分类: 今日推送

落实网络安全法案,推送个人信息保护条款

9 月 14 日起,网民在登陆微信、淘宝、微博、高德地图等客户端时,陆续收到平台推送的个人信息保护政策,点击 “ 同意 ” 后才能继续使用。在 2017 年国家网络安全宣传周开幕前夕,互联网公司积极落实《网络安全法》规定,更新个人信息保护政策,不断加强对用户个人信息的保护。 2017 年 6 月 1日,《网络安全法》正式实施。互联网公司对个人信息保护政策的修订,正是积极响应《网络安全法》关于网络信息安全的相关规定,落实中央网信办、工信部、公安部、国家标准委等四部门 “ 个人信息保护提升行动 ” 的要求。以微博为例,修订后的个人信息保护政策,在信息收集、信息保护、安全措施等方面均增加了较大篇幅,力求全方位保护用户个人信息,扩大个人信息保护政策的覆盖范围。为保证新政及时为用户所了解,用户安装或升级微博客户端后,首次登陆都会收到推送信息,选择“同意”才能继续使用微博。 微博推送修订后的《微博个人信息保护政策》 2017 年国家网络安全宣传周 9 月 16 日在上海开幕。今年的网络安全宣传周以 “ 网络安全为人民,网络安全靠人民” 为主题,将持续到 9 月 24 日。中央网信办网络安全协调局主要负责人表示,提升个人信息保护的隐私条款专项工作,是贯彻网络安全法的重要举措之一。在提升个人信息保护工作中,要处理好保护和利用的关系,找好平衡点,既要保护个人信息的安全,又要利用好信息为8亿网民乃至14亿人民提供更好的服务,维护人民利益。 稿源:cnBeta、新浪科技,封面源自网络;

银行木马 BankBot 感染 Google 商店 160 款应用程序,阿联酋金融机构成为黑客首选攻击目标

趋势科技(Trend Micro)研究人员于 9 月 13 日发布安全报告,指出 Android 恶意软件 BankBot 已成功感染逾 160 款 Google 商店中的合法应用程序。相关数据显示,该款恶意软件新变种主要瞄准 27 个国家银行机构展开攻击活动,其中 10 家受害组织来自阿联酋地区。 恶意软件 BankBot 于今年 1 月浮出水面,其主要使用虚假页面覆盖真实网页欺骗不知情用户输入登录凭证等敏感信息。此外,BankBot 还可劫持与拦截用户 SMS 信息,从而绕过基于短信的双重身份验证。 近期,研究人员再次发现 5 款受感染的新型应用程序,其中颇受用户欢迎的一款已被下载 5000-10000 次。研究人员表示,最新版本的 BankBot 变体只有安装在真实设备中才会运行。然而,一旦安装并运行 BankBot 后,它将自动检查受感染设备上是否存在银行应用安装包。倘若存在,BankBot 将立即连接至 C&C 服务器并上传安装包名称与标签。随后,C&C 服务器还会向受感染应用发送恶意链接,从而下载包含用于覆盖页面的恶意文件库,以便攻击者后续使用。 图1. BankBot 下载覆盖网页 值得注意的是,研究人员发现该款恶意软件在针对阿联酋银行应用程序时,表现略有不同。BankBot 并非直接显示虚假的覆盖页面,而是请求用户输入电话号码等信息。随后,C&C 服务器会在一个 FireBase 邮件中向目标受害者发送恶意链接。一旦用户进入指定页面,他们将会被提示输入银行具体信息。即使用户提供的信息正确,也会弹出一个 “ 错误页面 ” ,致使受害者必须再次输入信息进行确认。显然,BankBot 的开发人员想要再次核实受害者银行凭证,以便快速正确登录用户账号、窃取资金。 图2.伪造阿联酋银行应用程序屏幕 目前,BankBot 开发人员似乎正尝试使用新技术操作扩大目标攻击范围,对此,研究人员提醒用户在安装任何应用程序前(即使从 Google Play 商店下载)始终验证应用权限,以防黑客恶意攻击。 附:趋势科技原文报告《 BankBot Found on Google Play and Targets Ten New UAE Banking Apps 》 原作者:Hyacinth Mascarenhas,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

