分类: 今日推送

美参议员要求FB、谷歌出席听证会 回答平台安全问题

新浪科技讯 北京时间6月8日早间消息,美国参议院情报委员会的高级成员希望Facebook、谷歌和Twitter的CEO能出席公开听证会,回答关于平台安全性的问题,包括这些公司与中国手机厂商的关系。 美国和全球其他地区的立法者正在密切审视大型科技公司,尤其是这些公司如何大规模收集并使用用户的个人数据。最近几天,Facebook披露该公司与中国4家消费设备制造商存在数据共享合作,随后遭到部分美国国会议员的批评。 弗吉尼亚州民主党参议员、参议院情报委员会副主席马克·华纳(Mark Warner)周四致信谷歌,想要了解该公司与华为和小米的关系,包括用户数据是存储在手机上还是中国公司的服务器上,以及数据存储协议如何得到监督和执行。他还向Twitter发出了类似邮件。 谷歌并未承诺出席作证,但公司发言人表示,谷歌期待“回答这些问题”。 华纳还询问了谷歌与腾讯之间的合作关系。今年1月,谷歌和腾讯签署了专利共享协议,同意合作开发未来的技术。 谷歌发言人科林·史密斯(Colin Smith)表示,谷歌“与数十家国际设备制造商达成了协议”。“在协议中,我们不会提供对谷歌用户数据的特殊访问权限。我们的协议包括了用户数据隐私和信息安全保护。” 华纳周四表示,他很高兴此前没有参加Facebook CEO马克·扎克伯格(Mark Zuckerberg)的听证会,当时许多参议员的提问表明,他们对社交媒体没有太多了解,也不清楚科技公司如何收集和保存隐私数据。 《华尔街日报》早些时候报道称,美国国会议员已开始调查谷歌Android操作系统与中国手机制造商合作的部分内容。   稿源:新浪科技,封面源自网络;

Talos:FBI重启路由器的建议失效 僵尸网络感染了更多设备

还记得两周前,联邦调查局(FBI)要求所有人重启路由器,以帮助“摧毁”僵尸网络吗?遗憾的是,根据思科 Talos 安全部门周三发布的报告,这款名叫“虚拟专用网过滤器”的恶意软件不仅没被干掉,反而可能拥有了更多的功能、并且正在利用比以往更多的设备!Talos 指出,他们发现了一个可被黑客用来拦截受感染设备或路由器流量的“ssler”模块(读作 Esler)。 简而言之,即便 FBI 寻求公众的帮助来摧毁该僵尸网络,这款名为“虚拟专用网过滤器”的恶意软件却依然存活,导致人们仍易受到它的威胁。 Talos 资深技术领导人 Craig Williams 在接受 ARS Technica 采访时表示: 我们担心 FBI 给公众营造了一种虚假的安全感,该恶意软件仍在运行,且感染了比我们最初认为更多的设备。它的能力远远超出了我们最初的想象,人们需要从这个僵尸网络中摆脱出来。 至于 FBI 此前的建议到底多有效,该机构未立即置评。此前受影响的设备包括 Linksys、MikroTik、NetGear、以及 TP-Link 。 然而Talos 指出,他们在更多的路由器上发现了该恶意软件的身影,涉及华硕、D-Link、华为、Ubiquiti、UPVEL、中兴等厂家。   稿源:cnBeta,封面源自网络;

