭了与位于美国的服务器有关的服务器。     (消息及封面来源:cnBeta)

泄露文件曝光任天堂侵入性监控黑客行动

据外媒报道,泄露的任天堂文件显示,一名正在研究3DS掌上游戏机漏洞的黑客遭到了可怕的监视行动。除了监控他的私人生活–包括他的教育方面、离开家的时间和他去的地方,这家公司都会从其工作的地方跟踪目标以迫使他停止活动。保护企业知识产权的间谍项目在世界各地都有在持续进行,但很少有行动细节泄露给公众。 然而对于任天堂来说不幸的是,相关信息被曝光,根据泄露的文件显示,成为这家公司的主机黑客的目标是一件多么可怕的事情,即使这些目标已经声明他们的工作不是为了盗版目的而设计的。 泄露文件披露了任天堂警方式的监视行动 在过去的24小时里,各种Twitter账号发布了最近从任天堂泄露的文件片段。虽然有许多有趣的项目,但最令人震惊的发现涉及了一名叫做Neimod的黑客,他曾在几年前发现了3DS掌机的漏洞。 当然,像任天堂这样的公司对Neimod这样的人的作品产生浓厚兴趣也并不奇怪。任天堂的文档将他描述为一位“技艺高超的硬件工程师”且“在任天堂产品的黑客领域享有很高的声誉”。 然而,泄露的文件还详细披露了这家游戏巨头准备如何阻止他的工作。 例如,文件揭露了深入挖掘Neimod教育状况的个人剖析、列出了他的工作生活细节,同时还提供了物理窥探他日常生活方式的证据,如什么时候能在家里找到他、谁来见他甚至他去银行和餐馆之类的地方等信息也都能找到。 有关拦截目标的详细行动计划 根据任天堂的计划,针对Neimod的行动始于2013年4月15日左右,其团队在当地一家酒店开会讨论并敲定他们的计划。在回顾了Neimod前一周的活动之后,该团队决定在哪里和何时进行接触–例如下班后或在家。 在一名监视Neimod的卧底调查人员负责搞清楚他下班的时间的情况下,“联络小组”被要求以友好、不具威胁性、专业和礼貌的方式接近目标Neimod。 在跟Neimod开始交谈之后,团队被要求奉承这个黑客,承认他的工程/编程天赋。另外他们还被告知,要提到他不会“促进盗版”发展的声明目的,但也要指出任天堂的担忧–公布了他的黑客行为可能就会促进这一点的发展。 无论Neimod同意还是拒绝,任天堂都做好了应对准备。由Eclipse-TT发布到Twitter上的幻灯片显示了一个流程图。 任天堂表示,如果双方能达成合作,它可以避免提起刑事诉讼。它还可能跟Neimod签订“赏金”合同,为发现和记录漏洞而支付报酬。在一定范围内,他的发现仍可以向公众公布,但要让他保留吹嘘权利。该公司写道,这可能有助于提升任天堂的形象。 只有当侵入性监控行动的细节远离公众视线时才有可能长期显著提升公众形象。然而现在随着Hacker Enforcement Proposal的全面泄露,这对任天堂来说可能会变得有点困难。 另一方面,这也可能也会让黑客停下来思考或将他们推向更糟糕的境地。         (消息及封面来源:cnBeta)

谷歌 Project Zero 披露了 Windows 中的严重安全漏洞

谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞,并私下向供应商报告,在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度,它有时还会以宽限期的形式提供额外的天数。在过去几年中,在厂商无法及时修补后,谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。 访问漏洞细节: https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。现在,它公开披露了Windows中的一个安全漏洞,如果被人利用,会导致权限提升。 谷歌 “零号项目 “安全人员表示,恶意进程可以向splwow64.exe Windows进程发送本地过程调用(LPC)消息,攻击者可以通过它向splwow64内存空间中的任意地址写入任意值。这本质上意味着攻击者控制了这个目标地址和任何被复制到该地址的内容。 这个漏洞并不完全是新的。事实上,卡巴斯基的一位安全研究人员在今年早些时候就报告了这一问题,微软早在6月份就打了补丁。不过,这个补丁现在已经被Google Project Zero的Maddie Stone认定为不完整,他表示,微软的修复只会改变指向偏移量的指针,这意味着攻击者仍然可以使用偏移量值来攻击它。 9月24日,Google Project Zero私下向微软报告了零日的情况,标准的90天期限将于12月24日到期。微软最初计划在11月发布修复程序,但该发布时间段随后滑落到12月。之后,它告诉谷歌,它在测试中发现了新的问题,现在它将在2021年1月发布一个补丁。 12月8日,双方开会讨论了进展和下一步的计划,其中确定不能向微软提供14天的宽限期,因为该公司计划在2021年1月12日的补丁周二发布补丁,比宽限期多出6天。Project Zero团队计划在明年再次重新审视政策,但已经公开披露了该漏洞与概念验证代码。技术报告还不清楚这影响到哪些版本的Windows,但卡巴斯基几个月前的报告显示,攻击者一直在利用它来攻击新版本的Windows10。       (消息来源:cnBeta;封面来源于网络)