趋势科技:韩文处理器 HWP 系统遭黑客网络钓鱼攻击

HackerNews.cc  9 月 14 日消息,趋势科技( Trend Micro )研究人员近期发现黑客正以 “ 比特币 ” 或 “ 金融安全准则 ” 为主题分发附带恶意 PostScript 代码的文件,旨在感染韩文处理器(HWP)系统、展开网络钓鱼攻击活动。 图一:诱导文件样本 韩文处理器(HWP)是一款颇受韩国公民欢迎的文字处理应用程序,它具备运行 PostScript 代码的功能,这是一种最初用于打印与印刷系统的编程语言。另外,PostScript 的其中一个分支被称为 Encapsulated PostScript(被封装的 PostScript 格式),它增加了运行代码的限制范围,从而使部分文档的打开更加安全。但不幸的是,较老版本的 HWP 系统并未约束这些限制。 调查显示,此类攻击手段主要是利用恶意 PostScript 代码在受害设备上获取立足接入点,以便展开攻击活动。虽然 PostScript 无法执行 shell 命令,但它确实能够操控目标设备文件。此外,研究人员表示,攻击者入侵目标设备后,首先将系统文件丢弃到各种启动文件夹中,并在等待用户重启设备前使用不同攻击方式破坏系统,其攻击方式包括: Ο 在启动文件夹中删除快捷方式执行 MSHTA.exe 文件。 Ο 删除启动文件夹中的快捷方式和%Temp%目录中的 DLL 文件。该快捷方式主要调用 rundll32.exe 执行 DLL 文件。 Ο 在启动文件夹中删除可执行文件。 图二: HWP 文件中的代码示例 目前,经调查显示,2014 年以后更新的版本不易受此类问题影响。因此,研究人员建议用户更新至最新版本,以防黑客攻击、保障系统安全。 稿源:Trend Micro,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基回应遭美禁用:未实施任何网络间谍活动

美国国土安全部 13 日下令美国所有联邦机构停止使用卡巴斯基实验室的安全软件产品,原因是俄政府似乎可以访问该软件。随后,卡巴斯基实验室回应,表示该公司没有帮助任何政府实施网络间谍活动或网络空间的侵略行为。 卡巴斯基实验室发表声明称:”从未也不会帮助全世界任何国家政府实施网络间谍活动或网络空间的侵略行为。我们感到失望的是,迫于当前地缘政治局势的压力,一家私营公司可以在无凭无据的情况下遭到指控 “。目前,相关消息称:“ 卡巴斯基公司将继续与美国国土安全部合作,因为卡巴斯基相信,进一步的调查将证实,相关指控是毫无根据的。” 稿源:新浪科技、中新网,封面源自网络;

Equifax 证实:未及时修复 Apache Struts 漏洞,致使美国公民数据遭窃

Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露,当时他们声称黑客利用 Web 应用漏洞入侵数据库,但并未披露任何细节。本周,Equifax 证实,宣称黑客利用了开源项目 Apache Struts 漏洞 CVE-2017-5638 。 漏洞利用特制的 HTTP Headers(HTTP 首部/ HTTP 报文)允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”,影响了无数网站,其中攻击的两个工作版本也在网上公布。目前,许多大型机构,如银行、政府机构和一些世界顶级公司,都在应用程序中使用 Apache Struts。 Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵系统。研究人员表示,像这样的漏洞会不时发生,非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过,修复该漏洞较为繁琐,涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。 稿源:据 cnBeta、solidot奇客 综合整理,封面源自网络;