Facebook 与华为共享数据引发担忧 本周将结束合作

TechWeb报道 6月6日消息,据《纽约时报》报道, Facebook最近披露与一些设备制造商有数据共享关系,现在证实这其中包括中国企业华为、联想、Oppo和TCL。 Facebook与华为共享数据引发担忧 本周将结束合作 据《纽约时报》报道,这一情况于上周末首次披露,考虑到美国政府长期以来出于对国家安全担忧,Facebook与这些公司最新披露的数据协议在国会引起了一些人的质疑。 “Facebook向华为和TCL等中国设备制造商提供了访问Facebook API的特权,这一消息引发的担忧是合理的,我期待着更多地了解Facebook如何确保他们的用户信息不会被发送出去。” 当天早些时候,美国参议院商业委员会就与这些制造商关系更广泛的问题致信Facebook,并质疑Facebook的断言,即共享数据没有被滥用。 Facebook否认这些关系是隐私丑闻,并强调公司对这类设备集成实施了严格的限制。 Facebook表示,这些集成与市面上的API非常不同——它们的目标是在这些设备上重新创建类似Facebook的体验,并且它们受到严格控制。 Facebook对《纽约时报》表示,尽管两家公司的合作关系已经持续多年,但Facebook将在本周结束之前结束与华为的关系。   稿源:TechWeb,封面源自网络;

库克谈隐私问题:大多数人对隐私泄露一无所知

新浪科技讯 北京时间6月6日早间消息,苹果首席执行官蒂姆·库克于当地时间周一表示,对科技公司采取监管行为是“公平的”——尽管他可能不甚同意这种说法——因为用户隐私问题“已经完全失控”。 库克在接受美国有线电视新闻网(CNN)采访时说:“总体而言,对我来说,我不太喜欢(外界)监管。因为我认为自我监管是最好的。但当自我监管不起作用——在某些情况下不起作用时——你必须问问自己,还有什么样的监管形式才可能是好的。我认为,在当下这个时候,很多人能提出这样一个问题是非常公平合理的。” 他补充说:“我认为隐私问题已经完全失控。我认为大多数人都不知道到底是谁在跟踪他们,他们被跟踪了多少,以及有多少关于他们的详细数据被泄露了出去。” 就在库克发表评论之际,Facebook正因其处理用户数据的方式而受到抨击。这个社交网络巨头在4月份透露,其8700万用户的数据可能被共享给饱受争议的政治数据分析公司剑桥分析公司(Cambridge Analytica)。大西洋两岸的政界人士都呼吁Facebook能对这一丑闻作出回应,一些人还呼吁政府监管机构应对科技行业进行更多监管,以防止未来发生此类事件。 另外,苹果公司在最近的全球开发者大会(WWDC)上发布了其最新产品和全新功能。该公司于当地时间周一在大会上公布了最新版操作系统iOS 12的细节。苹果的市值在当天飙升,超过了之前的9400亿美元,创下历史新高——许多投资者预计,苹果公司的市值很快就会达到1万亿美元。   稿源:新浪科技,封面源自网络;

