分类: 今日推送

终端应用程序 iTerm2 可通过 DNS 请求泄露用户敏感信息

iTerm2 是一款颇受 Mac 开发人员欢迎的终端应用程序,甚至取代了苹果官方终端应用的地位。然而,研究人员首次于去年在 iTerm2  3.0.0 版本中发现一处鼠标悬停漏洞,即当用户将鼠标悬停在 iTerm2 终端的任何内容时,该程序将尝试确定字段是否存在有效 URL,并将其作为可点击链接突出显示。此外,为避免使用不准确的字符串模式匹配算法、创建不可用链接,该功能还使用了 DNS 请求确定域名是否真实存在。随后,iTerm2 开发人员立即升级应用至 3.0.13 版本,允许用户自行关闭 “ DNS 查询 ” 功能。不过,系统在默认情况下仍开启该功能权限。 9 月 19 日,HackerNews.cc 得到消息,荷兰开发人员 Peter van Dijk 指出,iTerm2 鼠标悬停漏洞除此前出现的问题外,还包括通过 DNS 请求泄露用户账号、密码、API 密钥等敏感信息。DNS 请求是明文通信,意味着任何能够拦截这些请求的用户都可访问 iTerm 终端中经过鼠标悬停的所有数据。 这一次,iTerm2 开发人员在了解问题的严重程度后深表歉意,并立即发布 iTerm2 3.1.1 版本解决问题。目前,研究人员提醒使用 iTerm2 旧版本的用户更新至最新版本,以确保自身隐私安全。如果用户更新至3.0.13 版本时,可通过相关步骤修改选项、确保系统安全。即打开 “ Preferences ⋙ Advanced ⋙ Semantic History ” 后将 “ Perform DNS lookups to check if URLs are valid? ” 选项改为 “ NO ” 。 原作者:Catalin Cimpanu,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

【攻击预警】匿名者 #OpIcarus 行动公布 57 个全球银行目标,中国 10 大银行在列

据创宇盾( Creation Shield, www.365cyd.com )安全舆情监控平台最新监测显示,匿名者官网之一的 anonymousglobaloperations[.]blogspot[.]it  发布了“ 2017 年世界最大银行” 57 个目标列表,内容包含银行名称、市值、网站、IP 以及端口,其中涉及我国的 10 个银行列表有:工商银行、建设银行、农业银行、中国银行、招商银行、交通银行、浦发银行、民生银行、兴业银行以及中信银行。 HackerNews.cc 在此再次提醒相关部门请警惕来自匿名者 #OpIcarus 行动的攻击行为。我们将为您持续关注并提供最新报道。  

美国正利用人工智能程序破解密码获取重要数据

美国史蒂文斯理工学院(Stevens Institute of Technology)开发了一个所谓的生成式对抗网络,可以对你所使用的密码进行合理猜测,准确率达到四分之一。他们的基本理念非常简单:让一个神经网络构建一个东西,然后由另外一个神经网络判定其质量。 这个概念是由伊恩·古德菲洛(Ian Goodfellow)发明的,他曾经入选《麻省理工科技评论》评选的 2017 年 “ 35 岁以下 35 名优秀创新者 ” 榜单,但他本人并未参与该项目。史蒂文斯理工学院的团队让一个人工智能程序利用数千万个泄露的密码来学习如何生成新密码,再让另外一个人工智能程序学习如何判断新生成的密码是否有吸引力。 将实际结果与网上泄露的 LinkedIn 登录数据进行比对后发现,人工智能生成的密码有 12% 与真实密码匹配。当研究人员从 hashCat 软件工具那里获得一些人类制作的规则,并将其加入到人工智能系统后,便可猜测 27% 的密码——比单纯使用 hashCat 高出 24%。 虽然这项技术还处于初期,但这却是生成式对抗网络首次用于破解密码。另外,只要能够获取更多数据,这项技术似乎的确能获得快于传统方法的改进速度。但无论如何,这似乎都是个坏消息,因为不法分子可能利用这项技术来发动网络攻击。 稿源:cnBeta、新浪科技,封面源自网络;

Google:没有人能够免受网络攻击,AI 防御也不例外

根据 CNBC 消息,保护 Google 系统 15 年的网络安全专家在旧金山召开的 TechCrunch Disrupt 2017 技术会议中谈到,没有人能够免受网络攻击,就算使用了人工智能也无济于事。Google 表示有超过 10 亿人使用其 Gmail 程序。 但 Google 的信息安全和隐私总监 Heather Adkins 以及 Google 安全团队的创建成员建议用户不要将敏感的个人信息保存在 Gmail 当中。此外,Adkins 在场上接受采访时表示,网络攻击可能会发生在任何人任何地方,她呼吁初创公司时刻做好应对黑客入侵的准备。 Adkins 解释说, AI 驱动的安全软件在面对 20 世纪 70 年代的网络攻击面前都不是很有效,更不用提最新的攻击方式了。詹姆斯·安德森在一篇 1972 年的研究报告中指出:“防御技术并没有任何改变,即使我们已经知道这种攻击的方法已经很久了”。虽然 AI 非常适合发起网络攻击,但并不是说它会比非 AI 系统具有更好的防护能力,AI 在防毒功能中表现出太多的 “ 假阳性 ” 了。 Adkins 认为将 AI 应用用于安全性的问题在于机器学习需要反馈“好”与“不好”的经验,特别是当恶意程序试图掩盖其真实性质时,AI 就会接受恶意程序学习。当 Adkins 被问及会向企业提供什么建议来保护网络安全时, Adkins 建议人们网络维护方面更多地使用人力,尽量减少对 “ 技术 ” 的依赖。 稿源:cnBeta、威锋网,封面源自网络;