禁用 Windows 勒索软件卷土重来,黑客索要 50 比特币解锁费用

2016 年的时候,安全研究人员就已披露一款显示 “ 您的计算机已被禁用 ” 的恶意软件。据悉,它会锁住计算机屏幕,并在上面显示几行消息,声称 “ 该 PC 因违反使用条款而被禁用 ”,而且还大言不惭地称此举是为 “ 保护 Windows 服务及其成员 ”、还假借微软之口称其 “ 不会提供有关特定 PC 被禁用的细节 ”。但实际上,它们只是借此向受害者勒索一笔“解锁”费用,否则扬言删除所有信息、并让这台计算机无法再工作。 为了锁住系统,该恶意软件会忽悠受害者联系所谓的来自微软的技术人员,以购买一个解锁屏幕的代码、以及一份新的 Windows 许可证。万幸的是,ID Ransomware 制作人 Michael Gillespie 发现了一串能够免费解锁受感染计算机的神奇数字(只需输入 “ 6666666666666666 ”)和一组代码(XP8BF-F8HPF-PY6BX-K24PJ-RAA00)。 不过,没想到的是,过了一年时间,同类型的软件竟又卷土重来。只是这次,它表现得更加赤裸裸,直接在锁屏界面向受害者索取 50 比特币的系统解锁费用。在该恶意软件 ‘ 锁屏界面 ’ 的 ‘ 错误信息 ’ 一栏中,勒索者给出了两种选择 —— 要么花钱消灾,要么删你文件、毁你系统。当然,这是一种老式而典型的恐吓策略。如果你仔细检查拼写和语法错误,就会发现这很可能是一个骗局。然而,为了避免沾染这种恶意软件,大家最好不要轻易打开可疑的文件、或者点击奇怪的链接。此外你还需要部署一款及时更新的全面型反恶意软件应用程序。 稿源:cnBeta,封面源自网络;

WordPress 插件出售后被加入后门,影响逾 20 万网站正常使用

据外媒报道,一款名叫 Display Widget 的 WordPress 插件出售后被新拥有者加入后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,而目前在被 WordPress.org 团队移除时超过 20 万网站使用。 Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码并收集网站的用户访问数据。不过,好在用户投诉之后,WordPress.org 将其移除。 据悉,拥有者在设法恢复插件并在释出另一新版本 v2.6.1 后,再次被投诉再次被移除。随后,拥有者又再次设法发布新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。 稿源:solidot奇客,封面源自网络;

美国 FTC 开始着手调查 Equifax 机构信息泄露案件

震惊全美的数据泄密事件过后,信用报告机构 Equifax 遭到美国联邦贸易委员会(FTC)和众议院的调查,未来更可能受到 SEC 等监管机构的调查。Equifax 于本周四证实,当前正接受 FTC 现场调查。 FTC 公共事务代理负责人 Peter Kaplan 表示,FTC 通常不会针对正在进行的调查作出评论,但因为这件事关乎公众利益,其潜在影响也较为重要。因此现在证实FTC 正在就 Equifax 数据泄露一事进行调查。Equifax 上周公开承认,公司在 7 月底发现数据库遭黑客入侵,数据泄露涉及 1.43亿 美国消费者,其黑客访问信息主要包括姓名、社保号码、出生日期、地址,有时还包括驾照信息。另外,泄露信息还包括 20.9 万美国用户信用卡号,以及 18.2 万美国用户部分争议性文件。 这是去年雅虎宣布两起网络漏洞以来,最备受瞩目的网络安全漏洞。不仅如此,公司三位高管在 8 月初共计出售近 200 万美元的股票,这难免引发有关内幕交易的猜测。此外,Equifax 开通一个名为的 Trust ID Premie 网站,令消费者得以确定个人信息是否遭到损害,并提供免费的信贷档案监控和识别盗窃保护。然而,公司的用户服务条款隐含了一个陷阱——如果资料被泄露,并注册了这个网站,用户将同意放弃向 Equifax 发起集体诉讼的权利。这无疑再度引燃民众不满。 近四十名参议员在本周二要求司法部、SEC 和 FTC 联手调查这家公司高管在泄密发生后抛售股票的操作。据悉,Equifax CEO 将会就公司客户大规模信息泄漏事件于 10 月 3 日参加众议院的一个委员会听证。英国《金融时报》报道称,这家公司也可能面临美国 SEC 以及多个州检察长的调查。 除了 Equifax 之外,美国还有 TransUnion 和 Experian 两大征信巨头。Equifax 泄密事件过后,整个行业受到的监管可能升级。本周四,这家公司股票开盘后暴跌超 9%,随后跌幅收窄,当日收跌 2.44%,盘后下跌 1.21%。上周五信息泄露事件曝光以来,Equifax 股价累计跌幅达 30% 以上,市值蒸发近 50 亿美元。 稿源:cnBeta、华尔街见闻,封面源自网络;