黑客利用病毒挖门罗币 已获利 60 余万

火绒安全团队截获一批蠕虫病毒。这些病毒通过U盘、移动硬盘等移动介质及网络驱动器传播,入侵电脑后,会远程下载各类病毒模块,以牟取利益。这些被下载的有盗号木马、挖矿病毒等,并且已经获得约645个门罗币(合60余万人民币)。   一、 概述 该病毒早在2014年就已出现,并在国内外不断流窜,国外传播量远超于国内。据”火绒威胁情报系统”监测显示,从2018年开始,该病毒在国内呈现出迅速爆发的威胁态势,并且近期还在不断传播。 火绒工程师发现,该病毒通过可移动存储设备(U盘、移动硬盘等)和网络驱动器等方式进行传播。被该蠕虫病毒感染后,病毒会将移动设备、网络驱动器内的原有文件隐藏起来,并创建了一个与磁盘名称、图标完全相同的快捷方式,诱导用户点击。用户一旦点击,病毒会立即运行。 病毒运行后,首先会通过C&C远程返回的控制命令,将其感染的电脑进行分组,再针对性的获取相应的病毒模块,执行盗号、挖矿等破坏行为。 病毒作者十分谨慎,将蠕虫病毒及其下载的全部病毒模块,都使用了混淆器,很难被安全软件查杀。同时,其下载的挖矿病毒只会在用户电脑空闲时进行挖矿,并且占用CPU资源很低,隐蔽性非常强。 不仅如此,该病毒还会删除被感染设备或网络驱动器根目录中的可疑文件,以保证只有自身会进入用户电脑。由此可见,该病毒以长期占据用户电脑来牟利为目的,日后不排除会远程派发其他恶性病毒(如勒索病毒)的可能。 “火绒安全软件”无需升级即可拦截并查杀该病毒。 二、 样本分析 近期,火绒截获到一批蠕虫病毒样本,该病毒主要通过网络驱动器和可移动存储设备进行传播。该病毒在2014年前后首次出现,起初病毒在海外传播量较大,在国内的感染量十分有限,在进入2018年之后国内感染量迅速上升,逐渐呈现出迅速爆发的威胁态势。该病毒代码执行后,会根据远程C&C服务器返回的控制命令执行指定恶意逻辑,甚至可以直接派发其他病毒代码到本地计算机中进行执行。现阶段,我们发现的被派发的病毒程序包括:挖矿病毒、盗号木马等。病毒恶意代码运行与传播流程图,如下图所示: 病毒恶意代码运行与传播流程图 该病毒所使用的C&C服务器地址众多,且至今仍然在随着样本不断进行更新,我们仅以部分C&C服务器地址为例。如下图所示: C&C服务器地址 该病毒会将自身拷贝到可移动存储设备和网络驱动器中,病毒程序及脚本分别名为DeviceConfigManager.exe和DeviceConfigManager.vbs。被该病毒感染后的目录,如下图所示: 被该病毒感染后的目录(上为可移动存储设备,下为网络驱动器) 火绒截获的蠕虫病毒样本既其下载的其他病毒程序全部均使用了相同的混淆器,此处对其所使用的混淆器进行统一分析,下文中不再赘述。其所使用的混淆器会使用大量无意义字符串或数据调用不同的系统函数,使用此方法达到其混淆目的。混淆器相关代码,如下图所示: 混淆代码 混淆器中使用了大量与上图中类似的垃圾代码,而用于还原加载原始PE镜像数据的关键逻辑代码也被穿插在这些垃圾代码中。还原加载原始PE数据的相关代码,如下图所示: 还原加载原始PE镜像数据的相关代码 上述代码运行完成后,会调用加载原始PE镜像数据的相关的代码逻辑。加载原始PE镜像数据的代码,首先会获取LoadLibrary、GetProcAddress函数地址及当前进程模块基址,之后借此获取其他关键函数地址。解密后的相关代码,如下图所示: 解密后的加载代码 原始PE镜像数据被使用LZO算法(Lempel-Ziv-Oberhumer)进行压缩,经过解压,再对原始PE镜像进行虚拟映射、修复导入表及重定位数据后,即会执行原始恶意代码逻辑。相关代码,如下图所示: 调用解压缩及虚拟映射相关代码 蠕虫病毒 该病毒整体逻辑分为两个部分,分别为传播和后门逻辑。该病毒的传播只针对可移动存储设备和网络驱动器,被感染后的可移动存储设备或网络驱动器根目录中会被释放一组病毒文件,并通过诱导用户点击或利用系统自动播放功能进行启动。蠕虫病毒通过遍历磁盘进行传播的相关逻辑代码,如下图所示: 遍历磁盘传播 被释放的病毒文件及文件描述,如下图所示: 被释放的病毒文件及文件描述 蠕虫病毒会通过在病毒vbs脚本中随机插入垃圾代码方式对抗安全软件查杀,被释放的vbs脚本首先会关闭当前资源管理器窗口,之后打开磁盘根目录下的”_”文件夹,最后执行病毒程序DeviceConfigManager.exe。