Google 呼吁警惕政府支持的黑客发起网络攻击活动

Google 信息隐私和安全主管 Heather Adkins 表示,部分政府越来越多的购买 “ 现成 ” 的黑客攻击,这可让他们利用更容易、更低价的方式发动网络攻击。 Adkins 发表声明,宣称尽管政府支持的网络攻击不再新鲜,但网络攻击的数量仍在增加。他们通过购买现成的黑客攻击,就不再需要自己打造平台。因此,较小的政府机构能以低廉的价格发动网络攻击,不必组建自己的黑客团队。 安全分析人士将最近大量网络攻击归咎于得到政府支持的俄罗斯网络间谍。此外,得到政府支持的中国以及叙利亚黑客也被指控间谍活动。 稿源:solidot奇客,封面源自网络;

安全警告:黑客可利用拦截短信验证黑进比特币钱包

Positive Technologies 近期刊登了一段安全研究人员示范的攻击演示视频,即演示了黑客如何利用 ss7 信令漏洞拦截短信验证,并黑进比特币钱包的全部过程。 在视频中,攻击目标为一所利用短信二步验证保护的交易所 Coinbase,而目标账户也采用 Gmail 的二步验证注册,从而使研究人员成功控制了目标账号的比特币钱包。然而,与其说是利用 Coinbase 交易所的缺陷,不如说是传统的数据网络存在验证缺陷。目前,安全研究人员希望各大比特币交易所和比特币钱包用户引起注意。 稿源:cnBeta,封面源自网络;

维基解密在线曝光新间谍文件:通信供应商与俄政府合作秘密监控用户通讯信息

维基解密于 9 月 19 日在线曝光一份新间谍文件,旨在揭露俄罗斯移动通信供应商 Петер-Сервис( PETER-SERVICE )与国家情报机构建立合作关系、共享移动运营商用户数据,包括电话、消息记录、设备标识符( IMEI、MAC 地址)、网络标识符( IP 地址 )等重要信息。 内容显示,该文件中涉及 2007-2015 年共计 209 份文档( 即 34 份不同版本的基础文档 )。事实上,PETER-SERVICE 作为俄罗斯当局监控合作伙伴是独一无二的选择,因为它们的产品可以收集并记录俄罗斯用户有价值的元数据。 附:维基解密最新泄露内容《 Spy Files Russia 》 稿源:Wikileaks,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国参议院投票决定:禁止联邦政府使用卡巴斯基产品

美国参议院于本周一投票,决定禁止联邦政府使用卡巴斯基实验室(Kaspersky Lab)的产品。因为他们担心卡巴斯基可能会为俄罗斯服务,从而威胁美国国家安全。 卡巴斯基是知名的网络安全公司,成立已经 20 年,在全球有 4 亿用户。近期,虽然美国一次又一次抵制卡巴斯基产品,但卡巴斯基否认公司帮助俄罗斯政府从事间谍活动。上周,特朗普政府做出决定,要求民用政府机构净化网络,不准使用任何卡巴斯基产品。 然而,周一的投票进一步加强了净化力度。很快禁令就会变成法案,新法案禁止民用、军事机构使用卡巴斯基产品。特朗普政府上周发布的命令只是针对民用政府机构,不包括五角大楼,不过今年年初时五角大楼的领导曾说军事网络已经禁用卡巴斯基产品。 稿源:cnBeta,封面源自网络;

新型 Android 恶意软件 Red Alert 2.0 已感染逾 60 款银行与社交媒体应用

据外媒 9 月 19 日报道,网络安全公司 SyfLabs 研究人员近期发现一款新型 Android 银行恶意软件 Red Alert 2.0,允许黑客窃取用户敏感信息、劫持短信邮件,并阻止与银行、金融机构相关的所有来电呼叫。目前,Red Alert 2.0 已感染 Google Play 商店上超过 60 款银行与社交媒体应用。不过,与其他 Android 木马不同的是,该恶意软件是由开发人员从零开始编写。 如果目标设备的 C&C 服务器被关闭时,该恶意软件可以通过 Twitter 保存所有数据信息。然而,当设备无法连接到硬编码的 C2 时,它可以从 Twitter 帐户中重新检索一台新 C2 服务器进行连接。研究人员表示,这也是他们第一次从移动设备的恶意软件中发现此类银行木马。 SfyLabs 首席执行官兼创始人 Cengiz Han Sahin 表示,虽然 Red Alert 2.0 的开发人员现在只以 500 美元的价格出售该恶意软件,但他们日前仍在为其新添更多功能,包括远程操控受感染设备。目前,该恶意软件主要影响 Android Marshmallow 以及之前版本。由于传播 Red Alert 2.0 的所有应用都托管在第三方 Android 应用商店,因此为保障用户系统安全,研究人员强烈建议用户仅从 Google Play 商店下载合法应用程序。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Apache Http Options 请求方法存在安全漏洞,可致内存信息泄漏

HackerNews.cc  9 月 18 日消息,安全研究人员 HannoBöck 于近期发现 Apache HTTP OPTIONS 请求方法存在一处安全漏洞( CVE-2017-9798 ),允许攻击者在网站管理员尝试使用无效的 HTTP 方法进行 “Limit” 指令请求时,远程窃取服务器内存信息。目前,官方认定漏洞危险等级为【中危】。 影响范围: ο Apache HTTP 软件 2.2.34/2.4.27 之前版本 解决方法: ο 研究人员已在线发布漏洞概念验证( PoC ) ο 各发行版本厂商陆续发布更新,建议运行 Apache Web 服务器的用户升级至最新版本。 更多详细内容: ο 原文详细报告《Optionsbleed – HTTP OPTIONS method can leak Apache’s server memory》 原作者:HannoBöck,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接