有证据表明 Citrix ADC 设备被黑客滥用发起 DDoS 攻击

援引外媒 ZDNet 今天早些时候报道,有攻击者利用 Citrix ADC 网络设备向 Steam、Xbox 等在线游戏服务发起拒绝服务攻击(DDoS)。首波攻击上周被德国 IT 系统管理员 Marco Hofmann 发现并记录在案。 图片来自于 WikiMedia 随后 Hofmann 追踪到了 Citrix ADC 设备上的 DTLS 接口。DTLS,即数据报传输层安全,是 TLS 协议的一个更多版本,实现在对流友好的 UDP 传输协议上,而不是更可靠的TCP。就像所有基于UDP的协议一样,DTLS是可欺骗的,可以作为DDoS放大载体。 这意味着,攻击者可以向具有DTLS功能的设备发送小的DTLS数据包,并将结果以一个大很多倍的数据包返回到一个被欺骗的IP地址(DDoS攻击受害者)。原数据包被放大多少倍,决定了具体协议的放大系数。对于过去基于 DTLS 的 DDoS 攻击,放大系数通常是原始数据包的 4-5 倍。 不过在本周一的报告中,在 Citrix ADC 设备上实现的 DTLS 似乎被放大了 35 倍,使其成为最有力的 DDoS 放大载体之一。在多家媒体报道之后,Citrix 也承认这个问题,并承诺会在圣诞节假期之后在明年 1 月中旬发布修复补丁。该公司表示,已经有证据表明有黑客利用该 DDoS 向全球少数客户发起攻击。 当攻击者滥用Citrix ADC设备时,他们可能最终会耗尽其上游带宽,造成额外的成本并阻止来自ADC的合法活动。 在Citrix准备好官方缓解措施之前,出现了两个临时的修复方法。第一种是在不使用Citrix ADC DTLS接口的情况下,禁用该接口。第二种是如果需要 DTLS 接口,建议强制设备验证传入的 DTLS 连接,尽管这可能会因此降低设备的性能。     (消息及封面来源:cnBeta)

GoDaddy 对员工展开邮件钓鱼测试:约 500 人未通过

据外媒报道,日前,GoDaddy对其员工进行了一个钓鱼邮件测试,结果约有500名员工没有通过。据悉,测试中的邮件声称他们将获得650美元的假期奖金。这封邮件是由Happyholiday@Godaddy.com发送,包裹在一片闪闪发光的雪花banner下,上面则印着GoDaddy Holiday Party的字样。 这封邮件于当地时间12月14日发给数百名GoDaddy员工的。 “虽然我们不能在年度节日聚会上一起庆祝,但我们想表达我们的感谢并分享650美元的一次性假期奖金!”邮件写道,“为确保您能及时获得一次性假期奖金,请在12月18日周五之前选择您的地点并填写详细信息。” 然而两天后,该公司又发了一封电子邮件。“你收到这封邮件是因为你没有通过我们最近的钓鱼测试,”该公司的首席安全官Demetrius Comes写道,“你需要重新接受安全意识社会工程培训。” 网络钓鱼测试是由公司发送,用来评估员工是否容易受到网络钓鱼攻击,公司外的人会试图伪装成可信来源以获取敏感信息如用户名和密码。 总部位于斯科茨代尔的GoDaddy是全球最大的域名注册商和网络托管公司。 今年早些时候,《福布斯》报道称,2.8万名GoDaddy客户的账户用户名和密码因数据泄露而受到影响。 尽管该公司今年的客户超过2000万并报告了创纪录的客户增长,但该公司在新冠大流行期间解雇或重新分配了数百名员工,包括亚利桑那州、爱荷华州和德克萨斯州的员工。 GoDaddy并不是今年第一家以潜在奖金的方式作为诱饵诱骗员工陷入网络钓鱼骗局的公司。 今年9月,在全美拥有多家主流报纸的Tribune Publishing也向其员工发送了一封类似的电子邮件。 对此,该公司的几名员工表示愤怒,他们在Twitter上转发了这封邮件并称:“这种钓鱼尝试是多么得荒谬和多么得悲哀。”         (消息及封面来源:cnBeta)