释放病毒vbs脚本相关逻辑,如下图所示: 释放病毒vbs脚本相关逻辑 除了释放病毒文件外,病毒还会根据扩展名删除磁盘根目录中的可疑文件(删除时会将自身释放的病毒文件排除)。被删除的文件后缀名,如下图所示: 被删除的文件后缀名 病毒在释放文件的同时,还会将根目录下的所有文件全部移动至病毒创建的”_”目录中。除了病毒释放的快捷方式外,其他病毒文件属性均被设置为隐藏,在用户打开被感染的磁盘后,只能看到与磁盘名称、图标完全相同的快捷方式,从而诱骗用户点击。快捷方式指向的文件为DeviceConfigManager.vbs,vbs脚本功能如前文所述。通过这些手段可以使病毒代码执行的同时,尽可能不让用户有所察觉。 被释放的病毒文件列表 蠕虫病毒释放的快捷方式,如下图所示: 蠕虫病毒释放的快捷方式 该病毒的后门逻辑会通过与C&C服务器进行IRC通讯的方式进行,恶意代码会根据当前系统环境将当前受控终端加入到不同的分组中,再通过分组通讯对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括:语言区域信息、当前系统平台版本为x86或x64、当前用户权限等。后门代码中最主要的恶意功能为下载执行远程恶意代码,再借助病毒创建的自启动项,使该病毒可以常驻于用户计算机,且可以向受控终端推送的任意恶意代码进行执行。病毒首先会使用用户的语言区域信息和随机数生成用户ID,之后向C&C服务器发送NICK和USER通讯命令,随机的用户ID会被注册为NICK通讯命令中的名字,该操作用于受控终端上线。相关代码,如下图所示: 受控终端上线相关代码 通过上图我们可以看到,病毒所使用的C&C服务器列表中和IP地址众多,其中很大一部分都为无效域名和地址,主要用于迷惑安全研究人员。在受控端上线后,就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的系统环境将当前受控终端进行分组,分组依据包括:语言区域信息、当前用户权限、系统平台版本信息(x86/x64)。除此之外,病毒还可以利用控制命令通过访问IP查询(http://api.wipmania.com)严格限制下发恶意代码的传播范围。主要控制命令及命令功能描述,如下图所示: 主要控制命令及命令功能描述 主要后门控制相关代码,如下图所示: 后门控制代码 病毒会将远程请求到的恶意代码释放至%temp%目录下进行执行,文件名随机。相关代码,如下图所示: 下载执行远程恶意代码 挖矿病毒 病毒下发的恶意代码众多,我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后,会在电脑运算资源闲置时挖取门罗币,对于普通用户来说其挖矿行为很难被察觉。 在本次火绒所截获到的样本中,我们发现,病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比,如下图所示: 混淆器代码对比图(左为被下发到终端的挖矿病毒、右为蠕虫病毒) 挖矿病毒原始恶意代码运行后,会将病毒自身复制到C:\Users\用户名\AppData\Roaming\svchostx64.exe位置,并创建计划任务每分钟执行一次。病毒会创建互斥量,通过检测互斥量,可以保证系统中的病毒进程实例唯一。之后,病毒会使用挖矿参数启动自身程序,再将挖矿程序(XMRig)PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒行为沙盒中挖矿病毒行为,如下图所示: 挖矿病毒行为 如上图所示,挖矿参数中限制挖矿程序CPU占用率为3%,并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高,如果过高则会重新启动挖矿进程。通过遍历进程检测任务管理器进程(Taskmgr.exe)是否存在,如果存在则会停止挖矿,待任务管理进程退出后继续执行挖矿逻辑。病毒通过上述方法提高了病毒自身的隐蔽性,保证病毒可以尽可能的长时间驻留于被感染的计算机中。相关代码,如下图所示: 挖矿逻辑控制代码 虽然病毒严格控制了挖矿效率,但是由于该病毒感染量较大,总共挖取门罗币约645个,以门罗币当前价格计算,合人民币60余万元。病毒使用的门罗币钱包账户交易信息,如下图所示: 病毒使用的门罗币钱包账户交易信息 三、 附录 文中涉及样本SHA256:   稿源:cnBeta,封面源自网络;