微软零日漏洞( CVE-2017-8759 )已被利用于传播恶意软件 FinSpy

据外媒 9 月 13 日报道,网络安全公司 FireEye 研究人员近期发现微软 Office 文档存在一处零日漏洞( CVE-2017-8759 ),允许黑客操控受影响系统、安装间谍程序 FinSpy、更改或删除原始数据,以及诱导受害用户打开电子邮件下载特制文档或恶意应用程序。 FireEye 研究人员表示,资金充足的网络间谍组织于今年 7 月就已利用该漏洞传播恶意软件 FinSpy,其主要瞄准讲俄语的用户展开网络攻击活动。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FireEye 研究人员经调查发现间谍软件 FinSpy 在近期的攻击活动中 “ 使用 ” 了混淆代码与内置虚拟设备,以便隐藏受害系统内部进行反分析监控。 一旦受害系统感染恶意软件,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。目前,研究人员尚不清楚有多少用户已被攻击,也不了解此次攻击活动是否与俄罗斯政府有关。不过,好在作为微软每月安全更新的一部分,研究人员已发布漏洞修复补丁。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

逾 4000 台 ElasticSearch 服务器遭 POS 恶意软件感染

据外媒报道,网络安全公司 Kromtech 研究人员发现逾 4,000 台 ElasticSearch 服务器遭两款流行恶意软件 AlinaPOS 与 JackPOS 肆意感染,其中美国地区受影响情况最为严重。然而,相关调查显示,虽然受感染日期最早可追溯至 2016 年,但最近一次恶意传播发生在今年 8 月。另外,值得注意的是,近 99% 的受感染服务器托管于亚马逊网络服务( AWS )中。 恶意软件 AlinaPOS 与 JackPOS 自 2012 年以来一直存在且颇受网络犯罪分子欢迎。此外,研究人员发现这两款恶意软件早前就已在暗网出售并被广泛传播。 图一:2012 – 2014 年 PoS 恶意软件传播数量图 近期,Kromtech 安全研究人员通过搜索引擎发现超过 15,000 台 ElasticSearch 服务器无需安全验证即可登录访问,其中逾 4000 台(约 27%)ElasticSearch 命令和控制(C&C)服务器存在 PoS 恶意软件。研究人员表示,攻击者使用 ES 服务器的主要原因是因为它们的配置不仅允许读取文件,还可以在无需额外确认下输入/安装外部文件。此外,部分 ElasticSearch 服务器访问无需身份验证,因此允许攻击者对暴露的实例进行完全管理控制,这也为攻击者开辟了一系列可能性,即从隐藏资源与远程代码执行开始,完全破坏此前保存的所有数据。 图二:研究人员检测结果 Kromtech 研究员 Bob Diachenko 在博客中写道:“为什么是亚马逊 AWS ?因为亚马逊网络服务提供免费的 T2 micro(EC2)实例,且存储磁盘空间最高可达 10 GB。与此同时,T2 micro 只允许安装在 ES 1.5.2 与 2.3.2 版本中使用 ”。目前,每台受感染的 ES 服务器不仅具备 POS 恶意软件客户端的命令与控制(C&C)功能,还可作为 POS 僵尸网络的其中一处节点,允许攻击者从 POS 终端、RAM 存储器或受感染的 Windows 设备中收集、加密与转移用户私人信息。 图三:恶意软件 AlinaPOS 与 JackPOS 漏洞攻击分布 Kromtech 已通知受影响公司并试图与亚马逊取得联系,不过亚马逊尚未作出任何置评。然而,对于使用 ElasticSearch 服务器的用户来说,研究人员建议他们正确配置服务器、关闭所有未使用的端口、检查日志文件、网络连接,以及流量使用情况。 原作者:India Ashok, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接