英国一大型整容连锁医院遭黑客攻击勒索

据外媒体报道,近日,有黑客窃取了英国一家大型整容连锁店– Hospital Group的数据并威胁要公布患者手术前后的照片和其他细节。Hospital Group目前已经证实遭到了勒索软件的攻击。该公司表示,其已将此事告知信息专员(Information Commissioner)。 黑客组织REvil在其暗网网页上表示,顾客的照片并不完全是令人愉快的景象。它声称已经获得了超过900G的病人照片。 遭到网络攻击的Hospital Group–也被称为Transform Hospital Group–声称是英国减肥和美容手术的领先者。 据悉,它拥有11家专门从事减肥手术、隆胸、乳头矫正和鼻子调整的诊所。 该公司此前曾通过名人代言来宣传自己,不过已经有好几年没有这样做了。 前Big Brother选手Aisleyne Horgan-Wallace 2009年曾向Zoo杂志透露了她在Hospital Group做过丰胸手术。Atomic Kitten歌手Kerry Katona、《无耻之徒》女演员Tina Malone和真人秀《The Only Way is Essex》明星Joey Essex也都曾是该诊所的病人。 Hospital Group在一份声明中说道:“我们可以证实我们的IT系统已经遭遇了数据安全漏洞。虽然我们所有病人的支付卡信息都未被泄露,但在现阶段,我们了解到一些病人的个人数据可能已被访问。” 该公司表示,他们已经向所有客户发送了有关此次网络攻击的电子邮件并将联系可能有更多个人信息被泄露的个人。 勒索软件是最常见的网络攻击形式之一。它通常涉及黑客进入计算机网络、对文件进行加密或将用户锁定在系统之外直到被攻击一方支付赎金。 针对这种现象,执法机构不鼓励受害者支付赎金,因为这样做会助长犯罪团伙的犯罪火焰。 网络安全公司EMSIsoft估计,在2020年,这种迅速发展的网络犯罪形式为犯罪分子带来了250亿美元的收入。 REvil–也被称为Sodinokibi–是最多产的勒索软件组织之一。备受瞩目的受害者包括货币交易所Travelex和娱乐律师事务所Grubman Shire Meiselas & Sacks。       (消息来源:cnBeta;封面来自网络)

Project Zero 团队披露微软尚未完全修复的 Windows 10 提权漏洞

在微软今年 6 月发布的更新中,修复了存在于 Windows 系统中的一个高危漏洞,允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用,不过近日谷歌 Project Zero 团队使用公开的概念证明,表示这个问题依然存在,只是方法有所不同。 谷歌 Project Zero 安全研究员 Maddie Stone 发现,微软 6 月份的补丁并没有修复原来的漏洞(CVE-2020-0986),经过一些调整后,该漏洞仍然可以被利用。2020 年 5 月,该问题与 Internet Explorer中的一个允许远程代码执行的 BUG 一起被黑客利用进行权限升级。在卡巴斯基发现攻击时,这两个缺陷都是零日。 Stone 表示,攻击者现在仍然可以通过发送偏移量而不是指针来触发CVE-2020-0986,将权限增加到内核级别。在Twitter上,研究人员阐明说,最初的bug是一个任意的指针误引,允许攻击者控制memcpy函数的 “src “和 “dest “指针。 但是微软的修复补丁是不恰当的,因为微软只是将指针改为偏移,所以函数的参数仍然可以被控制。在今天的一份简短的技术报告中,她解释了如何触发该漏洞,现在确定为CVE-2020-17008。 一个低完整性的进程可以发送LPC消息到splwow64.exe(中等完整性),并在splwow64的内存空间中获得 write-what-where 权限 。攻击者通过memcpy调用控制目标、复制的内容和复制的字节数。       (消息来源:cnBeta;封面来源于网络)

欧洲刑警组织联合多国执法部门关闭 Safe-Inet 服务器 被黑客用于隐匿身份

本周二,欧洲刑警组织(Europol)宣布联合多国执法机构开展了 Operation Nova 活动,关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器,从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务,主要用于隐藏身份。 据欧洲刑警组织称,这项服务可以隐藏客户的 IP 地址,并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年,它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码,以及其他攻击,如网络钓鱼活动和账户接管。 欧洲刑警组织在公告中写道:“这种VPN服务被高价卖给了犯罪团伙,作为避免执法拦截的最佳工具之一,提供多达5层的匿名VPN连接”。这些机构没有宣布对该VPN提供商或其任何客户进行任何逮捕或指控。然而,拿下VPN服务很可能会让使用该服务的犯罪分子更难继续行动,至少目前来看是这样的。 网络安全专家表示,在无法抓住网络犯罪分子或完全关闭其业务时,这种做法是有意义的,也符合各大科技公司采取的行动。例如,微软在12月查封了SolarWinds黑客事件中使用的网络域名,以阻止一场大规模的恶意软件活动。 在查获Safe-Inet的服务器之后,警方发现全球已有250个企业受到犯罪集团的监控,也立即警告这些企业,要求它们多加防范,以免受到勒索软体之类的网路攻击。         (消息及封面来源:cnBeta)