DNA 检测公司 MyHeritage 遭黑客入侵:9200 万账户泄露

新浪科技讯 北京时间6月6日早间消息,消费级家谱网站MyHeritage宣布,与该公司的9200万个帐户相关的电子邮件地址和密码信息被黑客窃取。 MyHeritage表示,该公司的安全管理员收到一位研究人员发送的消息,后者在该公司外部的一个私有服务器上发现了一份名为《myheritage》的文件,里面包含了9228万个MyHeritage帐号的电子邮件地址和加密密码。 “没有证据表明文件中的数据被犯罪者利用。”该公司周一晚些时候在声明中说。 MyHeritage允许用户制作家谱、搜索历史记录并寻找潜在的亲人。该公司2003年创办于以色列,2016年推出了MyHeritage DNA,用户只要发送一份唾液样本即可进行基因检测。该网站目前拥有9600万用户,其中有140万曾经接受过基因检测。 据Heritage介绍,该漏洞发生在2017年10月26日,受影响的用户都是在那一天之前注册的。该公司还表示,他们并没有存储用户的密码,所有密码都经过所谓的单项散列方式进行加密,不同用户的数据需要使用不同的密钥才能访问。 但在之前的黑客事件中,这类机制曾经遭到破解,从而转换出密码。倘若如此,黑客便可获在登录用户帐号后获取其个人信息,包括家庭成员的身份。但即使黑客能够进入用户帐号,也不太可能轻易获取原始基因信息,因为想要下载这些内容,需要通过电子邮件进行确认。 该公司在声明中强调,DNA数据存储在“隔离的系统上,与保存电子邮件的系统相互分离,其中包含额外的安全层。” MyHeritage已经组建了全天候支持团队,为受影响的用户提供帮助。该公司还计划聘请独立网络安全公司调查此事,并有可能加强安全措施。与此同时,他们也建议用户更改密码。 随着消费级DNA测试发展成为一个9900万美元的行业,关于用户私密数据的安全性问题也引发越来越多的关注。在调查者通过某家谱网站追踪到“金州杀手案”嫌疑人后,关于DNA数据的隐私担忧也大幅提升。   稿源:新浪科技,封面源自网络;

苹果公布 macOS Mojave 即将更新的隐私和安全保护特性详情

在WWDC期间,苹果在面向开发者的主题日活动Platforms State of the Union Event中,公布了更多关于将在 macOS Mojave中出现的隐私和安全保护特性的详情。首先,苹果将隐私保护手段扩展至相机、话筒及各类敏感用户数据-包括邮件数据、消息历史、Safari数据、时间机器备份、iTunes的设备、定位和连线、系统Cookies等等。 在macOS Majave中,应用所有的API和对资源的直接访问都会需要请求用户的准许,用户也能够直接通过系统偏好设置访问它们的安全偏好设定。 对于不通过Mac App Store分发安装的应用,除了需要者签名。苹果还将在新系统中引入Notarize的认证评估程序,旨在更快速地检测恶意软件,并且为苹果提供更加细致的认证撤销工具。公证化进程将让macOS Mojave能够保证第三方非App Store下载的mac应用能够经过苹果双重认证,并且不包含恶意代码。苹果还将要求所有的开发者签名Developer ID应用经过该过程才能进行安装。 苹果还介绍了最强的运行时保护机制,延申系统完整性保护措施,确保代码注入和其它恶意行为不会破坏系统完整性。macOS Mojave还将分别标记重复创建的密码、让用户能够创建更加独特的密码。此外Safari还将加入多重反追踪和隐私改进措施让浏览习惯保持隐秘。   稿源:cnBeta,封面源自网络;

美国人网络安全意识调查:佛州最为糟糕

网络安全公司Webroot近日联合Ponemon Institute开展的研究调查发现,佛罗里达州是美国境内在网络安全方面做的最差的州。Ponemon对美国境内4000名受调查者进行了网络安全知识和相关措施的调查,其中怀俄明州和蒙大拿州仅次于佛州是安全意识最差的州,而新罕布什尔州,马萨诸塞州和犹他州的调查者安全意识很高。 根据受访者提供的样本,不到四分之一(24%)的美国人会定期监控银行和信用卡账单,阻止弹窗内容、更新在线账户密码,或者在点击电子邮件之前会采取预防措施。此外只有50%的美国人会在笔记本电脑、台式机和智能手机上使用防病毒产品或者其他互联网安全产品。 72%的佛州人表示他们会和其他人共享密码或者其他访问凭证。而相比之下超过一半(53%)的新罕布什尔州调查受访者声称他们绝不会与其他人分享密码。   稿源:cnBeta,封面源自网络;

苹果公司针对数据隐私发声:我们让数据追踪更困难

新浪科技讯 北京时间6月5日早间消息,今天,苹果公司发表了最强硬的声明,涉及隐私问题和Facebook等公司追踪用户一事。 苹果的软件工程负责人克雷格·费德里吉(Craig Federighi)说,该公司将使数据公司追踪个人用户的行为变得“更加困难”。他们的产品会发出警报,让客户逐一判断是否愿意让“聪明而无情”的数据公司跟踪个人信息。 “我们相信你的私人数据应该保密……因为在你的设备上可能有很多敏感数据,我们认为你应该控制让谁看到它,”费德里吉在苹果WWDC大会上如是说。 总而言之,苹果公司在言辞上对Facebook的行为进行了有策略的反击,同时介绍了一些新功能,允许用户拒绝三方数据收集器访问自己的数据。现在所面临的问题是,许多用户觉得弹出警报很麻烦,所以只是盲目地点击它们。   稿源:新浪科技,封面源自网络;

英国数据监管部门主管:Facebook 丑闻并非孤立事件

新浪科技讯 北京时间6月5日早间消息,近日,英国数据保护监督机构主管向欧盟立法者发出警告称,Facebook公司的隐私问题可能还会在其它在线平台上反映出来。 负责牵头对Cambridge Analytica丑闻进行调查的伊丽莎白·德纳姆(Elizabeth Denham)在接受欧洲议会质询时表示,Facebook数据泄露事件并非孤立案件。 本周一晚间,这位英国信息专员在布鲁塞尔的欧盟机构公民自由委员会上指出,“我认为对于用户而言,许多平台都缺乏透明度。” 本次听证会是立法人员首次对Cambridge Analytica丑闻进行详尽而深入地研究。这起丑闻涉及多达8700万人(其中包括大约270万名欧洲用户)的信息,并对2016年唐纳德·特朗普参与美国总统竞选的结果造成影响。 不到两周前,Facebook CEO马克·扎克伯格被指控回避欧洲议会主要成员的问题。该公司本周一发布了第二批答案,其中14个问题仍然悬而未决。 执法 德纳姆说,欧盟新颁布的隐私保护法规——《通用数据保护规则》(GDPR)——于5月25日生效,这将是保护人民的第一步。“现在真正重要的是执法,这是数据保护当局愿意做的,是我们所看到的制裁举措,是让用户和公民了解他们的权利。” 如今,欧洲各地的隐私监管机构将拥有平等的权利和义务,以及同样的权力,可在全球范围内对严重违规企业处以罚款,金额最高可达全年销售额的4%。 尽管德纳姆称,像她这样的监管者将在制裁手段上“适当权衡”,但GDPR所赋予的新工具可能比处罚更有效。 删除算法 “运用GDPR的新工具,我们能够向企业发送强制通知,要求他们删除算法或停止程序运行,”德纳姆说。“我认为停止程序运行的命令是强有力的,如果不比行政罚款更具威力的话,至少同样有效。” 本周一早些时候,Facebook发文驳斥了《纽约时报》的一篇报道,该报道称Facebook与苹果、亚马逊和三星等设备制造商分享数据。 Facebook称,他们对用户的信息很熟悉,但不会像Cambridge Analytica那样滥用个人数据。 在本周一的采访中,负责维护欧盟数据隐私法的安德列·耶利内克(Andrea Jelinek)说,欧洲监管机构打算审查这些报道。   稿源:新浪科技,封面源自网络;